Windows_Defender

通过 WDS 环境应用 Windows Defender Offline

        上一篇文章“通过 WDS 环境应用 Windows Defender Offline - 上”,gOxiA 分享了如何制作 Windows Defender Offline 的 ISO 镜像,而今天这篇将开始我们的主题。在 WDS 环境下应用 Windows Defender Offline(以下简称:WDO),可以极大方便用户使用 WDO,通过企业网络 PXE 引导 WDO,比起 UFD 更安全也更高效。

        但是,当我们将 WDO 的启动 WIM 文件添加到 WDS Boot Image,在用户端引导 WDO 后会发现,无法正常执行扫描工作,因为 Virus and spyware definitions: Out of date,即病毒特征库过期。如此,在 WDO 启动的初始化界面实际上是在加载最新的病毒特征库。

snipaste20170222_163746

        为了进行论证对 WDO 的 ISO 进行了分析,发现在 ISO 根目录中有一个名为 mpam-fex64.exe 文件,该文件就是最新的病毒特征库,那么接下来就要搞清楚 WDO 是如何调用这个病毒特征库的,首先要看看 Winpeshl.ini 是否定义了命令行,参考下图,确实调用了 Windows Defender 相关的执行命令,从文件名看是个专为 Offline 编写的命令,而且没有加参数,gOxiA 猜测对 mpam-fex64.exe 的调用是写在内部代码里的。

snipaste20170222_164807

snipaste20170223_083939

        既然是固化在内部代码中的,就要确定调用特征库的具体路径,以便为后续能在 WDS 中应用 WDO 奠定基础。为此使用了 Sysinternals 工具集中的 Strings 对 OfflineScannerShell.exe 进行了分析,果然不出所料,特征库名称是固定的,但是没能找到定义路径。

snipaste20170223_091439

snipaste20170223_091307

        重新分析 ISO 文件结构发现 mpam-fex64.exe 存储位置还包含一个 FilesList64.dll,从名字看貌似与遍历有关,难不成 WDO 是通过遍历目录寻找名为 mpam-fex64.exe 的文件,既然已经走到这一步,只能实验出结果,将 WDO 的

WIM 文件通过 DISM 命令 Mount 出来,然后直接将 FileList64.dll 和 mpam-fex64.exe 拷贝到 WDO 的 WIM 映像根目录中,保存更新添加到 WDS 启动映像,找台客户端开机 PXE 引导测试,通过!!!

snipaste20170222_164914 

        问题解决,以后只需要手工下载最新版的 mpam-fex64.exe 打包到 WDO 的 WIM 中即可。Windows Defender 的最新特征库可以从下面的官方网站下载到,不要忘记将下载的文件名改为 WDO 定义的名字。

Updating your Microsoft antimalware and antispyware software:

https://www.microsoft.com/security/portal/definitions/adl.aspx

Windows_Defender

通过 WDS 环境应用 Windows Defender Offline

        在开写本文前,gOxiA 觉得很有必要先介绍一下什么是 Windows Defender Offline?!以及如何获得 Windows Defender Offline?!然后再与大家分享通过 WDS 环境应用 Windows Defdender Offline。

        Windows Defender 相信使用 Windows 的朋友并不会感到陌生,它是一款微软研发的 Windows 实时保护软件,用于检测和减少可能危害 Windows 及用户安全的软件,不论威胁是来自电子邮件,还是内网或互联网,它都能够检测并删除病毒、间谍软件和恶意软件。Windows Defender 历史悠久,支持 Windows XP/Vista/7/8,直至现在的 Windows 10。gOxiA 从 XP 时代就开始使用 Windows Defender(那时它还不叫这个名字,一路更名,过去的它就简称 MSE 吧!),非常值得信赖,在个人认为是安全软件里做的最有良心的,没有之一!!!(PS:评价就是如此之高)如果你希望更深入的了解 Windows Defender 技术方面的细节,请一定不要错过“Windows Defender 技术概述”这篇官方文档。

        而 Windows Defender Offline 其实是 Windows Defender 的一个功能,或理解为一种运行时态,即离线扫描。通过专用的工具可从微软官方下载最新的安全威胁特征库,并为其创建一个受信任的运行环境,从而无需启动操作系统,便可对该操作系统进行扫描和查杀安全威胁。Windows Defender Offline 尤其针对那些 rootkit 等及其顽固的恶意软件。下图便是 Windows Defender Offline 正在运行时的样子,首先会执行初始化,之后自动开始执行扫描,在联网环境下还支持更新特征库,而且也支持自定义扫描!

snipaste20170222_160614

snipaste20170222_160713

snipaste20170222_160734

snipaste20170222_161031

        看完上面的介绍,是不是心里顿生想法,尤其是 ITer 一定要有个 Windows Defender Offline 傍身才好!接下来跟随 gOxiA 的节奏一起来尝试创建 Windows Defender Offline。需要注意,如果你是 Windows 10 用户,可在“所有设置”-“更新和安全”-“Windows Defender”下找到“Windows Defender Offline”的“脱机扫描”按钮,点击它之后系统会在一分钟后重启进入 Windows Defender Offline 环境。

snipaste20170223_211537

        如果你是 Windows 老版本的用户,又或者极其想拥有一个独立于当前系统的 Windows Defender,那么可以继续往下看了!首先下载 Windows Defender Offline 创建工具:

        下载到本地后便可直接运行它,启动创建向导以便完成 Windows Defender Offline 的制作,向导支持 CD、DVD、UFD 以及 ISO 格式,如果你不熟悉如何将 ISO 转为 UFD,那么建议你在后续过程中插入一个 U盘选择对应的方式创建,而本文则是以 ISO 来演示的。

DefenderOfflineTools-1

DefenderOfflineTools-2

        这一步是关键,三种创建方式,根据自己的实际情况选择,本文则选在 ISO 文件。

DefenderOfflineTools-3

        选择 ISO 的存储位置,为了方便查找,可直接保存在桌面上。

DefenderOfflineTools-4

        创建开始,此时请确保你有一个高速互联网,否则区区不到 300MB 的数据也够你受的!(PS:由于 Windows Defender Offline 资源使用了某司的CDN,虽然进行了分流优化,但实际上国内的网络还是非常之慢!)

