Управление Microsoft Security Essential из командной строки

В связи с тем, что MSE бесплатен, его можно рекомендовать не только домашним пользователям, но и небольшим фирмам, в которых антивирусный продукт по каким-либо причинам отсутствует. Конечно, желательно, чтобы антивирусный продукт в корпоративной среде обладал удалённым управлением - единой административной консолью - клиентских частей. Но это удел платных продуктов. Как же быть в случае с Microsoft Security Essential? На этот случай в Microsoft Security Essential присутствует утилита, которая позволяет управлять антивирусным программным обеспечением из командной строки. А что это может дать? Правильно. Написание командных файлов, логон-скриптов и прочего, то есть того, что мы называем автоматизацией управления.

Сам модуль командной строки расположен в папке %ProgramFiles%\Microsoft Security Essentials и называется "Microsoft Antimalware Service Command Line Utility". Каков будет официальный перевод, я утверждать не берусь, но фактически это "Утилита командной строки службы Microsoft Antimalware".

Модуль управления, MpCmdRun.exe, призван автоматизировать управление установленным антивирусом Microsoft Security Essential, а также позволит решать проблемы, возникающий с данным программным обеспечением.

Просмотреть справку по команде можно введя в командной строке:

MpCmdRun.exe -?/-h

Рассмотрим подробно синтаксис:

Использование: MpCmdRun.exe [command] [-options]

Расшифровка команд:

-? / -h: Показать опции запуска

-Trace [-Grouping #] [-Level #]: Запустить диагностическую трассировку

-RemoveDefinitions [-All]: Восстановить все установленные сигнатуры до состояния предыдущего бэкапа или, в отсутствии бэкапа, до начального состояния.

-RestoreDefaults: Восстановить значения реестра для Microsoft Antimalware Service до состояния по умолчанию.

-SignatureUpdate [-UNC]: Запустить процесс обновления антивирусных баз

-Scan [-ScanType]: Запустить сканирование системы

-Restore -Name <name> [-All]: Восстановить файлы, попавшие в карантин во время последней проверки, или все файлы, имя которых задано параметром <name>

-GetFiles: Сбор информации для службы поддержки. Информация для поддержки будет накапливаться в папке C:\ProgramData\Microsoft\Microsoft Antimalware\Support.

Теперь рассмотрим подробнее использование программы, что и для чего.

-Scan [-ScanType]: Сканирование системы

0 - Значение по умолчанию, то есть так, как задано конфигурацией антивируса Microsoft Security Essential;

1 - Быстрое сканирование системы;

2 - Полное сканирование системы.

-Trace [-Grouping value][-Level value]: Трассировка

С помощью этого ключа запускается диагностическая трассировка работы службы Microsoft Antimalware. Можно задать какие именно компоненты службы будут подвержены трассировке, а также уровень диагностирования.

Если не задана конкретная компонента службы, будет проводиться трассировка всех компонентов.

Если не будет задан уровень диагностирования, то в лог попадут только сообщения уровней: Error, Warning и Informational.

[-Grouping] - Компоненты

0x1 - Service (Служба)

0x2 - Malware Protection Engine (Движок антивирусной защиты)

0x4 - User Interface (Интерфейс пользователя)

0x8 - Real-Time Protection (Модуль защиты в реальном времени)

0x10 - Scheduled actions (Запланированные события)

[-Level] - Уровень

0x1 - Errors (Ошибки)

0x2 - Warnings (Предупреждения)

0x4 - Informational messages (Информационные сообщения)

0x8 - Function calls (Вызов функций)

0x10 - Verbose (Расширенный лог, включающий предыдущие уровни)

0x20 - Performance (Производительность)

-GetFiles: Сбор файлов трассировки

Файлы трассировки будут собираться и упаковываться в сжатый файл в папке для службы поддержки. В имени файла будет присутствовать текущая дата и время, расширение файла – BIN. В файле будет присутствовать информация из таких источников как

а) Любые трассировочные файлы от службы Microsoft Antimalware;

б) Лог истории работы службы обновлений Windows Update;

в) Все события по службе Microsoft Antimalware из журнала Событий, раздел Система;

г) Все записи реестра, относящиеся к разделам, касающимся Microsoft Antimalware;

д) Лог трассировки работы MpCmdRun;

е) Лог системы обновления сигнатур антивируса.

-RemoveDefinition: Восстановление последней рабочей базы сигнатур

[-All] - удаление всех установленных обновлений сигнатур и движка антивирусной программы. Рекомендуется использовать только в случае полной неработоспособности модуля обновлений.

[-DynamicSignatures] - удаление динамических сигнатур.

