Microsoft Antimalware für Azure Cloud Services und Virtual Machines

Microsoft Antimalware für Azure ist eine kostenlose Echtzeit-Schutzfunktion zum Erkennen und Entfernen von Viren, Spyware und anderer Schadsoftware. Das Tool generiert Warnungen, wenn bekannte schädliche oder unerwünschte Software versucht, sich selbst auf Ihren Azure-Systemen zu installieren oder dort auszuführen.

Die Lösung baut auf derselben Antischadsoftwareplattform wie Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune und Microsoft Defender for Cloud auf. Microsoft Antimalware für Azure ist eine Lösung mit einem einzelnen Agent für Anwendungen und Mandantenumgebungen, die im Hintergrund ohne Eingreifen des Benutzers ausgeführt wird. Der Schutz kann basierend auf den Anforderungen der Anwendungsworkloads bereitgestellt werden – entweder mit der einfachen Konfiguration, die Schutz durch die Standardeinstellungen bietet, oder mit einer erweiterten benutzerdefinierten Konfiguration, einschließlich Antischadsoftwareüberwachung.

Wenn Sie Microsoft Antimalware für Azure für Ihre Anwendungen bereitstellen und aktivieren, sind die folgenden Kernfunktionen verfügbar:

• Echtzeitschutz – Überwacht die Aktivitäten in Clouddiensten und auf virtuellen Computern, um die Ausführung von Malware zu erkennen und zu blockieren.
• Geplantes Scannen: führt regelmäßig Scans aus, um Schadsoftware, einschließlich aktiv ausgeführter Programme, zu erkennen.
• Schadsoftwarebehandlung – Führt automatisch Aktionen für erkannte Malware aus, z.B. das Löschen schädlicher Dateien, das Unter-Quarantäne-Stellen schädlicher Dateien und das Bereinigen von schädlichen Registrierungseinträgen.
• Signaturaktualisierungen – Installiert automatisch die neuesten Schutzsignaturen (Virendefinitionen), um sicherzustellen, dass der Schutz in einem festgelegten Rhythmus aktualisiert wird.
• Aktualisierungen des Antimalware-Moduls: Führt eine automatische Aktualisierung des Microsoft Antimalware-Moduls durch.
• Aktualisierungen der Antimalware-Plattform: Aktualisiert automatisch die Microsoft Antimalware-Plattform.
• Aktiver Schutz – Übermittelt Telemetrie-Metadaten über erkannte Bedrohungen und verdächtige Ressourcen an Microsoft Azure, um eine schnelle Reaktion auf die sich entwickelnde Bedrohungslandschaft zu gewährleisten, und ermöglicht die synchrone Signaturbereitstellung in Echtzeit über das Microsoft Active Protection System (MAPS).
• Übermittlung von Stichproben – Übermittelt Stichproben an den Microsoft Antimalware-Dienst, um den Dienst zu optimieren und die Problembehandlung zu ermöglichen.
• Ausschlüsse: Ermöglicht Anwendungs- und Dienstadministratoren das Konfigurieren von Ausschlüssen für Dateien, Prozesse und Laufwerke.
• Antimalware-Ereigniserfassung – Erfasst die Integrität des Antimalware-Diensts, verdächtige Aktivitäten und durchgeführte Wiederherstellungsaktionen im Ereignisprotokoll des Betriebssystems und sammelt sie im Azure Storage-Konto des Kunden.

Hinweis

Microsoft Antimalware kann auch mit Microsoft Defender für Cloud bereitgestellt werden. Weitere Informationen erhalten Sie unter Installieren von Endpoint Protection in Microsoft Defender für Cloud.

Aufbau

Microsoft Antimalware für Azure umfasst den Microsoft Antimalware-Client und -Dienst, das klassische Antimalware-Bereitstellungsmodell, Antimalware-PowerShell-Cmdlets und die Azure-Diagnoseerweiterung. Microsoft Antimalware wird unter den Betriebssystemen Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 unterstützt. Sie wird nicht unter Windows Server 2008 oder Linux unterstützt.