DefenderOfflineTools-5

        OK,在经过漫长的等待过程后,ISO 便创建好了,有了 ISO 文件,ITer 应用起来就得心应手了许多,可以先载入到虚拟机下感受感受。

DefenderOfflineTools-6

        休息一下,接下来我们本文的重点将是在 WDS 环境下应用 Windows Defender Offline!这个场景更多的是在企业环境中……(未完待续!)

newofficebanner

Office Deployment Tool 相关配置参考信息

        通过 Office Deployment Tool(ODT)安装的 Office 有一个显著优势就是日后更新非常便捷,只需在 Office 账户下通过更新选项即可将当前 Office 升级到最新版本,而且利用 ODT 还可以下载安装最新的 Build。gOxiA 曾分享过两篇有关的文章“HOWTO: 从本地位置部署 Office365 ProPlus”、“Office 2016 Deployment Tool 现已发布”。

        使用 ODT 不仅可以针对企业级部署和安装 Office 365 ProPlus 这些主要商用版本,还能获取到更多的 SKU 以及更多的语言版本。而要获得更多的资源就依赖特定的配置信息,例如要获取 32 或 64 位版本,我们需要使用“OfficeClientEdition”,值 = 32 或者 64 即可。

        对于要获得更多 SKU,即 Edition 发行版本,则需要指定“Product ID”,下面列出了各 Edition 所对应的值。

Edition

Value

Office 2013/2016 Home and Student HomeStudentRetail
Office 2013/2016 Personal PersonalRetail
Office 2013/2016 Home and Business HomeBusinessRetail
Office 2013/2016 Professional ProfessionalRetail
Office 2013/2016 Professional Plus ProPlusRetail
Office 365 Home Premium O365HomePremRetail
Office 365 Small Business Premium O365SmallBusPremRetail
Office 365 Business O365BusinessRetail
Office 365 Professional Plus O365ProPlusRetail
Access 2013/2016 AccessRetail
Excel 2013/2016 ExcelRetail
InfoPath 2013/2016 InfoPathRetail
OneNote 2013/2016 OneNoteRetail
Outlook 2013/2016 OutlookRetail
PowerPoint 2013/2016 PowerPointRetail
Publisher 2013/2016 PublisherRetail
Word 2013/2016 WordRetail
SharePoint Designer 2013 SPDRetail
Project 2013/2016 Standard ProjectStdRetail
Project 2013/2016 Professional ProjectProRetail
Project 2013/2016 Standard volume license ProjectStdXVolume
Project 2013/2016 Professional volume license ProjectProXVolume
Visio 2013/2016 Standard VisioStdRetail
Visio 2013/2016 Professional VisioProRetail
Visio 2013/2016 Standard volume license VisioStdXVolume
Visio 2013/2016 Professional volume license VisioProXVolume
Skype for Business Basic 2015 (Office 2013) LyncEntryRetail
Skype for Business 2015 (Office 2013) LyncRetail
Skype for Business Basic 2016 (Office 2016) SkypeforBusinessEntryRetail
Skype for Business 2016 (Office 2016) SkypeforBusinessRetail  

        而下表则是语言版本,即“Language ID”所对应的值。

Language

Value

Arabic (Saudi-Arabia) ar-sa
Bulgarian (Bulgaria) bg-bg
Chinese, simplified (PR China) zh-cn
Chinese, traditional (Taiwan) zh-tw
Croatian (Croatia) hr-hr
Czech (Chech Replublic) cs-cz
Danish (Denmakr) da-dk
Dutch (Netherlands) nl-nl
English (USA) en-us
Estonian (Estonia) et-ee
Finnish (Finland) fi-fi
French (France) fr-fr
German (Germany) de-de
Greek (Greece) el-gr
Hebrew (Israel) he-il
Hindi (India) hi-in
Hungarian (Hungary) hu-hu
Indonesian (Indonesia) id-id
Italian (Italy) it-it
Japanese (Japan) ja-jp
Kazakh (Kazakhstan) kk-kz
Korean (Republic of Korea) ko-kr
Latvian (Latvia) lv-lv
Lithuanian (Lithuania) lt-lt
Malay (Malaysia) ms-my
Norwegian, Bokmål (Norway) nb-no
Polish (Poland) pl-pl
Portuguese (Brazil) pt-br
Portuguese (Portugal) pt-pt
Romanian (Romania) ro-ro
Russian (Russian Federation) ru-ru
Serbian, Latin (Serbia / Montenegro) sr-latn-cs
Slovakian (Slovakia) sk-sk
Slovenian (Slovenia) sl-si
Spanish (Spain) es-es
Swedish (Sweden) sv-se
Thai (Thailand) th-th
Turkish (Turkey) tr-tr
Ukrainian (Ukraine) uk-ua
Vietnamese (Vietnam) vi-vn  
分页: 1/2 第一页 1 2 下页 最后页 [ 显示模式: 摘要 | 列表 ]