Menu Fermer

Comment utiliser Windows Defender en ligne de commande (MpCmdRun)

Dans le tutoriel précédent, j’expliquais comment gérer et utiliser Windows Defener en PowerShell.
MpCmdRun est une commande CMD disponible dans l’invite de commandes qui permet d’utiliser l’antivirus Windows Defender.
Elle est incluse par défaut dans Windows 10 et Windows 11 pour effectuer la plupart des tâches courantes depuis Powershell ou l’invite de commandes.
Ainsi, il est possible d’activer/désactiver Windows Defender, vérifier les mises à jour, lancer une analyse de votre PC, supprimer les fichiers de la quarantaine, ajouter un fichier en exception.

Ce tutoriel vous guide pour utiliser Microsoft Defender en ligne de commande.
Vous pouvez les intégrer dans un script BATCH.

Comment utiliser Windows Defender en ligne de commande (MpCmdRun)

Comment utiliser Windows Defender en ligne de commandes

Comment activer/désactiver Windows Defender en ligne de commandes

MpCmdRun ne permet pas d’activer ou désactiver la protection Windows Defender.
Mais on peut faire cela en PowerShell avec Set-MpPreference.

Pour cela :

Set-MpPreference -DisableRealtimeMonitoring 0
Désactiver la protection de Windows Defender avec Powershell
  • Pour réactiver la protection, repositionnez simplement la valeur à 1 comme ceci :
Set-MpPreference -DisableRealtimeMonitoring 1

D’autres méthodes dans ce tutoriel :

Enfin pour configurer Windows defender en PowerShell :

Comment vérifier et installer les mises à jour de définitions virales de Windows Defender

Voici comment vérifier les mises à jour de définitions virales de Windows Defender en ligne de commande :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate

Une fois la commande passée, Windows defender vérifie si des mises à jour de signatures sont disponibles, si oui, il les télécharge puis les installe.

Comment vérifier et installer les mises à jour de définitions virales de Windows Defender en ligne de commande

Comment désinstaller les mises à jour de la protection Windows Defender

L’option -RemoveDefinitions permet de désinstaller les mises à jour de la protection Windows Defender.

Pour désinstaller les mises à jour de définitions virales de Windows Defender les plus récentes :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All

Pour désinstaller la dernière mise à jour du moteur antivirus Windows Defender, utilisez l’option -Engine :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -Engine

Enfin utilisez -DynamicSignatures pour désinstaller les mises à jour de signatures dynamiques :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -DynamicSignatures -Engine

Comment analyser son PC avec Windows Defender

MpCmdRun donne aussi la possibilité d’effectuer une analyse de l’antivirus en ligne de commandes.
Pour cela :

Pour effectuer une analyse rapide :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1
Comment analyser son PC avec Windows Defender en ligne de commande

Pour effectuer une analyse complète :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
VALEURS DE SCANTYPEDESCRIPTION
0Défaut, selon votre configuration
1Analyse rapide
2Analyse complète du système
3Scanner un fichier ou un dossier
Les valeurs de ScanType de MpCmdRun

Comment scanner un fichier en ligne de commandes avec Windows Defender

Vous doutez sur un fichier ? Est-il sain ou malveillant ?
Vous pouvez aussi effectuer une analyse d’un fichier ou répertoire spécifique en ligne de commandes.
Pour cela, on utilise l’option 3 de ScanType en spécifiant le fichier à l’aide de -File :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 3 -File "Chemin\fichier"

Par exemple pour analyser C:\Users\MonUser\Downloads\setup.exe :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 3 -File "C:\Users\MonUser\Downloads\setup.exe"

Pour rappel, en cas de doute sur un fichier, vous pouvez aussi utiliser le service VirusTotal qui permet d‘analyser fichier en ligne sur plusieurs antivirus :

Comment supprimer et restaurer un fichier de la quarantaine

L’utilitaire de lignes de commande de Windows Defender permet aussi de contrôler les fichiers en quarantaine.
Vous pouvez lister, supprimer ou vider la quarantaine.
Pour cela, on l’utilise l’option -Restore.

Pour lister les fichiers en quarantaine dans Windows Defender :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -ListAll
Lister les fichiers en quarantaine dans Windows Defender en ligne de commande

Pour restaurer tous les fichiers de la quarantaine de Windows Defender et donc vider la quarantaine :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -All

La commande renvoie No quarantined items lorsque la quarantaine est vide.

Mais si on veut restaurer un fichier spécifique par le nom de de la menace, on utilise l’option -Name.
Par exemple pour restaurer les fichiers en quarantaine par la menace PUA:Win32/Presenoker :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -Name PUA:Win32/Presenoker
Comment supprimer et restaurer un fichier de la quarantaine de Windows Defender en ligne de commande

Le fichier est restauré dans l’emplacement d’origine.

Utilisez l’option -Path pour indiquer l’emplacement de destination pour ne pas restaurer à l’emplacement d’origine.
Par exemple pour restaurer sur le bureau :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -Name Trojan:Win32/Ceevee -Path "%USERPROFILE%\Desktop"

Une autre option -FilePath permet aussi de restaurer un fichier de la quarantaine par le nom du fichier.
Par exemple pour restaurer le fichier C:\Users\Mak\Download\setup.exe sur le bureau de Windows :

"C:\Program Files\Windows Defender\MpCmdRun.exe" -Restore -FilePath "C:\Users\Mak\Download\setup.exe"
Comment supprimer et restaurer un fichier de la quarantaine de Windows Defender en ligne de commande

Comment vérifier si un fichier ou dossier est en exclusion

L’option -CheckExclusion -path permet de tester si un répertoire ou fichier est présent dans les exeptions de Windows Defender.
Lorsque ce n’est pas le cas, la commande retourne “is not excluded. exit code is 1.”

"C:\Program Files\Windows Defender\MpCmdRun.exe" CheckExclusion -path C:\Windows
C:\Windows [\Device\HarddiskVolume3\Windows] is not excluded. Exit code is 1.

Si l’élément est en exception alors la commande renvoie “is excluded. Exit code is 0

"C:\Program Files\Windows Defender\MpCmdRun.exe" CheckExclusion -path "C:\Users\MaK\Documents\Virtual Machines"
C:\Users\MaK\Documents\Virtual Machines [\Device\HarddiskVolume3\Users\MaK\Documents\Virtual Machines] is excluded. Exit code is 0.