-RectoreDefaults: Возврат к режиму по умолчанию

Сбрасывает все настройки конфигураций к состоянию по умолчанию.

-SignatureUpdate: Обновление

Проверка обновления для антивирусных сигнатур.

[-UNC] - Обновление непосредственно из UNC (сетевой) папки.

Обновление для 32-битных систем можно скачать тут: http://go.microsoft.com/fwlink/?LinkID=87342.

Для 64-битных систем: http://go.microsoft.com/fwlink/?LinkID=87341

Обновление скачивается как исполняемый файл mpam-fe.exe, который поддерживает обновление сигнатур антивирусной базы через непосредственный запуск файла.

-Restore -Name <name> -: Восстановление недавно "обезвреженных" файлов из карантина, на основании имени файла

[-All] - Восстановление всех файлов на основании имени.

Одной из наиболее примечательных функций пакета является технология DSS (Dynamic Signature Service), которая позволяет отправлять профиль подозрительных файлов непосредственно разработчикам антивируса

-AddDinamicSignature -Path <path>: Добавление динамических сигнатур в папку <path>.

-RemoveDynamicSignature - Name <name>: Удаление динамических сигнатур, на основании имени.

Детально рассмотрев синтаксис запуска консольной утилиты MpCmdRun, любой грамотный пользователь или администратор небольшой компьютерной сети будет способен создать небольшой скрипт, который позволит получить бОльший контроль над использованием антивируса Microsoft Security Essential, установленного на конечной машине.

В случае использования данного антивирусного программного обеспечения в локальной сети, можно настроить автоматическое обновление сигнатур в определённое время на всех компьютерах сети. Достаточно только определить сетевую папку, куда ежедневно будет выкладываться актуальная база сигнатур для обновления. Точно так же, можно прописать в логон-скрипте, например, такую команду:

C:\Program Files\Microsoft Security Essentials>MpCmdRun.exe -Scan 1

Она будет запускать Быстрое сканирование (Quick Scan) системы при входе пользователя в свою учётную запись..

Использование утилиты MpCmdRun.exe совместно с утилитой PsExec.exe из комплекта Sysinternals (http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx) Марка Руссиновича позволит администратору запустить утилиту на удалённом компьютере, например, в случае проблем с обновлением сигнатур.

Для тех, кто знаком с таким инструментом, как PowerShell v2 (он входит в состав Windows 7 Корпоративной и Максимальной версий, и может быть установлен на другие версии операционных систем Microsoft, начиная с Windows XP SP3 и выше), могу привести пример скрипта для запуска проверки системы:

 

   1:  #Requires -version 2.0
   2:  ## wrapper functions for Microsoft Security Essentials
   3:  $mse = "C:\Program Files\Microsoft Security Essentials\MpCmdRun.exe"
   4:   
   5:  function Start-Scan{
   6:      param ([int]$type = 1)
   7:      switch ($type){
   8:      0   {   Write-Host "Starting Scan based on configuration"
   9:              & $mse -scan -scantype 0
  10:              break  
  11:           }    
  12:   
  13:      1   {   Write-Host "Starting Quick Scan"
  14:              & $mse -scan -scantype 1
  15:              break  
  16:           }
  17:   
  18:      2   {   Write-Host "Starting Full Scan"
  19:              & $mse -scan -scantype 2
  20:              break  
  21:           }
  22:      }
  23:  } 

 

Этот скрипт позволит, используя PowerShell, запустить MpCmdRun на сканирование, в зависимости от параметра: 0, 1 или 2. При этом, как понимаете, не надо постоянно вводить в командной строке полный путь к файлу и помнить полный синтаксис команды. Знатоки PowerShell могут модифицировать скрипт, добавив дополнительные действия, к примеру, для запуска MpCmdRun на удалённых компьютерах.

Напоследок хочу сказать. Консольная утилита позволяет добиться некоторой гибкости в управлении Microsoft Security Essential. Позволит решить проблемы с обновлениями и собрать информацию о работе антивируса.

Конечно, это не даёт такого же преимущества, как при использовании консоли управления платных корпоративных антивирусов, той свободы в управлении, которая была бы насущна в больших организациях. Но, иногда это и не нужно. Некоторым будет достаточно и такого, бесплатного решения.

Тем более, если это решение позволяет управлять приложением с удалённых компьютеров.

Буду надеяться, что данный программный продукт выполнит функцию, заложенную в него производителем, компанией Microsoft, то есть уменьшит количество заражённых компьютерных систем, обеспечив тем самым безопасность как домашнего, так и корпоративного пользователя.

 

Источник: http://securityessentials.ru/blog/mse-shell.html

Tags: ,

Comments are closed