Sdílet prostřednictvím

Microsoft Defender for Endpoint na Windows Serveru se SAP

  • Článek

Platí pro:

Pokud vaše organizace používá SAP, je důležité pochopit kompatibilitu a podporu mezi antivirovým programem a EDR v Microsoft Defender for Endpoint a vašimi aplikacemi SAP. Tento článek vám pomůže pochopit podporu, kterou sap poskytuje pro řešení zabezpečení ochrany koncových bodů, jako je Defender for Endpoint, a způsob jejich interakce s aplikacemi SAP.

Tento článek popisuje, jak používat Microsoft Defender for Endpoint na Windows Serveru společně s aplikacemi SAP, jako jsou NetWeaver a S4 Hana, a samostatnými moduly SAP, jako je liveCache. V tomto článku se zaměříme na antivirové a EDR funkce v Defenderu for Endpoint. Přehled všech funkcí Defenderu for Endpoint najdete v tématu Microsoft Defender for Endpoint.

Tento článek nepopisuje klientský software SAP, jako je SAPGUI nebo Microsoft Defender Antivirus na klientských zařízeních s Windows.

Podnikové zabezpečení a tým SAP Basis

Zabezpečení podniku je role specialisty a aktivity popsané v tomto článku by měly být naplánovány jako společná aktivita mezi vaším týmem zabezpečení podniku a týmem SAP Basis. Tým zabezpečení podniku musí spolupracovat s týmem SAP Basis a společně navrhnout konfiguraci Defenderu for Endpoint a analyzovat případná vyloučení.

Získání přehledu o Defenderu for Endpoint

Defender for Endpoint je součástí Microsoft Defender XDR a dá se integrovat s řešením SIEM/SOAR.

Než začnete plánovat nebo nasazovat Defender for Endpoint na Windows Serveru se SAP, získáte přehled defenderu for Endpoint. Následující video obsahuje přehled:

Podrobnější informace o nabídkách zabezpečení defenderu for Endpoint a Microsoftu najdete v následujících zdrojích informací:

Defender for Endpoint zahrnuje funkce, které jsou nad rámec tohoto článku. V tomto článku se zaměříme na dvě hlavní oblasti:

  • Ochrana nové generace (která zahrnuje antivirovou ochranu) Ochrana nové generace je antivirový produkt stejně jako jiná antivirová řešení pro prostředí Windows.
  • Detekce a odezva koncového bodu (EDR). Funkce EDR detekují podezřelé aktivity a systémová volání a poskytují další vrstvu ochrany před hrozbami, které obešly antivirovou ochranu.

Microsoft a další dodavatelé bezpečnostního softwaru sledují hrozby a poskytují informace o trendech. Informace najdete v tématu Kybernetické hrozby, viry a malware – Microsoft Bezpečnostní analýza.

Poznámka

Informace o Microsoft Defender pro SAP v Linuxu najdete v tématu Pokyny k nasazení pro Microsoft Defender for Endpoint v Linuxu pro SAP. Defender for Endpoint v Linuxu se výrazně liší od verze Windows.

Prohlášení o podpoře SAP pro Defender for Endpoint a další řešení zabezpečení

SAP poskytuje základní dokumentaci pro běžná antivirová řešení kontroly souborů. Běžná antivirová řešení pro kontrolu souborů porovnávají podpisy souborů s databází známých hrozeb. Když je zjištěn napadený soubor, antivirový software obvykle upozorní soubor a umístí ho do karantény. Mechanismy a chování antivirových řešení kontroly souborů jsou poměrně dobře známé a jsou předvídatelné; proto může podpora SAP poskytovat základní úroveň podpory pro aplikace SAP, které pracují s antivirovým softwarem pro kontrolu souborů.

