Eseguire e rivedere i risultati di un’analisi Microsoft Defender Offline

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Antivirus Microsoft Defender
• Microsoft Defender for Business
• Microsoft Defender per singoli utenti

Si applica a	Tipo
Piattaforma	Windows
Tipo di protezione	Hardware
Firmware/Rootkit	Sistema operativo Driver Memoria (heap) Applicazione Identità Cloud

[NOTA] La protezione per questa funzionalità è incentrata sul firmware/rootkit.

Microsoft Defender Offline è uno strumento di analisi antimalware che consente di avviare ed eseguire un'analisi da un ambiente attendibile. L'analisi viene eseguita dall'esterno del normale kernel di Windows in modo che possa essere destinata a malware che tenta di ignorare la shell di Windows, ad esempio virus e rootkit che infettano o sovrascrivono il record di avvio master (MBR).

È possibile usare Microsoft Defender analisi offline se si sospetta un'infezione da malware o si vuole confermare una pulizia completa dell'endpoint dopo un'epidemia di malware.

Prerequisiti e requisiti

Di seguito sono riportati i requisiti hardware per Microsoft Defender analisi offline in Windows:

• Windows 11 x64
• Windows 10 x64/x86
• Windows 8.1 x64/x86
• x64/x86 Windows 7 Service Pack 1

Attenzione

Microsoft Defender l'analisi offline non si applica a:

• Windows 11 ARM
• Windows 10 ARM
• Unità di mantenimento delle scorte di Windows Server (SKU)

Per altre informazioni sui requisiti di Windows 10 e Windows 11, vedere gli articoli seguenti:

• Requisiti hardware minimi
• Linee guida per i componenti hardware

Microsoft Defender aggiornamenti offline

Per ricevere Microsoft Defender aggiornamenti dell'analisi offline:

• Microsoft Defender Antivirus deve essere il software antivirus primario (non in modalità passiva).

• Aggiornare Microsoft Defender Antivirus come si distribuiscono normalmente gli aggiornamenti agli endpoint. Usare una versione supportata di :

  • Aggiornamento della piattaforma

  • Aggiornamento del motore

  • Aggiornamenti di Intelligence per la sicurezza

    • È possibile scaricare e installare manualmente gli aggiornamenti della protezione più recenti dal Microsoft Malware Protection Center
    • Per altre informazioni, vedere l'articolo Gestire gli aggiornamenti di Intelligence per la sicurezza antivirus Microsoft Defender.

• Gli utenti devono essere connessi con privilegi di amministratore locale.

• Windows Recovery Environment (WinRE) deve essere abilitato.

Nota

Se WinRE è disabilitato, l'analisi offline Windows Defender non viene eseguita e non vengono visualizzati messaggi di errore. Non accade nulla anche se il computer viene riavviato manualmente. Per risolvere questo problema, devi solo abilitare WinRE.

• Per controllare lo stato di WinRE, è possibile eseguire questa riga di comando: reagentc /info.
• Se lo stato è Disabilitato, è possibile abilitarlo eseguendo questa riga di comando: reagentc /enable.

Scenari di utilizzo

La necessità di eseguire Microsoft Defender analisi offline:

Se Microsoft Defender Antivirus determina che è necessario eseguire Microsoft Defender Offline, viene richiesto all'utente nel dispositivo. La richiesta può essere eseguita tramite una notifica simile alla seguente:

L'utente riceve anche una notifica all'interno del client antivirus Microsoft Defender. Se si usa Intune per gestire i dispositivi, è possibile visualizzare la notifica in Intune.

• È possibile forzare manualmente un'analisi offline predefinita Windows 10, versione 1607 o successiva e Windows 11. In alternativa, è possibile analizzare un supporto di avvio per individuare i sistemi operativi Windows meno recenti, come descritto qui.

In Configuration Manager è possibile identificare lo stato degli endpoint passando a Panoramica > del monitoraggio > Stato > di Sicurezza > Endpoint Protection System Center Endpoint Protection Stato.

Microsoft Defender le analisi offline sono indicate in Stato di correzione malware come è necessaria l'analisi offline.

