Windows Defender: cos'è e come funziona la scansione offline

Tra le funzionalità di scansione di Windows Defender, la soluzione antimalware integrata in Windows 10 e in Windows 11, c’è n’è una che permette di controllare la presenza di componenti malevoli all’avvio del PC. Accanto alla scansione del sistema su richiesta, avviando la scansione offline di Windows Defender, è possibile rilevare, neutralizzare e rimuovere tutte quelle minacce che a sistema operativo in esecuzione interagiscono con l’antimalware azzerandone l’efficacia.

Windows Defender Offline consente di escludere tutti i componenti software che vengono caricati all’avvio del sistema operativo ed effettuare una scansione completa al boot, senza quindi correre il rischio che qualche minaccia possa bloccare la scansione o arrestarla preventivamente.

Il termine “offline” deriva proprio da qui: dalla possibilità offerta da Windows Defender di esaminare la configurazione del sistema senza appoggiarsi a una connessione di rete.

Come avviare la scansione offline di Windows Defender

Per usare Windows Defender Offline con Windows 10 e Windows 11, è necessario assicurarsi di adoperare un account utente dotato dei permessi di amministratore, di memorizzare i file sui quali si stava lavorando e, nel caso dei notebook e di altri dispositivi portatili, collegare il sistema alla rete elettrica (in modo da scongiurare uno spegnimento improvviso della macchina).

A questo punto basta digitare Sicurezza di Windows nella casella di ricerca del sistema operativo, cliccare su Protezione da virus e minacce quindi su Opzioni di analisi. Alla comparsa della schermata successiva, si deve scegliere l’opzione più in basso Analisi di Microsoft Defender Offline (Windows 10) oppure Antivirus Microsoft Defender (scansione offline) nel caso di Windows 11. Alla fine, è necessario cliccare sul pulsante Avvia analisi.

L’azienda di Redmond ha da tempo rinominato Windows Defender in Microsoft Defender ma un po’ di confusione si è venuta a creare quando la società ha annunciato l’indisponibilità di versioni gratuite dell’antimalware. In realtà il gigante guidato da Satya Nadella si riferiva esclusivamente alla versione di Microsoft Defender che è parte integrante del pacchetto Microsoft 365: quella integrata in Windows è e resterà sempre gratuita.

Avvio della scansione offline

Dopo aver fatto clic su Avvia analisi, Windows 10 chiuderà automaticamente tutte le applicazioni in esecuzione e provvederà al riavvio del sistema.

Windows 10 e Windows 11 non si avvieranno come sempre, nella modalità abituale. Il sistema operativo disporrà invece il caricamento di Windows Defender Offline dall’ambiente Windows Recovery Environment (WinRE). WinRE è un ambiente di ripristino avanzato incluso nelle versioni moderne di Windows, progettato per diagnosticare e risolvere problemi che possono impedire l’avvio corretto del sistema operativo.

Nel caso in questione, Windows 10 e 11 provvedono ad avviare automaticamente la versione a riga di comando dell’antimalware Windows Defender, senza caricare l’istanza del sistema operativo presente sul PC.

Quando usare la scansione offline in Windows

Nel caso in cui si nutrissero dei dubbi sui componenti in esecuzione in Windows 10 e 11, se si sospettasse che qualcosa interferisca con il normale funzionamento di Windows Defender, allora una scansione online può aiutare ad andare più in profondità rilevando elementi che tipicamente si sottraggono all’azione di controllo degli antimalware.

In un altro nostro articolo abbiamo presentato alcuni antivirus gratuiti per avviare scansioni offline: soluzioni gratuite come Emsisoft Emergency Kit (EEK), Kaspersky Rescue Disk e Malwarebytes anch’esse permettono di avviare una scansione in modalità offline.

Diversamente rispetto a quanto avveniva in passato, abbiamo verificato che Windows Defender Offline è diventato compatibile con BitLocker. Gli utenti che usano la soluzione di sicurezza Microsoft per crittografare i dati sul PC, compresi quelli contenuti nell’unità di sistema, non sono chiamati a digitare la chiave di ripristino BitLocker né tanto meno a disattivare temporaneamente la protezione. Neppure usando BitLocker con un PIN da digitare all’avvio.

Sebbene BitLocker abbia, nel corso del tempo, evidenziato alcune vulnerabilità, si tratta di uno strumento che ancora oggi permette di difendere efficacemente il contenuto delle unità di memorizzazione dall’azione di soggetti non autorizzati e veri e propri aggressori. L’importante è impostare sempre un PIN da inserire al momento del boot.

Esaminare i risultati della scansione con Defender

Al termine della scansione offline dall’ambiente WinRE, Defender riavvia automaticamente il sistema nella modalità abituale.

Per verificare i risultati dell’analisi antimalware, è necessario digitare Sicurezza di Windows nella casella di ricerca, selezionare Protezione da virus e minacce e infine Cronologia della protezione al di sotto di Minacce correnti.

La comparsa del messaggio Nessuna azione recente sta a significare che Defender non ha rilevato alcuna minaccia nel corso della scansione precedente. Viceversa, l’antimalware di Microsoft indica le operazioni effettuare o ancora  da svolgere per mettere in sicurezza il sistema.

È importante porre attenzione sulle date riportate nella sezione Cronologia della protezione. Qui si potrebbero infatti trovare riferimenti a scansioni precedenti rispetto a quella appena effettuata in modalità offline.

Nel caso della presenza di infezioni malware, gli interventi confermati attraverso la finestra Cronologia protezione di Windows 10 e di Windows 11 saranno applicati previo nuovo riavvio del sistema nell’ambiente WinRE. In questo modo, Defender ha gioco facile per rilevare, neutralizzare e cancellare tutte quelle minacce radicate nel sistema che risultano difficili da rimuovere con approcci diversi.