通过 WDS 环境应用 Windows Defender Offline - 下
通过 WDS 环境应用 Windows Defender Offline
上一篇文章“通过 WDS 环境应用 Windows Defender Offline - 上”,gOxiA 分享了如何制作 Windows Defender Offline 的 ISO 镜像,而今天这篇将开始我们的主题。在 WDS 环境下应用 Windows Defender Offline(以下简称:WDO),可以极大方便用户使用 WDO,通过企业网络 PXE 引导 WDO,比起 UFD 更安全也更高效。
但是,当我们将 WDO 的启动 WIM 文件添加到 WDS Boot Image,在用户端引导 WDO 后会发现,无法正常执行扫描工作,因为 Virus and spyware definitions: Out of date,即病毒特征库过期。如此,在 WDO 启动的初始化界面实际上是在加载最新的病毒特征库。
为了进行论证对 WDO 的 ISO 进行了分析,发现在 ISO 根目录中有一个名为 mpam-fex64.exe 文件,该文件就是最新的病毒特征库,那么接下来就要搞清楚 WDO 是如何调用这个病毒特征库的,首先要看看 Winpeshl.ini 是否定义了命令行,参考下图,确实调用了 Windows Defender 相关的执行命令,从文件名看是个专为 Offline 编写的命令,而且没有加参数,gOxiA 猜测对 mpam-fex64.exe 的调用是写在内部代码里的。
既然是固化在内部代码中的,就要确定调用特征库的具体路径,以便为后续能在 WDS 中应用 WDO 奠定基础。为此使用了 Sysinternals 工具集中的 Strings 对 OfflineScannerShell.exe 进行了分析,果然不出所料,特征库名称是固定的,但是没能找到定义路径。
重新分析 ISO 文件结构发现 mpam-fex64.exe 存储位置还包含一个 FilesList64.dll,从名字看貌似与遍历有关,难不成 WDO 是通过遍历目录寻找名为 mpam-fex64.exe 的文件,既然已经走到这一步,只能实验出结果,将 WDO 的
WIM 文件通过 DISM 命令 Mount 出来,然后直接将 FileList64.dll 和 mpam-fex64.exe 拷贝到 WDO 的 WIM 映像根目录中,保存更新添加到 WDS 启动映像,找台客户端开机 PXE 引导测试,通过!!!
问题解决,以后只需要手工下载最新版的 mpam-fex64.exe 打包到 WDO 的 WIM 中即可。Windows Defender 的最新特征库可以从下面的官方网站下载到,不要忘记将下载的文件名改为 WDO 定义的名字。
Updating your Microsoft antimalware and antispyware software:
https://www.microsoft.com/security/portal/definitions/adl.aspx
通过 WDS 环境应用 Windows Defender Offline - 上
通过 WDS 环境应用 Windows Defender Offline
在开写本文前,gOxiA 觉得很有必要先介绍一下什么是 Windows Defender Offline?!以及如何获得 Windows Defender Offline?!然后再与大家分享通过 WDS 环境应用 Windows Defdender Offline。
Windows Defender 相信使用 Windows 的朋友并不会感到陌生,它是一款微软研发的 Windows 实时保护软件,用于检测和减少可能危害 Windows 及用户安全的软件,不论威胁是来自电子邮件,还是内网或互联网,它都能够检测并删除病毒、间谍软件和恶意软件。Windows Defender 历史悠久,支持 Windows XP/Vista/7/8,直至现在的 Windows 10。gOxiA 从 XP 时代就开始使用 Windows Defender(那时它还不叫这个名字,一路更名,过去的它就简称 MSE 吧!),非常值得信赖,在个人认为是安全软件里做的最有良心的,没有之一!!!(PS:评价就是如此之高)如果你希望更深入的了解 Windows Defender 技术方面的细节,请一定不要错过“Windows Defender 技术概述”这篇官方文档。
而 Windows Defender Offline 其实是 Windows Defender 的一个功能,或理解为一种运行时态,即离线扫描。通过专用的工具可从微软官方下载最新的安全威胁特征库,并为其创建一个受信任的运行环境,从而无需启动操作系统,便可对该操作系统进行扫描和查杀安全威胁。Windows Defender Offline 尤其针对那些 rootkit 等及其顽固的恶意软件。下图便是 Windows Defender Offline 正在运行时的样子,首先会执行初始化,之后自动开始执行扫描,在联网环境下还支持更新特征库,而且也支持自定义扫描!
看完上面的介绍,是不是心里顿生想法,尤其是 ITer 一定要有个 Windows Defender Offline 傍身才好!接下来跟随 gOxiA 的节奏一起来尝试创建 Windows Defender Offline。需要注意,如果你是 Windows 10 用户,可在“所有设置”-“更新和安全”-“Windows Defender”下找到“Windows Defender Offline”的“脱机扫描”按钮,点击它之后系统会在一分钟后重启进入 Windows Defender Offline 环境。
如果你是 Windows 老版本的用户,又或者极其想拥有一个独立于当前系统的 Windows Defender,那么可以继续往下看了!首先下载 Windows Defender Offline 创建工具:
下载到本地后便可直接运行它,启动创建向导以便完成 Windows Defender Offline 的制作,向导支持 CD、DVD、UFD 以及 ISO 格式,如果你不熟悉如何将 ISO 转为 UFD,那么建议你在后续过程中插入一个 U盘选择对应的方式创建,而本文则是以 ISO 来演示的。
这一步是关键,三种创建方式,根据自己的实际情况选择,本文则选在 ISO 文件。
选择 ISO 的存储位置,为了方便查找,可直接保存在桌面上。
创建开始,此时请确保你有一个高速互联网,否则区区不到 300MB 的数据也够你受的!(PS:由于 Windows Defender Offline 资源使用了某司的CDN,虽然进行了分流优化,但实际上国内的网络还是非常之慢!)