Configurare le notifiche

Microsoft Defender le notifiche offline vengono configurate nella stessa impostazione dei criteri di altre notifiche antivirus Microsoft Defender.

Per altre informazioni sulle notifiche in Windows Defender, vedere Configurare le notifiche visualizzate negli endpoint.

Eseguire un'analisi

Importante

Prima di usare Microsoft Defender analisi offline, assicurarsi di salvare tutti i file e arrestare i programmi in esecuzione. L'esecuzione dell'analisi offline Microsoft Defender richiede circa 15 minuti. L'endpoint verrà riavviato al termine dell'analisi. L'analisi viene eseguita all'esterno del normale ambiente operativo Windows. L'interfaccia utente apparirà diversa da un'analisi normale eseguita da Windows Defender. Al termine dell'analisi, l'endpoint verrà riavviato e Windows verrà caricato normalmente.

È possibile eseguire un'analisi offline Microsoft Defender con i metodi seguenti:

• App Sicurezza di Windows
• PowerShell
• Strumentazione gestione Windows (WMI)

Usare l'app Windows Defender Security per eseguire un'analisi offline

A partire da Windows 10, versione 1607 o successiva e Windows 11, Microsoft Defender analisi offline può essere eseguita con un clic direttamente dall'app Sicurezza di Windows. Nelle versioni precedenti di Windows, un utente doveva installare Microsoft Defender analisi offline nel supporto di avvio, riavviare l'endpoint e caricare il supporto di avvio.

Nota

In Windows 10 versione 1607, l'analisi offline può essere eseguita da Windows Settings > Update & Windows Defender di sicurezza > o dal client Windows Defender.

1. Nel dispositivo Windows aprire l'app Sicurezza di Windows e quindi analizzare le opzioni.

2. Selezionare il pulsante di opzione Microsoft Defender Analisi offline e selezionare Analizza ora.

   Il processo inizia da C:\ProgramData\Microsoft\Windows Defender\Offline Scanner.

3. Viene visualizzato un prompt per salvare il lavoro prima di continuare, in modo simile all'immagine seguente:

   

   Dopo aver salvato il lavoro, selezionare Analizza.

4. Dopo aver selezionato Analisi, viene visualizzato un altro prompt che richiede l'autorizzazione per apportare modifiche al dispositivo, in modo simile all'immagine seguente:

   

   Selezionare Sì.

5. Viene visualizzata un'altra richiesta che informa che l'utente verrà disconnetto e Windows verrà arrestato in meno di un minuto, in modo simile all'immagine seguente:

   

6. Si nota che l'analisi antivirus Microsoft Defender (analisi offline) è in corso.

   

   Verrà visualizzata l'immagine seguente:

   

Usare i cmdlet di PowerShell per eseguire un'analisi offline

Usare i cmdlet seguenti:

Start-MpWDOScan

Per altre informazioni su come usare PowerShell con Microsoft Defender Antivirus, vedere Usare i cmdlet di PowerShell per configurare ed eseguire Microsoft Defender antivirus e Defender Antivirus.

Usare Windows Management Instruction (WMI) per eseguire un'analisi offline

Usare la classe MSFT_MpWDOScan per eseguire un'analisi offline.

Il frammento di script WMI seguente eseguirà immediatamente un'analisi offline Microsoft Defender, che causerà il riavvio dell'endpoint, l'esecuzione dell'analisi offline e quindi il riavvio e l'avvio in Windows.

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

Per altre informazioni, vedere Windows Defender API WMIv2.

In Windows 7 Service Pack 1 e Windows 8.1:

1. Scaricare Windows Defender Offline e installarlo in un'unità flash CD, DVD o USB usando i collegamenti seguenti:

   • Scaricare la versione a 64 bit (msstool64.exe)
   • Scaricare la versione a 32 bit (msstool32.exe)

   Se non si è certi della versione da scaricare, vedere Il PC esegue la versione a 32 bit o a 64 bit di Windows?

2. Per iniziare, trovare un CD, un DVD o un'unità flash USB vuota con almeno 250 MB di spazio libero e quindi eseguire lo strumento. Vengono illustrati i passaggi per creare il supporto rimovibile.