Der Microsoft Antimalware-Client und -Dienst wird standardmäßig unter allen Azure-Gastbetriebssystemen und auf der Cloud Services-Plattform in deaktiviertem Zustand installiert. Der Microsoft Antimalware-Client und -Dienst ist nicht standardmäßig in der Plattform für VMs installiert und ist als optionale Funktion über das Azure-Portal und die Computerkonfiguration von Visual Studio unter Sicherheitserweiterungen verfügbar.

Bei Verwendung von Azure App Service unter Windows ist in dem zugrunde liegenden Dienst, der die Web-App hostet, Microsoft Antimalware aktiviert. Dies dient dem Schutz der Azure App Service-Infrastruktur und wird nicht für Kundeninhalte ausgeführt.

Hinweis

Microsoft Defender Antivirus ist die integrierte Antischadsoftware unter Windows Server 2016 und höher. Die Azure-VM-Antischadsoftwareerweiterung kann trotzdem einer Azure-VM unter Windows Server 2016 und höher mit Windows Defender Antivirus hinzugefügt werden. In diesem Szenario wendet die Erweiterung alle optionalen Konfigurationsrichtlinien an, die von Microsoft Defender Antivirus verwendet werden sollen. Die Erweiterung stellt keine anderen Antischadsoftwaredienste bereit. Weitere Informationen finden Sie im Abschnitt Beispiele dieses Artikels.

Microsoft Antimalware-Workflow

Der Azure-Dienstadministrator kann Antimalware für Azure unter Verwendung der folgenden Optionen mit einer Standardkonfiguration oder benutzerdefinierten Konfiguration für Virtual Machines und Cloud Services konfigurieren:

• Virtual Machines – im Azure-Portal unter Sicherheitserweiterungen
• Virtual Machines – In Visual Studio mit der Konfiguration virtueller Computer im Server-Explorer
• Virtual Machines und Cloud Services – Verwendung des klassischen Bereitstellungsmodells für Antimalware
• Virtual Machines und Cloud Services – Mit den Antimalware-PowerShell-Cmdlets

Über das Azure-Portal oder PowerShell-Cmdlets wird die Antimalware-Erweiterungspaketdatei auf dem Azure-System an einem vorher festgelegten Ort abgelegt. Der Azure-Gast-Agent (oder der Fabric-Agent) startet die Antimalware-Erweiterung und wendet die als Eingabe bereitgestellten Antimalware-Konfigurationseinstellungen an. Durch diesen Schritt wird der Antimalware-Dienst mit den Standard- oder benutzerdefinierten Konfigurationseinstellungen aktiviert. Wenn keine benutzerdefinierte Konfiguration bereitgestellt wurde, wird der Antimalware-Dienst mit den Standardkonfigurationseinstellungen aktiviert. Weitere Informationen finden Sie im Abschnitt Beispiele dieses Artikels.

Sobald der Microsoft-Antischadsoftware-Client ausgeführt wird, lädt er die neuesten Protection Engine- und Signaturdefinitionen aus dem Internet herunter und lädt sie in das Azure-System. Der Microsoft Antimalware-Dienst schreibt dienstbezogene Ereignisse unter der Ereignisquelle „Microsoft Antimalware“ in das Systemereignisprotokoll des Betriebssystems. Zu solchen Ereignissen zählen der Integritätsstatus, Schutz- und Wiederherstellungsstatus des Antischadsoftwareclients, neue und alte Konfigurationseinstellungen, Engine-Aktualisierungen, Signaturdefinitionen und weitere Ereignisse.

Sie können die Antimalware-Überwachung für Ihren Cloud-Dienst oder Ihre VM aktivieren, damit die Antimalware-Ereignisprotokoll-Ereignisse in Ihr Azure-Speicherkonto geschrieben werden, sobald sie erzeugt werden. Der Antimalware-Dienst erfasst mithilfe der Erweiterung „Azure-Diagnose“ Antimalware-Ereignisse aus dem Azure-System in Tabellen im Azure Storage-Konto des Kunden.

Der Bereitstellungsworkflow, einschließlich Konfigurationsschritten und den für die oben genannten Szenarien unterstützten Optionen, wird im Abschnitt Antimalware-Bereitstellungsszenarien dieses Dokuments beschrieben.