Hrozby založené na souborech jsou nyní pouze jedním z možných vektorů škodlivého softwaru. Malware bez souborů a malware, který žije mimo zemi, vysoce polymorfní hrozby, které mutují rychleji než tradiční řešení, a útoky provozované lidmi, které se přizpůsobí tomu, co najdou nežádoucí uživatelé na ohrožených zařízeních. Tradiční antivirová řešení zabezpečení k zastavení takových útoků nestačí. Vyžadují se funkce umělé inteligence (AI) a strojového učení (ML), jako je blokování chování a omezování. Bezpečnostní software, jako je Defender for Endpoint, má pokročilé funkce ochrany před internetovými útoky, které zmírňují moderní hrozby.

Defender for Endpoint nepřetržitě monitoruje volání operačního systému, jako je čtení souborů, zápis souborů, vytvoření soketu a další operace na úrovni procesu. Senzor Defenderu for Endpoint EDR získává v místních systémech souborů NTFS oportunistické zámky, a proto pravděpodobně nebude mít vliv na aplikace. Ve vzdálených síťových souborových systémech nejsou možné oportunistické zámky. Ve výjimečných případech může zámek způsobit obecné nespecifické chyby, například odepření přístupu v aplikacích SAP.

SAP nemůže poskytovat žádnou úroveň podpory pro software EDR/XDR, jako je Microsoft Defender XDR nebo Defender for Endpoint. Mechanismy v těchto řešeních jsou adaptivní; proto nejsou předvídatelné. Problémy se navíc potenciálně nedají reprodukovat. Pokud jsou problémy zjištěny v systémech, na kterých běží pokročilá řešení zabezpečení, sap doporučuje zakázat bezpečnostní software a pokusit se problém reprodukovat. Případ podpory pak může být vyvolán u dodavatele softwaru zabezpečení.

Další informace o zásadách podpory SAP najdete v tématu 3356389 – Antivirový nebo jiný bezpečnostní software ovlivňující provoz SAP.

Tady je seznam článků SAP, které můžete podle potřeby použít:

Aplikace SAP na Windows Serveru: 10 nejlepších doporučení

  1. Omezte přístup k serverům SAP, zablokujte síťové porty a proveďte všechna ostatní běžná bezpečnostní opatření. Tento první krok je nezbytný. Prostředí hrozeb se vyvinulo z virů založených na souborech na složitější a sofistikované hrozby bez souborů. Akce, jako je blokování portů a omezení přihlášení nebo přístupu k virtuálním počítačům, se už nepovažují za dostatečné k úplnému zmírnění moderních hrozeb.

  2. Před nasazením do produkčních systémů nejprve nasaďte Defender for Endpoint do neproduktivních systémů. Nasazení Defenderu for Endpoint přímo do produkčních systémů bez testování je vysoce rizikové a může vést k výpadku. Pokud nemůžete odložit nasazení Defenderu for Endpoint do produkčních systémů, zvažte dočasné zakázání ochrany před falšováním a ochrany v reálném čase.

  3. Nezapomeňte, že ochrana v reálném čase je ve Windows Serveru ve výchozím nastavení povolená. Pokud zjistíte problémy, které můžou souviset s Defenderem for Endpoint, doporučujeme nakonfigurovat vyloučení nebo otevřít případ podpory prostřednictvím portálu Microsoft Defender.

  4. Nechte tým SAP Basis a váš bezpečnostní tým spolupracovat na nasazení Defenderu for Endpoint. Oba týmy musí společně vytvořit plán postupného nasazení, testování a monitorování.

  5. Pomocí nástrojů, jako je PerfMon (Windows), vytvořte standardní hodnoty výkonu před nasazením a aktivací Defenderu for Endpoint. Porovnejte využití výkonu před a po aktivaci Defenderu for Endpoint. Viz perfmon.

  6. Nasaďte nejnovější verzi Defenderu for Endpoint a používejte nejnovější verze Windows, ideálně Windows Server 2019 nebo novější. Viz Minimální požadavky na Microsoft Defender for Endpoint.

