适用于: Windows Defender 脱机版是一个反恶意扫描工具,可让你从受信任的环境启动和运行扫描。 因为扫描从正常的 Windows 内核之外运行,所以它可以找到尝试绕过 Windows Shell 的恶意软件,例如感染或覆盖主启动记录 (MBR) 的病毒和 Rootkit。 在 Windows 10 中,可直接在 Windows Defender 客户端中一键运行 Windows Defender 脱机版。 在以前版本的 Windows 中,用户必须将 Windows Defender 脱机版安装到可启动媒体、重启终结点,并加载可启动媒体。 先决条件和要求Windows 10 中的 Windows Defender 脱机版具有与 Windows 10 相同的硬件要求。 有关 Windows 10 要求的详细信息,请参阅以下主题: 注意Windows Defender 脱机版在装有 ARM 处理器的计算机或 Windows Server 单品上不受支持。
若要从终结点运行 Windows Defender 脱机版,用户必须使用管理员权限登录。 Windows Defender 脱机版更新Windows Defender 脱机版使用终结点提供的最新签名定义; 只要 Windows Defender 通过新签名定义更新,它就会更新。 更新通常通过 Microsoft 更新或 Microsoft 恶意软件防护中心进行,具体取决于设置。
使用方案在 Windows 10 版本 1607 中,可手动强制执行脱机扫描。 或者,如果 Windows Defender 决定需要运行 Windows Defender 脱机版,它将在终结点提醒用户。 如果使用 System Center Configuration Manager 管理终结点,需要执行脱机扫描的提示也会显示在它上面。 提示可经由通知发生,类似于以下内容: 用户也可在 Windows Defender 客户端中收到通知: 在 Configuration Manager 中,可标识终结点状态,方法是导航到“监视”>“概述”>“安全”>“Endpoint Protection 状态”>“System Center Endpoint Protection 状态”*。 Windows Defender 脱机版扫描在“恶意软件修正状态”下显示为“需要脱机扫描”***。 管理通知
可使用组策略取消 Windows Defender 脱机版通知。 注意更改这些设置将影响来自 Windows Defender 的所有通知。 禁用通知意味着终结点用户将无法看到关于检测到或已删除的威胁的任何消息,或者无法了解是否需要执行其他步骤。
使用组策略取消 Windows Defender 通知: 在组策略管理计算机上,打开 组策略管理控制台、右键单击想要配置的组策略对象,然后单击“编辑”。 在“组策略管理编辑器”*中,转到“计算机配置”*。 依次单击“策略”*、“管理模板”*。 将树展开到“Windows 组件”>“Windows Defender”>“客户端界面”****。 双击“取消所有通知”*设置,并将该选项设为“已启用”。 单击“确定”***。 这将禁用 Windows Defender 客户端显示的所有通知。
配置 Windows Defender 脱机版设置可使用 Windows Management Instrumentation 来启用或禁用 Windows Defender 脱机版中的某些功能。 例如,可使用 Set-MpPreference 更改 UILockdown 设置以禁用和启用通知。 有关使用 Windows Management Instrumentation 配置 Windows Defender 脱机版的详细信息,包括配置参数和选项,请参阅以下主题: 运行扫描Windows Defender 脱机版使用最新威胁定义扫描终结点中可能隐藏的恶意软件。 在 Windows 10 版本 1607 中,可使用 Windows 更新和安全设置手动强制执行脱机扫描。 注意在使用 Windows Defender 脱机版之前,请确已保存所有文件,并关闭运行的程序。 Windows Defender 脱机版扫描大约需要运行 15 分钟。 扫描完成后,它将重启终结点。
可使用以下方式设置 Windows Defender 脱机版扫描: 注意扫描在常规 Windows 操作环境之外执行。 用户界面将不同于 Windows Defender 执行常规扫描时显示的界面。 扫描完成后,终结点将重启,Windows 也将正常加载。
从 Windows 设置运行 Windows Defender 脱机版: 从 Windows Defender 运行 Windows Defender 脱机版: 使用 Windows Management Instrumentation 配置并运行 Windows Defender 脱机版: 使用 MSFT_MpWDOScan 类(Windows Defender Windows Management Instrumentation 提供程序的一部分)运行 Windows Defender 脱机版扫描。 以下 Windows Management Instrumentation 脚本代码段将立即运行 Windows Defender 脱机版扫描,这将重启终结点、运行脱机扫描,然后重启并启动到 Windows。 wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call StartCopy
有关使用 Windows Management Instrumentation 在 Windows Defender 中运行扫描的详细信息,包括配置参数和选项,请参阅以下主题: 使用 PowerShell 运行 Windows Defender 脱机版: 使用 PowerShell 参数 Start-MpWDOScan 运行 Windows Defender 脱机版扫描。 查看扫描结果执行扫描后,Windows Defender 脱机版扫描结果将列在 Windows Defender 主用户界面中。 将显示任何检测到的项目。 通过 Windows Defender 脱机版检测到的项目将在“检测源”*中列为“脱机”*: 相关主题 | 
发表于 2016-10-24 13:59:40
