2014/07/11

Windows Defender Offline、CD/DVD だと定義更新できないはウソ(だと思う)

マイクロソフトから Windows Defender Offline という、CD/DVD や USB メモリから起動
可能なマルウェア検索・駆除ツールが出ています(昨年から?)。Windows Security Essentials や Windows 8 の Windows Defender と同じ UI、同じエンジン、同じ定義ファイルを使うツールです。

Windows Defender Offline とは
[URL] http://windows.microsoft.com/ja-jp/windows/what-is-windows-defender-offline
TechNet Blogs > 日本のセキュリティチーム > Windows Defender Offrline 概要
[URL] http://blogs.technet.com/b/jpsecurity/archive/2014/06/26/windows-defender-offline.aspx

マイクロソフトの説明もそうなんですが、このツールの解説記事をいくつか見た限り、皆さんエンジンや定義の更新について、誤解しているような気がします。私が間違っているのかもしれません。

“CD/DVD だと定義が古くなっちゃうから再利用しないで”、“更新するには USB メディアを使用”みたいに書いてますが、条件付ですが、CD/DVD(ISO イメージ)か USB メモリかに関係なくエンジンや定義の更新はできます。また、書き込み可能な USB メモリでも更新は保存されません。この更新が失敗するということは、ネットワークが利用できないってこと。
Windows Defender Offline は、 Windows PE がベースであり、CD/DVD または USB メモリから RAM ディスク (X:) 上に展開され、起動します。Windows Defender Offline のブート メディアのルートにはメディア作成時にダウンロードした最新の定義ファイル (mpam-fe.exe または mpam-fex64.exe)が配置されていて、Windows Defender はその定義ファイルをインストールしてから (→) 、UI を起動するようになっています (たぶん)。

Windows Defender Offline は RAM ディスク (X:\) 上に展開されているので、メディアが読み取り専用だろうが、そうでなかろうが、ネットワーク接続が可能なら、より新しい、最新のエンジンおよび定義ファイルをダウンロードして、インストールできます。Windows PE に標準で含まれるドライバーでネットワーク (たぶん有線 LAN じゃなきゃだめ) が利用可能な状態になれば、更新できるということです。そして、ネットワーク経由で最新のエンジンや定義に更新したとしても、同じメディアで次回起動した時には、CD/DVD だろうが、USB だろうが、更新前の古い定義ファイルに戻ります。

FAQ には以下のように書いていますが...

Windows Defender Offline: FAQ
[URL] http://windows.microsoft.com/ja-jp/windows/windows-defender-offline-faq

 
以前 Windows Defender Offline を使ったときに作成した CD または DVD を再利用できますか?
 

以前作成した CD または DVD は再利用しないでください。この CD または DVD には、マルウェアを検出するための定義が含まれています。定義は頻繁に更新されているため、CD または DVD の定義ファイルは古くなっています。USB フラッシュ ドライブの場合は、再利用できます。Windows Defender Offline でウィザードを再実行すると、定義が更新されます。
定義ファイルが古くなるのは、CD/DVD も USB も同じ。ネットワークが利用できない場合は、その古い定義ファイルしか使用できないってこと。 

“Windows Defender Offline でウィザードを再実行すると、定義が更新されます”っていうのは、Windows Defender Offline で起動して[更新]ボタンをクリックすることではなく、Windows Defender Offline とはのページから作成ツール(mssstool32.exe または mssstool64.exe)を再実行して、同じ USB メディアを指定すれば新しい定義を USB に入れてくれるってこと。

試してはいませんが、ウィザードを実行しなくても、こちらのページ (http://www.microsoft.com/security/portal/definitions/adl.aspx#manual) から mpam-fe.exe または mpam-fex64.exe (たぶん Microsoft Security Essentials のやつでよい) をダウンロードして、USB メモリのルートにコピーしても同じだと思います。

まぁ、ネットワークが利用できるかどうか試してみないとわからないので、複数の Windows PC が利用できる環境にあるのなら、その都度、最新の定義ファイルを含むように CD/DVD を再作成するか、USB メモリを使う直前に更新するのが確実です。あるいは、作ってくれる友人、知人に頼むとか。最近は無線 LAN (Windows Defender Offline はたぶん更新できない)で利用している人が多いでしょうし。

・・・

実は、Windows Defender Offline は、Windows SA 特典で購入できる MDOP (Microsoft Desktop Optimization Pack)  の Diagnostics and Recovery Toolset (DaRT) のツールの 1 つにもなっています。クライアント バージョン (Windows 8/8.1 向けの Windows Defender Offline Beta ベース?)やメディア構成はちょっと違いますが、CD/DVD メディアから起動して使えるというのは同じ。

昨日、5 月に作った DVD メディア (ISO イメージ) で起動して、更新かけてみました。エンジン、ウイルス定義、スパイウェア定義、ちゃんと最新バージョンに更新できましたよ。



間違ってたらごめんなさい。

1 件のコメント:

山市 良 さんのコメント...

Windows のメディアをお持ちでない場合の選択肢を追記しました(→ 2017/05/11 追記)