Antimalware Microsoftu pro Azure Cloud Services a virtuální počítače

Microsoft Antimalware pro Azure je bezplatná ochrana v reálném čase, která pomáhá identifikovat a odstranit viry, spyware a další škodlivý software. Generuje výstrahy, když se známý škodlivý nebo nežádoucí software pokusí nainstalovat nebo spustit v systémech Azure.

Řešení je postavené na stejné antimalwarové platformě jako Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune a Microsoft Defender for Cloud. Microsoft Antimalware pro Azure je řešení s jedním agentem pro aplikace a prostředí tenantů navržené tak, aby běžely na pozadí bez zásahu člověka. Ochranu je možné nasadit na základě potřeb úloh aplikací, a to buď se základní zabezpečením, nebo pokročilou vlastní konfigurací, včetně antimalwarového monitorování.

Při nasazení a povolení Microsoft Antimalware pro Azure pro vaše aplikace jsou k dispozici následující základní funkce:

• Ochrana v reálném čase – monitoruje aktivitu v Cloud Services a na virtuálních počítačích, aby detekovala a blokovala spouštění malwaru.
• Plánovaná kontrola – pravidelně kontroluje malware, včetně aktivně spuštěných programů.
• Náprava malwaru – automaticky provede akci na zjištěném malwaru, jako je odstranění nebo kvazování škodlivých souborů a vyčištění škodlivých položek registru.
• Aktualizace podpisů – automaticky nainstaluje nejnovější podpisy ochrany (definice virů), aby byla ochrana aktuální na předem určené frekvenci.
• antimalwarový stroj aktualizace – automaticky aktualizuje modul Microsoft Antimalware.
• Aktualizace antimalwarové platformy – automaticky aktualizuje platformu Microsoft Antimalware.
• Aktivní ochrana – hlásí telemetrická metadata o zjištěných hrozbách a podezřelých prostředcích do Microsoft Azure, aby se zajistila rychlá reakce na rozvíjející se prostředí hrozeb a umožňuje doručování synchronních podpisů v reálném čase prostřednictvím systému Microsoft Active Protection System (MAPS).
• Vytváření sestav ukázek – poskytuje a hlásí ukázky pro službu Microsoft Antimalware, která pomáhá službu upřesnit a povolit řešení potíží.
• Vyloučení – umožňuje správcům aplikací a služeb konfigurovat vyloučení pro soubory, procesy a jednotky.
• Shromažďování antimalwarových událostí – zaznamenává stav antimalwarové služby, podezřelé aktivity a nápravné akce provedené v protokolu událostí operačního systému a shromažďuje je do účtu služby Azure Storage zákazníka.

Poznámka:

Microsoft Antimalware je možné nasadit také pomocí programu Microsoft Defender for Cloud. Další informace najdete v článku Instalace služby Endpoint Protection v programu Microsoft Defender for Cloud .

Architektura

Microsoft Antimalware pro Azure se skládá z několika komponent:

• Klient a služba Microsoft Antimalware
• Model nasazení Antimalware Classic
• Antimalwarové rutiny PowerShellu
• Rozšíření diagnostiky Azure

Podpora a nasazení platformy

Virtuální počítače:

• Nenainstalováno ve výchozím nastavení
• K dispozici jako volitelné rozšíření zabezpečení prostřednictvím webu Azure Portal nebo konfigurace virtuálního počítače sady Visual Studio
• Podporováno v systémech Windows Server 2008 R2, Windows Server 2012 a Windows Server 2012 R2
• Nepodporuje se v operačních systémech Windows Server 2008 a Linux

Cloudové služby:

• Ve výchozím nastavení je nainstalovaná v zakázaném stavu ve všech podporovaných hostovaných operačních systémech Azure.
• Vyžaduje explicitní aktivaci k ochraně cloudové služby.

Azure App Service:

• Povoleno v podkladové službě hostující webové aplikace založené na Windows
• Omezeno pouze na ochranu infrastruktury služby Azure App Service, nikoli na obsah zákazníků.
• Nestačí k úplnému zabezpečení webových aplikací (implementace dalších kontrolních mechanismů zabezpečení, jak je popsáno v osvědčených postupech zabezpečení webových aplikací Azure)

Poznámka:

Antivirová ochrana v programu Microsoft Defender je integrovaný Antimalware povolený ve Windows Serveru 2016 a novějším. Rozšíření Azure VM Antimalware je stále možné přidat do virtuálního počítače s Windows Serverem 2016 a novějším s Antivirová ochrana v programu Microsoft Defender. V tomto scénáři rozšíření použije všechny volitelné zásady konfigurace , které bude antivirová ochrana v programu Microsoft Defender používat. Rozšíření nenasazuje žádné další antimalwarové služby. Další informace o antivirové ochraně v programu Microsoft Defender najdete v ukázkách kódu pro povolení a konfiguraci Microsoft Antimalware pro Azure.