Hinweis

Sie können jedoch PowerShell/APIs und Azure Resource Manager-Vorlagen zum Bereitstellen von Skalierungsgruppen für virtuelle Computer mit der Antischadsoftware-Erweiterung von Microsoft verwenden. Für die Installation einer Erweiterung auf einem bereits ausgeführten virtuellen Computer können Sie das Python-Beispielskript vmssextn.py verwenden. Dieses Skript ruft die vorhandene Erweiterungskonfiguration für die Skalierungsgruppe ab und fügt der Liste der vorhandenen Erweiterungen für VM Scale Sets eine Erweiterung hinzu.

Standardmäßige und benutzerdefinierte Antimalware-Konfiguration

Die Standardkonfigurationseinstellungen werden angewendet, um Antimalware für Azure Cloud Services oder VMs zu aktivieren, wenn Sie keine benutzerdefinierten Konfigurationseinstellungen angeben. Die Standardkonfigurationseinstellungen wurden bereits für die Ausführung in der Azure-Umgebung optimiert. Optional können Sie diese Standardkonfigurationseinstellungen nach Bedarf für Ihre Azure-Anwendung oder Dienstbereitstellung anpassen und sie für andere Bereitstellungsszenarien anwenden.

In der folgenden Tabelle sind die für den Antimalware-Dienst verfügbaren Konfigurationseinstellungen zusammengefasst. Die Standardkonfigurationseinstellungen sind in der Spalte „Standard“ gekennzeichnet.

Antimalware-Bereitstellungsszenarien

In diesem Abschnitt werden die Szenarien zum Aktivieren und Konfigurieren von Antimalware, einschließlich der Überwachung für Azure Cloud Services und Virtual Machines, erläutert.

Virtual Machines – Aktivieren und Konfigurieren von Antimalware

Bereitstellung beim Erstellen eines virtuellen Computers über das Azure-Portal

Gehen Sie folgendermaßen vor, um Microsoft Antimalware für Azure Virtual Machines über das Azure-Portal zu aktivieren und zu konfigurieren, während Sie eine VM bereitstellen:

1. Melden Sie sich beim Azure-Portal an.
2. Um einen neuen virtuellen Computer zu erstellen, navigieren Sie zu Virtuelle Computer und wählen Hinzufügen und dann Windows Server aus.
3. Wählen Sie die Version von Windows Server aus, die Sie verwenden möchten.
4. Klicken Sie auf Erstellen.
5. Geben Sie einen Namen, einen Benutzernamen und ein Kennwort an, und erstellen Sie eine neue Ressourcengruppe. Sie können auch eine vorhandene Ressourcengruppe verwenden.
6. Klicken Sie auf OK.
7. Wählen Sie eine VM-Größe aus.
8. Im nächsten Abschnitt nehmen Sie Anpassungen für Ihre Anforderungen vor. Wählen Sie den Abschnitt Erweiterungen aus.
9. Wählen Sie Erweiterung hinzufügen aus.
10. Wählen Sie unter Neue Ressource die Option Microsoft Antimalware aus.
11. Klicken Sie auf Erstellen
12. Im Abschnitt Erweiterung installieren können Sie Ausschlüsse für Dateien, Standorte und Prozesse sowie weitere Scanoptionen konfigurieren. Klicken Sie auf OK.
13. Klicken Sie auf OK.
14. Wählen Sie im Abschnitt Einstellungen die Option OK aus.
15. Wählen Sie auf dem Bildschirm Erstellen die Option OK aus.

Weitere Informationen zur Bereitstellung der Antimalware VM-Erweiterung für Windows finden Sie in dieser Azure Resource Manager-Vorlage.

Bereitstellung mit der Konfiguration eines virtuellen Computers in Visual Studio

Sie aktivieren und konfigurieren Sie den Microsoft Antimalware-Dienst mit Visual Studio:

1. Stellen Sie in Visual Studio eine Verbindung mit Microsoft Azure her.

2. Wählen Sie im Server-Explorer im Knoten Virtuelle Computer den virtuellen Computer aus.

   

3. Klicken Sie mit der rechten Maustaste auf Konfigurieren, um die Seite für die Konfiguration des virtuellen Computers anzuzeigen.