   Consiglio

   È consigliabile eseguire le operazioni seguenti durante il download di Windows Defender Offline:

   • Scaricare Windows Defender offline e creare l'unità flash CD, DVD o USB in un PC che non è infettato da malware perché il malware può interferire con la creazione di supporti.
   • Se si usa un'unità USB, l'unità verrà riformattata e tutti i dati su di essa verranno cancellati. Assicurarsi di eseguire prima il backup di tutti i dati importanti dall'unità.

   

3. Analizzare il PC alla ricerca di virus e altri malware.

   1. Dopo aver creato l'unità USB, il CD o il DVD, rimuoverla dal computer corrente e portarla nel computer che si vuole analizzare. Inserire l'unità USB o il disco nell'altro computer e riavviare il computer.

   2. Eseguire l'avvio dall'unità USB, dal CD o dal DVD per eseguire l'analisi. A seconda delle impostazioni del computer, può avviarsi automaticamente dal supporto dopo averlo riavviato oppure potrebbe essere necessario premere un tasto per immettere un menu "dispositivi di avvio" o modificare l'ordine di avvio nel firmware UEFI o nel BIOS del computer.

   3. Dopo l'avvio del dispositivo, viene visualizzato uno strumento di Microsoft Defender che analizzerà automaticamente il computer e rimuoverà il malware.

   4. Al termine dell'analisi e dopo aver completato l'esecuzione dello strumento, è possibile riavviare il computer e rimuovere il supporto Microsoft Defender offline per l'avvio in Windows.

4. Rimuovere eventuali malware trovati dal PC.

   Se si verifica un errore di arresto su una schermata blu quando si esegue l'analisi offline, riavviare il dispositivo e provare a eseguire di nuovo un'analisi offline Microsoft Defender. Se l'errore della schermata blu si verifica di nuovo, contattare supporto tecnico Microsoft.

Dove è possibile trovare i risultati dell'analisi?

Per visualizzare i risultati dell'analisi offline Microsoft Defender in Windows 10 e Windows 11:

1. Selezionare Start e quindi Impostazioni>Aggiorna & Sicurezza>Sicurezza di Windows>Virus & protezione dalle minacce.

2. Nella schermata Protezione dalle minacce virus & selezionare Opzioni di analisi in Minacce correnti e quindi selezionare Cronologia protezione. Per altre informazioni, vedere Esaminare la cronologia di rilevamento delle minacce nell'app Sicurezza di Windows.

Come è possibile scoprire se Microsoft Defender scansione offline è stata avviata?

Nel Visualizzatore eventi passare a Registri > applicazioni e servizi Microsoft > Windows > Windows Defender > Operativo. Vedrai:

• Nome log: Microsoft-Windows-Windows Defender/Operational
• Origine: Microsoft-Windows-Windows Defender
• ID evento: 2030
• Livello: Informazioni
• Descrizione: Microsoft Defender Antivirus scaricato e configurato Microsoft Defender Antivirus (analisi offline) per l'esecuzione al riavvio successivo.

Nelle versioni precedenti di Windows 10, 2004, si noterà:

Windows Defender Antivirus scaricato e configurato Windows Defender Offline per l'esecuzione al riavvio successivo.

• Nome log: Microsoft-Windows-Windows Defender/Operational
• Fonte: Microsoft-Windows-Windows Defender
• ID evento: 5007
• Livello: Information
• Descrizione: Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
• Valore precedente: N/A\Scan\OfflineScanRun =
• Nuovo valore: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

Articoli correlati

• Personalizzare, avviare ed esaminare i risultati delle analisi e delle correzioni
• Antivirus Microsoft Defender in Windows 10

Consiglio

Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:

• Impostare le preferenze per Microsoft Defender per endpoint su macOS
• Microsoft Defender per endpoint su Mac
• Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
• Impostare le preferenze per Microsoft Defender per endpoint su Linux
• Microsoft Defender per Endpoint su Linux
• Funzionalità di configurazione di Microsoft Defender per endpoint su Android
• Funzionalità di configurazione di Microsoft Defender per endpoint su iOS

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.