Vad är då Defender Offline?

Ett problem med en antimalware-produkt som körs i datorns operativsystem är att identifiera skadlig kod som angripit bootsektorn och startar innan operativsystemet startar upp.

Det finns ett antal antimalwareprodukter på marknaden som är avsedda för att identifiera den här typen av skadlig kod genom att boota upp datorn på produktens egna media.

Microsoft har erbjudit den här produkten gratis i många år, tidigare hette produkten Standalone System Sweeper men heter sedan några år tillbaka Defender Offline. Defender Offline bygger på Windows PE som operativsystem och själva antimalwareprodukten är densamma som övriga Defender och Endpoint Protection produkter.

Vanliga Defender eller Endpoint Protection kan identifiera skadlig kod och baserat på vad signaturen säger meddelar den också användaren om denne behöver använda Defender Offline för att radera det aktuella viruset. Det kan även vara värt att söka igenom känsliga system med Defender Offline med jämna mellanrum för att identifiera exempelvis rootkit eller annan typ av skadlig kod som döljer sig för ett traditionellt antimalware.

Windows Defender offline kan användas på allt ifrån Windows XP SP3 till Windows 8.
Däremot fungerar det inte om datorn kör det senaste operativsystemet Windows 8.1 utan där är det än så länge en Beta av Defender Offline som gäller.

Defender Offline är enkelt att använda (vilket är en viktig förutsättning) både för att skapa ett bootbart media och att använda själva produkten.
När du vill scanna en dator, verifiera vilket operativsystem och vilken arkitektur (32 eller 64bits) som används och ladda ner rätt installationspaket:

• För XP-Win 8 http://windows.microsoft.com/sv-se/windows/what-is-windows-defender-offline
• För Win 8.1 http://windows.microsoft.com/sv-se/windows/what-is-windows-defender-offline-beta

Se till att du kör installationen på en dator som anses vara säker (så du inte kör den från den dator du misstänker är smittad)
Du behöver:

• ett skrivbart media såsom CD/DVD eller USB-minne som Defender Offline kan skapas på. (Observera att programmet kommer formatera enheten och göra den bootbar så du inte använder ett USB minne med befintliga filer på)
• En Internetanslutning då den hämtar ner de senaste definitionerna.

Tänk på att det hela tiden kommer nya definitioner och att köra med ett uppdaterat media.
Du behöver dock inte skapa ett nytt media varje gång utan så länge mediat är skrivbart kan du köra en uppdatering av definitionerna i efterhand.

Starta upp den dator du misstänker vara smittad med Defender Offline mediat. Efter att Windows PE startat upp så startar Defender Offline och kör en quick Scan vilket då bl.a. går igenom registret, Windowsbiblioteket medmera vilket oftast är tillräckligt. Jag rekommenderar dock att även köra en fullscan med detta verktyg då en fullscan gör en djupare analys av alla filer än en quick scan.
Via en Custom Scan kan du specificera vilka volymer och kataloger du vill scanna.

Genomför Defender Offline Scan centralt med hjälp av System Center Configuration Manager 2012

I större organisationer med flera tusen datorer är det inte alltid möjligt att “springa ut” för att genomföra denna Defender Offline -scan på en dator. Vanligast är att man installerar om datorn centralt, vilket iofs är ett ännu bättre alternativ säkerhetsmässigt för den specifika datorn. Nackdelen med det är att man inte identifierar vilket virus det handlar om. I många fall kan nämligen information om viruset göra att man kan arbete proaktivt genom att identifiera och minimera sårbarheter eller användarbeteenden.

Med hjälp av System Center Configuration Manager OSD kan man centralt på samma sätt som man normalt installerar datorer köra en Defender Offline Scan.
En stor fördel är också om hårddiskarna är krypterade med Bitlocker (vilket förhindrar uppstart på annan media) då man centralt kan inaktivera bitlocker, genomföra scanningen och sedan aktivera bitlocker på nytt.

Exakt hur man genomför detta finns att läsa på produktgruppens blogg här: http://blogs.technet.com/b/configmgrteam/archive/2012/04/12/launching-a-windows-defender-offline-scan-with-configuration-manager-2012-osd.aspx