4. Wählen Sie in der Dropdownliste unter Installierte Erweiterungen die Erweiterung Microsoft Antimalware aus, und klicken Sie auf Hinzufügen, um die Antimalware-Standardkonfiguration zu verwenden.

5. Um die Antimalware-Standardkonfiguration anzupassen, wählen (markieren) Sie in der Liste „Installierte Erweiterungen“ die Erweiterung „Microsoft Antimalware“ aus, und klicken Sie auf Konfigurieren.

6. Ersetzen Sie im Textfeld Öffentliche Konfiguration die Antimalware-Standardkonfiguration durch die benutzerdefinierte Konfiguration im unterstützten JSON-Format, und klicken Sie auf „OK“.

7. Klicken Sie auf die Schaltfläche Aktualisieren, um die Konfigurationsaktualisierungen auf den virtuellen Computer zu pushen.

   

Hinweis

Bei der Konfiguration virtueller Computer in Visual Studio für Antimalware wird nur das JSON-Format unterstützt. Weitere Informationen finden Sie im Abschnitt Beispiele dieses Artikels.

Bereitstellung mit PowerShell-Cmdlets

Eine Azure-Anwendung oder ein Azure-Dienst kann Microsoft Antimalware für Azure Virtual Machines mithilfe von PowerShell-Cmdlets aktivieren und konfigurieren.

So aktivieren und konfigurieren Sie Microsoft Antimalware mit PowerShell-Cmdlets:

1. Richten Sie die PowerShell-Umgebung ein – siehe Dokumentation unter https://github.com/Azure/azure-powershell.
2. Verwenden Sie zum Aktivieren und Konfigurieren von Microsoft Antimalware für Ihren virtuellen Computer das Cmdlet Set-AzureVMMicrosoftAntimalwareExtension.

Hinweis

Bei der Konfiguration von Azure Virtual Machines für Antimalware wird nur das JSON-Format unterstützt. Weitere Informationen finden Sie im Abschnitt Beispiele dieses Artikels.

Aktivieren und Konfigurieren von Antimalware mithilfe von PowerShell-Cmdlets

Eine Azure-Anwendung oder ein Azure-Dienst kann Microsoft Antimalware für Azure Cloud Services mit PowerShell-Cmdlets aktivieren und konfigurieren. Microsoft Antimalware wird in einem deaktivierten Zustand in der Cloud Services-Plattform installiert und erfordert eine Aktion durch eine Azure-Anwendung, um es zu aktivieren.

So aktivieren und konfigurieren Sie Microsoft Antimalware mit PowerShell-Cmdlets:

1. Richten Sie die PowerShell-Umgebung ein – siehe Dokumentation unter https://github.com/Azure/azure-powershell.
2. Verwenden Sie zum Aktivieren und Konfigurieren von Microsoft Antimalware für Ihren Clouddienst das Cmdlet Set-AzureServiceExtension.

Weitere Informationen finden Sie im Abschnitt Beispiele dieses Artikels.

Cloud Services und Virtual Machines – Konfiguration mithilfe von PowerShell-Cmdlets

Eine Azure-Anwendung oder ein Azure-Dienst kann die Microsoft Antimalware-Konfiguration für Cloud Services und Virtual Machines mithilfe von PowerShell-Cmdlets abrufen.

So rufen Sie die Microsoft Antimalware-Konfiguration mithilfe von PowerShell-Cmdlets ab:

1. Richten Sie die PowerShell-Umgebung ein – siehe Dokumentation unter https://github.com/Azure/azure-powershell.
2. Für Virtual Machines: Verwenden Sie zum Abrufen der Antimalware-Konfiguration das Cmdlet Get-AzureVMMicrosoftAntimalwareExtension.
3. Für Cloud Services: Verwenden Sie zum Abrufen der Antimalware-Konfiguration das Cmdlet Get-AzureServiceExtension.

Beispiele

Entfernen der Antimalware-Konfiguration mithilfe von PowerShell-Cmdlets

Eine Azure-Anwendung oder ein Azure-Dienst kann die Antimalware-Konfiguration und die gesamte zugehörige Antimalware-Überwachungskonfiguration aus den relevanten Azure-Antimalware- und Diagnosediensterweiterungen für den Clouddienst oder virtuellen Computer entfernen.