  7. Nakonfigurujte určitá vyloučení pro Microsoft Defender Antivirus. Patří mezi ně:

    • Datové soubory DBMS, soubory protokolů a dočasné soubory, včetně disků obsahujících záložní soubory
    • Celý obsah adresáře SAPMNT
    • Celý obsah adresáře SAPLOC
    • Celý obsah adresáře TRANS
    • Celý obsah adresářů pro samostatné moduly, jako je TREX

    Pokročilí uživatelé můžou zvážit použití kontextových vyloučení souborů a složek.

    Další informace o vyloučeních DBMS najdete v následujících zdrojích informací:

  8. Ověřte nastavení Defenderu pro koncový bod. Microsoft Defender Antivirová ochrana s aplikacemi SAP by měla mít ve většině případů následující nastavení:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. K nastavení defenderu for Endpoint použijte nástroje, jako je správanastavení zabezpečení Intune nebo Defender for Endpoint. Tyto nástroje vám můžou pomoct zajistit, aby byl Defender for Endpoint správně nakonfigurovaný a jednotně nasazený.

    Pokud chcete použít správu nastavení zabezpečení Defenderu for Endpoint, přejděte na portálu Microsoft Defender naSpráva> koncových bodůZásadyzabezpečení koncových bodů> a pak vyberte Create nové zásady. Další informace najdete v tématu Správa zásad zabezpečení koncových bodů v Microsoft Defender for Endpoint.

  10. Použijte nejnovější verzi Defenderu for Endpoint. V Defenderu for Endpoint ve Windows se implementuje několik nových funkcí a tyto funkce byly testovány se systémy SAP. Tyto nové funkce omezují blokování a snižují spotřebu procesoru. Další informace o nových funkcích najdete v tématu Co je nového v Microsoft Defender for Endpoint.

Metodologie nasazení

SAP ani Microsoft nedoporučuje nasazovat Defender for Endpoint ve Windows přímo do všech vývojových, qas a produkčních systémů současně nebo bez pečlivého testování a monitorování. Zákazníci, kteří nasadili Defender for Endpoint a další podobný software nekontrolovaným způsobem bez odpovídajícího testování, zaznamenali výpadky systému.

Defender for Endpoint ve Windows a všechny další změny softwaru nebo konfigurace by měly být nejprve nasazeny do vývojových systémů, ověřeny v QAS a teprve potom nasazeny do produkčních prostředí.

Použití nástrojů, jako je správa nastavení zabezpečení defenderu for Endpoint , k nasazení Defenderu for Endpoint do celého prostředí SAP bez testování pravděpodobně způsobí výpadek.

Tady je seznam věcí, které je potřeba zkontrolovat:

  1. Nasaďte Defender for Endpoint s povolenou ochranou před falšováním. Pokud dojde k problémům, povolte režim řešení potíží, zakažte ochranu před falšováním, zakažte ochranu v reálném čase a nakonfigurujte naplánované kontroly.

  2. Vylučte soubory a spustitelné soubory DBMS podle doporučení dodavatele DBMS.

  3. Analýza adresářů SAPMNT, SAP TRANS_DIR, Spool a Job Log Pokud existuje více než 100 000 souborů, zvažte archivaci, abyste snížili počet souborů.

  4. Potvrďte limity výkonu a kvóty sdíleného systému souborů používaného pro SAPMNT. Zdrojem sdílené složky SMB může být zařízení NetApp, sdílený disk Windows Serveru nebo Azure Files SMB.

  5. Nakonfigurujte vyloučení tak, aby všechny aplikační servery SAP neskenovali sdílenou složku SAPMNT současně, protože by to mohlo přetížit sdílený server úložiště.

  6. Obecně platí, že soubory rozhraní hostitele jsou na vyhrazeném souborovém serveru jiného systému než SAP. Soubory rozhraní jsou rozpoznány jako vektor útoku. Ochrana v reálném čase by se měla aktivovat na tomto vyhrazeném souborovém serveru. Servery SAP by se nikdy neměly používat jako souborové servery pro soubory rozhraní.

