Gestionar Windows Defender desde la línea de comandos se ha convertido en una herramienta imprescindible tanto para usuarios avanzados como para administradores de sistemas que buscan automatizar, personalizar y tener un mayor control sobre la seguridad de sus equipos Windows. Aunque la mayoría de la gente utiliza la interfaz gráfica de este antivirus, conocer los comandos adecuados puede facilitar tareas como análisis rápidos, programados o personalizados, actualizaciones, restauración de cuarentena y muchas opciones más, especialmente útil en situaciones donde la interfaz no está disponible o no funciona correctamente.
En este artículo, vamos a explorar todas las posibilidades y comandos que te ofrece Windows Defender a través de CMD, mezclando la información oficial, experiencias prácticas y trucos útiles. Si alguna vez te has preguntado para qué puede servir ejecutar instrucciones directamente en la consola para gestionar tu antivirus, aquí tienes una guía completa, escrita en español de España y con un lenguaje cercano, para que puedas exprimir al máximo las capacidades de seguridad de tu sistema.
¿Por qué utilizar Windows Defender desde CMD?
Aunque Microsoft Defender (antes conocido como Windows Defender) está pensado para ser usado principalmente desde su sencilla y visual interfaz gráfica, la línea de comandos amplía el abanico de posibilidades para la gestión y automatización. No se trata solo de hacer lo mismo que ya puedes hacer con ratón y clics; la gran diferencia está en poder integrar órdenes en scripts, automatizar tareas repetitivas y programar acciones de seguridad que de otra forma requerirían estar siempre delante del equipo.
Algunos casos prácticos donde la gestión por comandos marca la diferencia incluyen:
- Administración en redes: ideal para gestionar varios equipos de forma remota o en masa.
- Resolución de incidencias: cuando la interfaz gráfica no funciona, la opción CMD puede salvar el día.
- Automatización y scripting: integración en archivos .bat, tareas programadas o scripts avanzados para ejecutar análisis, actualizaciones y otras operaciones sin intervención manual.
- Personalización profunda: acceso a parámetros avanzados que no siempre están visibles en la interfaz estándar.
Eso sí, usar la consola de Windows para controlar el antivirus requiere ejecutar CMD con permisos de administrador, ya que de lo contrario muchas funciones no estarán disponibles o darán error.
¿Qué es MpCmdRun.exe y dónde está?
El “centro de operaciones” de Windows Defender desde CMD es el archivo ejecutable MpCmdRun.exe (Microsoft Malware Protection Command Line Utility). Este programa es el encargado de interpretar y ejecutar todas las órdenes, parámetros y opciones relacionadas con la protección antivirus.
Normalmente, puedes encontrar MpCmdRun.exe en la carpeta de instalación de Windows Defender:
- En sistemas modernos: C:\ProgramData\Microsoft\Windows Defender\Platform\(número de versión)
- En versiones anteriores o si el sistema está en español: C:\Archivos de programa\Windows Defender
Es recomendable situarte primero en la ruta correcta antes de lanzar cualquier comando, ejecutando en CMD:
cd C:\ProgramData\Microsoft\Windows Defender\Platform\4.18*
Recuerda que donde aparece 4.18* puede variar en función de la versión instalada, así que revisa la carpeta correspondiente.
Principales comandos de Windows Defender desde CMD
A continuación recopilamos los comandos más importantes, útiles y versátiles que puedes utilizar para sacar el máximo partido a Windows Defender utilizando MpCmdRun.exe en CMD:
Analizar el sistema en busca de virus y malware
Uno de los usos principales de CMD con Windows Defender es lanzar análisis bajo demanda para comprobar si tu PC está limpio o si ha sido infectado por software malicioso. El comando básico es:
MpCmdRun.exe -Scan -ScanType
Los valores de ScanType determinan el tipo de análisis que ejecutas:
- 0: Escaneo según la configuración predeterminada.
- 1: Analiza áreas críticas (escaneo rápido).
- 2: Analiza todos los archivos del disco (escaneo completo).
- 3: Escaneo personalizado, debes especificar la carpeta o archivo.
Ejemplos prácticos:
- Escaneo rápido:
MpCmdRun.exe -Scan -ScanType 1 - Escaneo completo:
MpCmdRun.exe -Scan -ScanType 2 - Escanear carpeta concreta:
MpCmdRun.exe -Scan -ScanType 3 -File "C:\Users\TuUsuario\Descargas"
Para análisis personalizados, puedes añadir parámetros adicionales como -DisableRemediation para que solo se muestren los resultados sin tomar acciones, o -BootSectorScan para incluir el sector de arranque en la revisión (útil para amenazas persistentes):
MpCmdRun.exe -Scan -BootSectorScan
Opcionalmente, puedes usar -Timeout para fijar un límite de tiempo para el análisis y -CpuThrottling para controlar el uso de CPU asignado al proceso de escaneo.