Pracovní postup antimalwaru Microsoftu

Správce služby Azure může povolit Antimalware pro Azure s výchozí nebo vlastní konfigurací pro virtuální počítače a cloudové služby pomocí následujících možností:

• Virtuální počítače – Na webu Azure Portal v části Rozšíření zabezpečení
• Virtual Machines – Použití konfigurace virtuálních počítačů sady Visual Studio v Průzkumníku serveru
• Virtuální počítače a cloudové služby – Použití modelu nasazení Antimalware Classic
• Virtuální počítače a cloudové služby – Použití antimalwarových rutin PowerShellu

Rutiny Webu Azure Portal nebo PowerShellu nasdílí soubor balíčku rozšíření Antimalware do systému Azure v předem určeném pevném umístění. Agent hosta Azure (nebo agent fabric) spustí antimalwarové rozšíření a použije nastavení konfigurace antimalwaru zadané jako vstup. Tento krok povolí antimalwarovou službu s výchozím nebo vlastním nastavením konfigurace. Pokud není k dispozici žádná vlastní konfigurace, je antimalwarová služba povolená s výchozím nastavením konfigurace. Další informace o konfiguraci antimalwaru najdete v ukázkách kódu pro povolení a konfiguraci Microsoft Antimalware pro Azure.

Po inicializaci klient Microsoft Antimalware automaticky načte nejnovější modul ochrany a definice podpisů z internetu a použije je ve vašem systému Azure. Služba protokoluje veškerou aktivitu do protokolu událostí operačního systému ve zdroji událostí Microsoft Antimalware. Mezi tyto protokoly patří informace o:

• Stav klienta
• Aktivity ochrany a nápravy
• Změny konfigurace
• Aktualizace definic stroje a podpisu
• Další provozní události

Pro cloudovou službu nebo virtuální počítač můžete povolit antimalwarové monitorování, aby se události protokolu událostí Antimalwaru zapisovaly tak, jak se vytvářejí do vašeho účtu úložiště Azure. Antimalware Service používá rozšíření Azure Diagnostics ke shromažďování antimalwarových událostí ze systému Azure do tabulek v účtu Azure Storage zákazníka.

Pracovní postup nasazení, včetně kroků konfigurace a možností podporovaných pro výše uvedené scénáře, jsou popsané v části Scénáře nasazení antimalwaru v tomto dokumentu.

Poznámka:

K nasazení škálovacích sad virtuálních počítačů s rozšířením Microsoft Anti-Malware ale můžete použít powershellové rozhraní API a šablony Azure Resource Manageru. K instalaci rozšíření na již spuštěný virtuální počítač můžete použít ukázkový skript Pythonu vmssextn.py. Tento skript získá existující konfiguraci rozšíření ve škálovací sadě a přidá rozšíření do seznamu existujících rozšíření ve službě Azure Virtual Machines Scale Sets.

Výchozí a vlastní antimalwarová konfigurace

Výchozí nastavení konfigurace se použijí k povolení Antimalwaru pro Azure Cloud Services nebo Virtual Machines, pokud nezadáte vlastní nastavení konfigurace. Výchozí nastavení konfigurace jsou předoptimalizovaná pro spuštění v prostředí Azure. Volitelně můžete tato výchozí nastavení konfigurace přizpůsobit podle potřeby pro nasazení aplikace nebo služby Azure a použít je pro jiné scénáře nasazení.

Následující tabulka shrnuje nastavení konfigurace, která jsou dostupná pro službu Antimalware. Výchozí nastavení konfigurace se označí pod sloupcem označeným jako Výchozí.

Scénáře antimalwarového nasazení

V této části jsou popsány scénáře povolení a konfigurace antimalwaru, včetně monitorování pro Azure Cloud Services a Virtual Machines.