OK,在经过漫长的等待过程后,ISO 便创建好了,有了 ISO 文件,ITer 应用起来就得心应手了许多,可以先载入到虚拟机下感受感受。
休息一下,接下来我们本文的重点将是在 WDS 环境下应用 Windows Defender Offline!这个场景更多的是在企业环境中……(未完待续!)
[Office365] Office Deployment Tool 相关配置参考信息
Office Deployment Tool 相关配置参考信息
通过 Office Deployment Tool(ODT)安装的 Office 有一个显著优势就是日后更新非常便捷,只需在 Office 账户下通过更新选项即可将当前 Office 升级到最新版本,而且利用 ODT 还可以下载安装最新的 Build。gOxiA 曾分享过两篇有关的文章“HOWTO: 从本地位置部署 Office365 ProPlus”、“Office 2016 Deployment Tool 现已发布”。
使用 ODT 不仅可以针对企业级部署和安装 Office 365 ProPlus 这些主要商用版本,还能获取到更多的 SKU 以及更多的语言版本。而要获得更多的资源就依赖特定的配置信息,例如要获取 32 或 64 位版本,我们需要使用“OfficeClientEdition”,值 = 32 或者 64 即可。
对于要获得更多 SKU,即 Edition 发行版本,则需要指定“Product ID”,下面列出了各 Edition 所对应的值。
Edition | Value |
Office 2013/2016 Home and Student | HomeStudentRetail |
Office 2013/2016 Personal | PersonalRetail |
Office 2013/2016 Home and Business | HomeBusinessRetail |
Office 2013/2016 Professional | ProfessionalRetail |
Office 2013/2016 Professional Plus | ProPlusRetail |
Office 365 Home Premium | O365HomePremRetail |
Office 365 Small Business Premium | O365SmallBusPremRetail |
Office 365 Business | O365BusinessRetail |
Office 365 Professional Plus | O365ProPlusRetail |
Access 2013/2016 | AccessRetail |
Excel 2013/2016 | ExcelRetail |
InfoPath 2013/2016 | InfoPathRetail |
OneNote 2013/2016 | OneNoteRetail |
Outlook 2013/2016 | OutlookRetail |
PowerPoint 2013/2016 | PowerPointRetail |
Publisher 2013/2016 | PublisherRetail |
Word 2013/2016 | WordRetail |
SharePoint Designer 2013 | SPDRetail |
Project 2013/2016 Standard | ProjectStdRetail |
Project 2013/2016 Professional | ProjectProRetail |
Project 2013/2016 Standard volume license | ProjectStdXVolume |
Project 2013/2016 Professional volume license | ProjectProXVolume |
Visio 2013/2016 Standard | VisioStdRetail |
Visio 2013/2016 Professional | VisioProRetail |
Visio 2013/2016 Standard volume license | VisioStdXVolume |
Visio 2013/2016 Professional volume license | VisioProXVolume |
Skype for Business Basic 2015 (Office 2013) | LyncEntryRetail |
Skype for Business 2015 (Office 2013) | LyncRetail |
Skype for Business Basic 2016 (Office 2016) | SkypeforBusinessEntryRetail |
Skype for Business 2016 (Office 2016) | SkypeforBusinessRetail |
而下表则是语言版本,即“Language ID”所对应的值。
Language | Value |
Arabic (Saudi-Arabia) | ar-sa |
Bulgarian (Bulgaria) | bg-bg |
Chinese, simplified (PR China) | zh-cn |
Chinese, traditional (Taiwan) | zh-tw |
Croatian (Croatia) | hr-hr |
Czech (Chech Replublic) | cs-cz |
Danish (Denmakr) | da-dk |
Dutch (Netherlands) | nl-nl |
English (USA) | en-us |
Estonian (Estonia) | et-ee |
Finnish (Finland) | fi-fi |
French (France) | fr-fr |
German (Germany) | de-de |
Greek (Greece) | el-gr |
Hebrew (Israel) | he-il |
Hindi (India) | hi-in |
Hungarian (Hungary) | hu-hu |
Indonesian (Indonesia) | id-id |
Italian (Italy) | it-it |
Japanese (Japan) | ja-jp |
Kazakh (Kazakhstan) | kk-kz |
Korean (Republic of Korea) | ko-kr |
Latvian (Latvia) | lv-lv |
Lithuanian (Lithuania) | lt-lt |
Malay (Malaysia) | ms-my |
Norwegian, Bokmål (Norway) | nb-no |
Polish (Poland) | pl-pl |
Portuguese (Brazil) | pt-br |
Portuguese (Portugal) | pt-pt |
Romanian (Romania) | ro-ro |
Russian (Russian Federation) | ru-ru |
Serbian, Latin (Serbia / Montenegro) | sr-latn-cs |
Slovakian (Slovakia) | sk-sk |
Slovenian (Slovenia) | sl-si |
Spanish (Spain) | es-es |
Swedish (Sweden) | sv-se |
Thai (Thailand) | th-th |
Turkish (Turkey) | tr-tr |
Ukrainian (Ukraine) | uk-ua |
Vietnamese (Vietnam) | vi-vn |