「むしろ Defender が良い」理由 (オフラインスキャン)
先日紹介したこちら ↑ の投稿で「むしろ Defender が良い」理由の説明が少々足りなかったと感じたので、補足として Defender を特別なものにしている機能の一つと All Soul が考えてる「オフラインスキャン」を紹介
会社のような組織内でウィルス感染の疑いのあるパソコンが出た時は被害を拡大させないよう「直ちにネットワークから遮断」した上で診断/処置を行うのが鉄則。でないと診断/処置を行ってる間に被害を拡大させてしまう懸念があるので
しかし通常のウィルス対策ソフトはオンライン環境での検知/駆除はよくできてもオフライン環境はあまり (いや、ほとんど) 想定していないと思われ、企業でシステム管理者として仕事した経験に基づく主観ながら、疑わしい事象に出くわした時にオフライン環境で意図した診断/処置できるかと言われたら ??。その点 Defender はオフライン環境もちゃんと想定し、それ用のツールも用意されてるのでその点は信頼した上で対処できるという
こちら ↓ は All Soul がIT系の仕事に携わってた頃に、ウィルス感染の疑いが生じた時のために Defender オフラインスキャンを利用した診断/処置の手順をまとめたあんちょこ
まず感染が疑われるパソコンをネットワークから遮断した上で実行中のプログラムを停止。別のウィルス対策ソフトが入っていたらアンインストールし (それが適切に動作していない/更新されていないため感染が疑われる事態に至ったので)、Defender を主たるウィルス対策ソフトとして設定
次に、感染していない別のパソコン (ネットワークに接続している) の Defender 定義が最新に更新されているのを確認し、その後下記URLを開く
https://www.microsoft.com/en-us/wdsi/defenderupdates
"Manually download the update" セクションで、感染が疑われるパソコンと同じOS用 (Microsoft Defender Antivirus for Windows 11, Windows 10, Windows 8.1, and Windows Server) の最新定義をダウンロード
上記でダウンロードされたオフライン環境での定義更新用プログラム mpam-fe.exe を感染が疑われるパソコンにコピーし (ネットワークから遮断されているのでUSBメモリで) 管理者として実行すると Defender 定義が最新に更新 (実行中/実行後の画面表示/変遷なし - マウスポインタをデスクトップ上に配置し、実行中は◎、実行後は通常の↑の表示に)
その後感染が疑われるパソコンで「セキュリティダッシュボード」→「ウィルスと脅威の防止」で最新の定義に更新されていることを確認。さらに「スキャンのオプション」から「Microsoft Defender オフラインスキャン」を選択し「今すぐスキャン」ボタンをクリックするとオフラインスキャン開始(所要約15分程度)。再起動を経て完了しウィルスが検出されなければ「感染が疑われたが診断/処置済み」と判断してOK