Virtuální počítače – povolení a konfigurace antimalwaru

Nasazení při vytváření virtuálního počítače pomocí webu Azure Portal

Pokud chcete povolit a nakonfigurovat Microsoft Antimalware pro virtuální počítače Azure pomocí webu Azure Portal při zřizování virtuálního počítače, postupujte takto:

1. Přihlaste se k portálu Azure.
2. Pokud chcete vytvořit nový virtuální počítač, přejděte na Virtuální počítače, vyberte Přidat a zvolte Windows Server.
3. Vyberte verzi windows serveru, kterou chcete použít.
4. Vyberte Vytvořit.
5. Zadejte název, uživatelské jméno, heslo a vytvořte novou skupinu prostředků nebo zvolte existující skupinu prostředků.
6. Vyberte OK.
7. Zvolte velikost virtuálního počítače.
8. V další části vyberte vhodnou volbu pro vaše potřeby oddíl Rozšíření .
9. Výběr možnosti Přidat rozšíření
10. V části Nový prostředek zvolte Microsoft Antimalware.
11. Vyberte příkaz Vytvořit.
12. V souboru, umístěních a vyloučeních procesů instalace přípony je možné nakonfigurovat i další možnosti kontroly. Vyberte OK.
13. Vyberte OK.
14. Zpět v části Nastavení zvolte Ok.
15. Na obrazovce Vytvořit zvolte OK.

Podívejte se na tuto šablonu Azure Resource Manageru pro nasazení rozšíření antimalwarového virtuálního počítače pro Windows.

Nasazení pomocí konfigurace virtuálního počítače sady Visual Studio

Povolení a konfigurace služby Microsoft Antimalware pomocí sady Visual Studio:

1. Připojte se k Microsoft Azure v sadě Visual Studio.

2. Volba virtuálního počítače v uzlu Virtuální počítače v Průzkumníku serveru

   

3. Kliknutím pravým tlačítkem myši zobrazíte stránku konfigurace virtuálního počítače.

4. V rozevíracím seznamu Nainstalovaných rozšíření vyberte rozšíření Microsoft Antimalware a vyberte Přidat, abyste nakonfigurovali výchozí antimalwarovou konfiguraci.

5. Pokud chcete přizpůsobit výchozí konfiguraci antimalwaru, vyberte (zvýrazněte) rozšíření Antimalware v seznamu nainstalovaných rozšíření a vyberte Konfigurovat.

6. Nahraďte výchozí antimalwarovou konfiguraci vlastní konfigurací v podporovaném formátu JSON ve veřejném textovém poli konfigurace a vyberte OK.

7. Výběrem tlačítka Aktualizovat odešlete aktualizace konfigurace do virtuálního počítače.

   

Poznámka:

Konfigurace sady Visual Studio Virtual Machines pro Antimalware podporuje pouze konfiguraci formátu JSON. Pro více informací o ukázkových konfiguracích viz Ukázky kódu pro povolení a konfiguraci Microsoft Antimalware pro Azure.

Nasazení pomocí rutin PowerShellu

Aplikace nebo služba Azure může povolit a nakonfigurovat Microsoft Antimalware pro Azure Virtual Machines pomocí rutin PowerShellu.

Povolení a konfigurace Microsoft Antimalware pomocí rutin PowerShellu:

1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
2. Pomocí rutiny Set-AzureVMMicrosoftAntimalwareExtension povolte a nakonfigurujte Microsoft Antimalware pro váš virtuální počítač.

Poznámka:

Konfigurace služby Azure Virtual Machines pro Antimalware podporuje pouze konfiguraci formátu JSON. Pro více informací o ukázkových konfiguracích viz Ukázky kódu pro povolení a konfiguraci Microsoft Antimalware pro Azure.

Povolení a konfigurace antimalwaru pomocí rutin PowerShellu

Aplikace nebo služba Azure může povolit a nakonfigurovat Microsoft Antimalware pro Azure Cloud Services pomocí rutin PowerShellu. Microsoft Antimalware je nainstalovaný v zakázaném stavu na platformě Cloud Services a vyžaduje akci, kterou aplikace Azure povolí.

Povolení a konfigurace Microsoft Antimalware pomocí rutin PowerShellu:

1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
2. Pomocí rutiny Set-AzureServiceExtension povolte a nakonfigurujte Microsoft Antimalware pro vaši cloudovou službu.

Další informace o ukázkových příkazech PowerShellu najdete v ukázkách kódu pro povolení a konfiguraci Microsoft Antimalware pro Azure.