So entfernen Sie Microsoft Antimalware mithilfe von PowerShell-Cmdlets:

1. Richten Sie die PowerShell-Umgebung ein – siehe Dokumentation unter https://github.com/Azure/azure-powershell.
2. Für Virtual Machines: Verwenden Sie das Cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
3. Für Cloud Services: Verwenden Sie das Cmdlet Remove-AzureServiceExtension.

So aktivieren Sie die Antimalware-Ereigniserfassung für einen virtuellen Computer mithilfe des Azure-Vorschauportals:

1. Klicken Sie im Blatt "Virtueller Computer" auf einen beliebigen Teil des Fokus "Überwachung".
2. Klicken Sie im Blatt "Metrik" auf den Befehl "Diagnose".
3. Wählen Sie für Status „EIN“ aus, und aktivieren Sie die Option für das Windows-Ereignissystem.
4. . Sie können alle anderen Optionen in der Liste deaktivieren oder sie entsprechend den Anwendungsdienstanforderungen aktiviert lassen.
5. Die Antimalware-Ereigniskategorien „Fehler“, „Warnung“, „Information“ usw. werden im Azure Storage-Konto erfasst.

Antimalware-Ereignisse werden aus den Windows-Ereignissystemprotokollen in das Azure-Speicherkonto übertragen. Sie können das Speicherkonto für den virtuellen Computer zum Erfassen von Antimalware-Ereignissen konfigurieren, indem Sie das entsprechende Speicherkonto auswählen.

Aktivieren und Konfigurieren von Antimalware mithilfe von PowerShell-Cmdlets für Azure Resource Manager-VMs

Auf folgende Weise können Sie Microsoft Antimalware für Azure Resource Manager-VMs mithilfe von PowerShell-Cmdlets aktivieren und konfigurieren:

1. Richten Sie die PowerShell-Umgebung anhand der Informationen in dieser Dokumentation auf GitHub ein.
2. Verwenden Sie zum Aktivieren und Konfigurieren von Microsoft Antimalware für Ihre VM das Cmdlet Set-AzureRmVMExtension.

Folgende Codebeispiele sind verfügbar:

• Bereitstellen von Microsoft Antimalware auf ARM-VMs
• Hinzufügen von Microsoft Antimalware zu Azure Service Fabric-Clustern

Aktivieren und Konfigurieren von Antimalware für Azure Cloud Services (erweiterter Support) unter Verwendung von PowerShell-Cmdlets

So aktivieren und konfigurieren Sie Microsoft Antimalware mit PowerShell-Cmdlets:

1. Richten Sie die PowerShell-Umgebung ein – siehe Dokumentation unter https://github.com/Azure/azure-powershell.
2. Verwenden Sie das Cmdlet New-AzCloudServiceExtensionObject, um Microsoft Antimalware für Ihre Clouddienst-VM zu aktivieren und zu konfigurieren.

Es steht das folgende Codebeispiel zur Verfügung:

• Hinzufügen von Microsoft Antimalware zum Azure-Clouddienst mithilfe des erweiterten Supports

Aktivieren und Konfigurieren von Antimalware mithilfe von PowerShell-Cmdlets für Server mit Azure Arc-Unterstützung

Auf folgende Weise können Sie Microsoft Antimalware für Server mit Azure Arc-Unterstützung mithilfe von PowerShell-Cmdlets aktivieren und konfigurieren:

1. Richten Sie die PowerShell-Umgebung anhand der Informationen in dieser Dokumentation auf GitHub ein.
2. Verwenden Sie das Cmdlet New-AzConnectedMachineExtension, um Microsoft Antimalware für Ihre Server mit Arc-Unterstützung zu aktivieren und zu konfigurieren.

Folgende Codebeispiele sind verfügbar:

• Hinzufügen von Microsoft Antimalware für Server mit Azure Arc-Unterstützung

Nächste Schritte

Informationen zum Aktivieren und Konfigurieren von Microsoft Antimalware für Azure Resource Manager-VMs (ARM) finden Sie in den Codebeispielen.