Cancelar análisis en curso
Si lanzas por error un análisis o necesitas detenerlo antes de que finalice, puedes hacerlo de forma sencilla:
MpCmdRun.exe -Cancel
Este comando interrumpe cualquier escaneo activo. Muy útil si el análisis está tardando demasiado o si te has equivocado con el tipo de exploración.
Actualizar la base de firmas y motor antivirus
Para una protección eficaz es fundamental tener las firmas de virus y el motor siempre actualizados. Sin necesidad de abrir la interfaz gráfica, puedes forzar la actualización desde CMD:
MpCmdRun.exe -SignatureUpdate
Existen variaciones para especificar la fuente de actualización o si quieres restaurar a una versión previa:
- Actualizar desde MMPC:
MpCmdRun.exe -SignatureUpdate -MMPC - Actualizar desde ruta UNC:
MpCmdRun.exe -SignatureUpdate -UNC - Restaurar motor:
MpCmdRun.exe -RemoveDefinitions -Engine
Borrar actualizaciones defectuosas o solucionar problemas
En ocasiones, una actualización defectuosa puede causar problemas en el funcionamiento de Windows Defender. Si necesitas eliminar las actualizaciones más recientes y volver a un estado anterior, ejecuta:
MpCmdRun.exe -RemoveDefinitions -All
Para borrar únicamente las firmas dinámicas descargadas durante el uso:
MpCmdRun.exe -RemoveDefinitions -DynamicSignatures
Si el problema es con la plataforma del antivirus, puedes restaurar a versiones previas:
- Restablecer plataforma:
MpCmdRun.exe -ResetPlatform - Revertir a la anterior:
MpCmdRun.exe -RevertPlatform
Gestionar la cuarentena y restaurar archivos
Los archivos sospechosos detectados por Defender suelen moverse a cuarentena. Puedes ver y administrar estos elementos por CMD:
MpCmdRun.exe -Restore
- -ListAll: Muestra todos los archivos en cuarentena.
- -Name: Restaura la última amenaza coincidente con ese nombre.
- -All: Restaura todos los archivos en cuarentena.
- -FilePath: Restaura un archivo específico según su ruta completa.
Verificar exclusiones de análisis
Para consultar si un archivo o carpeta está excluido de los análisis del antivirus:
MpCmdRun.exe -CheckExclusion -path "C:\Ruta\a\comprobar"
Así podrás saber si hay rutas donde Defender no está comprobando amenazas y actuar en consecuencia. Para detectar posibles conflictos, puedes revisar también errores en el registro relacionados con Windows Defender.
Recopilar información de soporte y diagnóstico
Para resolver incidencias complejas, existe la opción de recopilar datos útiles de diagnóstico para soporte técnico:
MpCmdRun.exe -GetFiles
También se puede ejecutar -GetFilesDiagTrack para obtener informes especializados o activar el seguimiento de diagnóstico con:
MpCmdRun.exe -Trace
Si necesitas una captura de tráfico de red relacionada con la protección antivirus, puedes usar este comando:
MpCmdRun.exe -CaptureNetworkTrace -Path "C:\Dónde\guardar\captura.etl"
Otras funciones avanzadas y parámetros útiles
El abanico de opciones de MpCmdRun.exe va mucho más allá de estas funciones. Existen comandos para:
- Gestionar firmas dinámicas (cargar, listar o eliminar):
MpCmdRun.exe -AddDynamicSignature -Path "firma"
MpCmdRun.exe -ListAllDynamicSignatures
MpCmdRun.exe -RemoveDynamicSignature -SignatureSetID # - Comprobar la conexión con la nube de Microsoft:
MpCmdRun.exe -ValidateMapsConnection - Ver las URLs de conexión con ECS:
MpCmdRun.exe -DisplayECSConnection - Validar reglas de control de dispositivos:
MpCmdRun.exe -DeviceControl -TestPolicyXml "archivo.xml" -Rules - Ver reglas personalizadas de Azure Site Recovery:
MpCmdRun.exe -ListCustomASR - Ver estado de aceleración de copia del sistema operativo:
MpCmdRun.exe -OSCA
Estos comandos proporcionan un control muy granular sobre tu antivirus, facilitando tareas complejas para usuarios avanzados o administradores IT.
Eliminar virus manualmente desde CMD
En ocasiones, puedes necesitar ir más allá del análisis automático y eliminar manualmente archivos sospechosos. Los pasos habituales incluyen:
- Cerrar procesos relacionados, por ejemplo:
taskkill /f /im explorer.exe - Navegar hasta la carpeta del archivo infectado.
- Quitar atributos que impidan su borrado, como oculto, sólo lectura o de sistema:
attrib -a -r -h nombrevirus.exe
attrib -a -r -h C:\Ruta\nombrevirus.exe - Borrar el archivo:
del nombrevirus.exe
del C:\Ruta\nombrevirus.exe
Es importante escribir correctamente el nombre del archivo y su extensión para asegurarte de que se elimina el elemento adecuado y no otros ficheros del sistema.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.