    Poznámka

    Některé velké systémy SAP mají více než 20 aplikačních serverů SAP s připojením ke stejné sdílené složce SAPMNT SMB. 20 aplikačních serverů současně kontrolujících stejný server SMB může přetížit server SMB. Doporučuje se vyloučit SAPMNT z pravidelných kontrol.

Důležitá nastavení konfigurace pro Defender for Endpoint na Windows Serveru se SAP

  1. Získejte přehled o Microsoft Defender for Endpoint. Přečtěte si zejména informace o ochraně nové generace a EDR.

    Poznámka

    Termín Defender se někdy používá k označení celé sady produktů a řešení. Viz Co je Microsoft Defender XDR?. V tomto článku se zaměříme na antivirové a EDR funkce v Defenderu for Endpoint.

  2. Zkontrolujte stav Microsoft Defender Antivirus. Otevřete příkazový řádek a spusťte následující příkazy PowerShellu:

    Get-MpComputerStatus následujícím způsobem:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Očekávaný výstup pro Get-MpComputerStatus:

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Očekávaný výstup pro Get-MpPreference:

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Zkontrolujte stav EDR. Otevřete příkazový řádek a spusťte následující příkaz:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    Měl by se zobrazit výstup podobný následujícímu fragmentu kódu:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    Hodnoty, které chcete zobrazit, jsou Status: Running a StartType: Automatic.

    Další informace o výstupu najdete v tématu Kontrola událostí a chyb pomocí Prohlížeč událostí.

  4. Ujistěte se, že je Microsoft Defender Antivirus aktuální. Nejlepší způsob, jak zajistit, aby byla antivirová ochrana aktuální, je použít služba Windows Update. Pokud narazíte na problémy nebo se zobrazí chyba, obraťte se na bezpečnostní tým.

    Další informace o aktualizacích najdete v tématu Microsoft Defender Antivirová ochrana a aktualizace produktů.

  5. Ujistěte se, že je zapnuté monitorování chování. Pokud je povolená ochrana před falšováním, monitorování chování je ve výchozím nastavení zapnuté. Pokud není zjištěn konkrétní problém, použijte výchozí konfiguraci povolené ochrany před falšováním, povoleného monitorování chování a monitorování v reálném čase.

    Další informace najdete v tématu Integrovaná ochrana pomáhá chránit před ransomwarem.

  6. Ujistěte se , že je povolená ochrana v reálném čase. Aktuální doporučení pro Defender for Endpoint ve Windows je povolit kontrolu v reálném čase s povolenou ochranou před falšováním, monitorování chování a monitorování v reálném čase, pokud není zjištěn konkrétní problém.

    Další informace najdete v tématu Integrovaná ochrana pomáhá chránit před ransomwarem.

  7. Mějte na paměti, jak fungují kontroly se síťovými sdílenými složkami. Ve výchozím nastavení komponenta Microsoft Defender Antivirus ve Windows kontroluje sdílené síťové systémy souborů SMB (například sdílenou složku \\server\smb-share windows serveru nebo sdílenou složku NetApp), pokud k těmto souborům přistupují procesy.

    Defender for Endpoint EDR ve Windows může kontrolovat sdílené síťové systémy souborů SMB. Senzor EDR skenuje určité soubory, které jsou identifikovány jako zajímavé pro analýzu EDR během operací úpravy, odstranění a přesunu souborů.

    Defender for Endpoint v Linuxu během plánovaných kontrol neskenuje systémy souborů NFS.

  8. Řešení potíží se stavem nebo spolehlivostí služby Sense Pokud chcete tyto problémy vyřešit, použijte nástroj Defender for Endpoint Client Analyzer. Defender for Endpoint Client Analyzer může být užitečný při diagnostice problémů se stavem nebo spolehlivostí senzoru na zařízeních s Windows, Linuxem nebo macOS. Nejnovější verzi nástroje Defender for Endpoint Client Analyzer získáte tady: https://aka.ms/MDEAnalyzer.