Cloud Services a Virtual Machines – Konfigurace pomocí rutin PowerShellu

Aplikace nebo služba Azure může načíst konfiguraci Microsoft Antimalware pro cloudové služby a virtuální počítače pomocí rutin PowerShellu.

Načtení konfigurace Microsoft Antimalware pomocí rutin PowerShellu:

1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
2. Pro virtuální počítače: K získání antimalwarové konfigurace použijte rutinu Get-AzureVMMicrosoftAntimalwareExtension .
3. Pro cloudové služby: K získání antimalwarové konfigurace použijte rutinu Get-AzureServiceExtension .

Ukázky

Odebrání antimalwarové konfigurace pomocí rutin PowerShellu

Aplikace nebo služba Azure může zcela odebrat ochranu Microsoft Antimalware odinstalací příslušných rozšíření z cloudových služeb nebo virtuálních počítačů. Tento proces odebere antimalwarovou ochranu i související nastavení monitorování a úplně ukončí ochranu před malwarem a shromažďování událostí pro zadané prostředky.

Odebrání Microsoft Antimalware pomocí rutin PowerShellu:

1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
2. Pro virtuální počítače: Použijte rutinu Remove-AzureVMMicrosoftAntimalwareExtension .
3. Pro cloudové služby: Použijte rutinu Remove-AzureServiceExtension .

Povolení shromažďování antimalwarových událostí pro virtuální počítač pomocí portálu Azure Preview:

1. Na stránce podrobností virtuálního počítače vyberte libovolnou část části Monitorování.
2. V části Metriky vyberte příkaz Diagnostika.
3. Vyberte Stav ZAPNUTO a zaškrtněte možnost pro systém událostí Systému Windows.
4. Můžete se rozhodnout zrušit zaškrtnutí všech ostatních možností v seznamu nebo je nechat povolené podle potřeb vaší aplikační služby.
5. Kategorie antimalwarových událostí "Error", "Warning", "Informational" atd., jsou zaznamenány ve vašem účtu Azure Storage.

Antimalwarové události se shromažďují z protokolů systému událostí Windows do vašeho účtu Azure Storage. Účet úložiště pro virtuální počítač můžete nakonfigurovat tak, aby shromažďovali antimalwarové události výběrem příslušného účtu úložiště.

Povolení a konfigurace Antimalwaru pomocí rutin PowerShellu pro virtuální počítače Azure Resource Manageru

Povolení a konfigurace Microsoft Antimalware pro virtuální počítače Azure Resource Manageru pomocí rutin PowerShellu:

1. Nastavte prostředí PowerShellu pomocí této dokumentace na GitHubu.
2. Pomocí rutiny Set-AzVMExtension povolte a nakonfigurujte Microsoft Antimalware pro váš virtuální počítač.

K dispozici jsou následující ukázky kódu:

• Nasazení Microsoft Antimalware na virtuálních počítačích s šablonou ARM
• Přidání Antimalwaru Microsoftu do clusterů Azure Service Fabric

Povolení a konfigurace antimalwaru pro rozšířenou podporu cloudové služby Azure (CS-ES) pomocí rutin PowerShellu

Povolení a konfigurace Microsoft Antimalware pomocí rutin PowerShellu:

1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
2. Pomocí rutiny New-AzCloudServiceExtensionObject povolte a nakonfigurujte Microsoft Antimalware pro virtuální počítač cloudové služby.

K dispozici je následující ukázka kódu:

• Přidání Antimalwaru Microsoftu do cloudové služby Azure pomocí rozšířené podpory (CS-ES)

Povolení a konfigurace Antimalwaru pomocí rutin PowerShellu pro servery s podporou Azure Arc

Povolení a konfigurace Microsoft Antimalware pro servery s podporou Azure Arc pomocí rutin PowerShellu:

1. Nastavte prostředí PowerShellu pomocí této dokumentace na GitHubu.
2. Pomocí rutiny New-AzConnectedMachineExtension povolte a nakonfigurujte Microsoft Antimalware pro servery s podporou Arc.

K dispozici jsou následující ukázky kódu:

• Přidání Antimalwaru Microsoftu pro servery s podporou Azure Arc

Další kroky

• Ukázky kódu pro povolení a konfiguraci Microsoft Antimalware pro Azure
• Microsoft Defender for Cloud