  9. Pokud potřebujete pomoc, otevřete případ podpory. Viz Kontaktování podpory Microsoft Defender for Endpoint.

  10. Pokud používáte produkční virtuální počítače SAP s Microsoft Defender for Cloud, mějte na paměti, že Defender for Cloud nasadí rozšíření Defender for Endpoint do všech virtuálních počítačů. Pokud virtuální počítač není onboardovaný do Defenderu for Endpoint, může se použít jako vektor útoku. Pokud potřebujete více času na testování Defenderu for Endpoint, než přejdete do produkčního prostředí, obraťte se na podporu.

Užitečné příkazy: Microsoft Defender for Endpoint se SAP na Windows Serveru

Následující části popisují, jak potvrdit nebo nakonfigurovat nastavení Defenderu for Endpoint pomocí PowerShellu a příkazového řádku:

Ruční aktualizace definic Microsoft Defender Antivirové ochrany

Použijte služba Windows Update nebo spusťte následující příkaz:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Měl by se zobrazit výstup podobný následujícímu fragmentu kódu:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Další možností je použít tento příkaz:

PS C:\Program Files\Windows Defender> Update-MpSignature

Další informace o těchto příkazech najdete v následujících zdrojích informací:

Určení, jestli je zapnutá funkce EDR v režimu blokování

EDR v režimu blokování poskytuje přidanou ochranu před škodlivými artefakty, když Microsoft Defender Antivirus není primární antivirový produkt a běží v pasivním režimu. Spuštěním následujícího příkazu můžete zjistit, jestli je EDR v režimu blokování povolený:

Get-MPComputerStatus|select AMRunningMode

Existují dva režimy: Normální a Pasivní režim. Testování se systémy SAP se provádělo pouze s AMRunningMode = Normal využitím systémů SAP.

Další informace o tomto příkazu najdete v tématu Get-MpComputerStatus.

Konfigurace vyloučení antivirového softwaru

Před konfigurací vyloučení se ujistěte, že tým SAP Basis spolupracuje s vaším bezpečnostním týmem. Vyloučení by se měla konfigurovat centrálně, a ne na úrovni virtuálního počítače. Vyloučení, jako je sdílený systém souborů SAPMNT, by měla být vyloučena prostřednictvím zásad pomocí portálu pro správu Intune.

K zobrazení vyloučení použijte následující příkaz:

Get-MpPreference | Select-Object -Property ExclusionPath

Další informace o tomto příkazu najdete v tématu Get-MpComputerStatus.

Další informace o vyloučeních najdete v následujících zdrojích informací:

Konfigurace vyloučení EDR

Nedoporučujeme vyloučit soubory, cesty nebo procesy z EDR, protože taková vyloučení tvoří ochranu před moderními hrozbami, které nejsou založené na souborech. V případě potřeby otevřete případ podpory s podpora Microsoftu prostřednictvím portálu Microsoft Defender a zadejte spustitelné soubory nebo cesty, které se mají vyloučit. Viz Kontaktování podpory Microsoft Defender for Endpoint.

Úplně zakažte Defender for Endpoint ve Windows pro účely testování

Upozornění

Nedoporučuje se zakazovat bezpečnostní software, pokud neexistuje žádná alternativa k vyřešení nebo izolaci problému.

Defender for Endpoint by měl být nakonfigurovaný se zapnutou ochranou proti falšování . Pokud chcete defender for Endpoint dočasně zakázat, abyste izolovali problémy, použijte režim řešení potíží.

Pokud chcete vypnout různé dílčí komponenty řešení Microsoft Defender Antivirus, spusťte následující příkazy:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Další informace o těchto příkazech najdete v tématu Set-MpPreference.

Důležité

Na zařízení nemůžete vypnout dílčí komponenty EDR. Jediným způsobem, jak EDR vypnout, je zařízení vypnout.

Pokud chcete vypnout cloudovou ochranu (Microsoft Advanced Protection Service nebo MAPS), spusťte následující příkazy:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Další informace o ochraně poskytované v cloudu najdete v následujících zdrojích informací: