Microsoft Antimalware-Erweiterung für Windows

Übersicht

Die Bedrohungslage für Cloudumgebungen ist dynamisch. Dies erhöht den Druck auf Abonnenten von Clouddiensten für Unternehmens-IT, effektive Schutzmaßnahmen durchzuführen, um die Compliance- und Sicherheitsanforderungen zu erfüllen. Microsoft Antimalware für Azure bietet kostenlose Echtzeitschutzfunktionen. Microsoft Antimalware unterstützt die Identifikation und Entfernung von Viren, Spyware und anderer Schadsoftware. Sie können Warnungen konfigurieren, die ausgelöst werden, wenn bekannte Schadsoftware oder unerwünschte Software versucht, sich selbst zu installieren oder auf Ihren Azure-Systemen ausgeführt zu werden. Die Lösung baut auf der gleichen Antimalware-Plattform wie Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune und Windows Defender für Windows 8.0 oder höher auf. Microsoft Antimalware für Azure ist eine Lösung mit einem einzelnen Agent für Anwendungen und Mandantenumgebungen, die im Hintergrund ohne Eingreifen des Benutzers ausgeführt wird. Sie können Schutz basierend auf den Anforderungen der Anwendungsworkloads bereitstellen, entweder mit der einfachen Konfiguration, die Schutz durch die Standardeinstellungen bietet, oder mit einer erweiterten benutzerdefinierten Konfiguration, einschließlich Antischadsoftwareüberwachung.

Voraussetzungen

Betriebssystem

Microsoft Antimalware für Azure umfasst den Microsoft Antimalware-Client und -Dienst, das klassische Antimalware-Bereitstellungsmodell, Antimalware-PowerShell-Cmdlets und die Azure-Diagnoseerweiterung. Die Microsoft Antimalware-Lösung wird unter den Betriebssystemen Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 unterstützt. Sie wird nicht unter Windows Server 2008 oder Linux unterstützt.

Windows Defender ist die aktivierte integrierte Antischadsoftware unter Windows Server 2016. Die Windows Defender-Schnittstelle ist standardmäßig auch unter einigen Windows Server 2016-SKUs aktiviert. Die Azure-VM-Antischadsoftwareerweiterung kann trotzdem einer Windows Server 2016-VM und höher mit Windows Defender hinzugefügt werden. In diesem Szenario wendet die Erweiterung beliebige optionale Konfigurationsrichtlinien an, die von Windows Defender verwendet werden sollen. Die Erweiterung stellt keinen anderen Antischadsoftwaredienst bereit. Weitere Informationen finden Sie im Abschnitt Beispiele des Artikels zu Microsoft Antimalware.

Internetkonnektivität

Für Microsoft-Antischadsoftware für Windows ist es erforderlich, dass der virtuelle Zielcomputer mit dem Internet verbunden ist, damit regelmäßige Engine- und Signaturupdates empfangen werden.

Bereitstellung von Vorlagen

Azure-VM-Erweiterungen können mithilfe von Azure Resource Manager-Vorlagen bereitgestellt werden. Vorlagen sind ideal, wenn Sie virtuelle Computer bereitstellen, die nach der Bereitstellung konfiguriert werden müssen (beispielsweise, um sie in Azure Antimalware zu integrieren).

Die JSON-Konfiguration für eine VM-Erweiterung kann innerhalb der VM-Ressource geschachtelt oder im Stamm bzw. auf der obersten Ebene einer Resource Manager-JSON-Vorlage platziert werden. Die Platzierung der JSON-Konfiguration wirkt sich auf den Wert von Name und Typ der Ressource aus. Weitere Informationen finden Sie unter Set name and type for child resources (Festlegen von Name und Typ für untergeordnete Ressourcen).

Im folgenden Beispiel wird davon ausgegangen, dass die VM-Erweiterung in der VM-Ressource geschachtelt ist. Beim Schachteln der Ressource für die Erweiterung wird der JSON-Code im "resources": []-Objekt des virtuellen Computers platziert.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Sie müssen mindestens den folgenden Inhalt einbeziehen, um die Microsoft Antimalware-Erweiterung zu aktivieren:

{ "AntimalwareEnabled": true }

JSON-Konfigurationsbeispiel für die Microsoft Antimalware:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

• Erforderlicher Parameter

• Werte: True/False

  • True = Aktivieren
  • false = Fehler bei der Ausgabe, da FALSE kein unterstützter Wert ist.

RealtimeProtectionEnabled

• Werte: True/False, Standardwert ist True

  • True = Aktivieren
  • False = Deaktivieren

ScheduledScanSettings

• isEnabled = True/False

• day = 0-8 (0 - täglich, 1 - Sonntag, 2 - Montag, ...., 7 - Samstag, 8 - Deaktiviert)

• time = 0-1440 (gemessen in Minuten nach Mitternacht – 60 -> 1 Uhr, 120 -> 2 Uhr, ... )

• scanType = Quick/Full, Standardwert: Quick

• Wenn „isEnabled = true“ die einzige bereitgestellte Einstellung ist, werden die folgenden Standardwerte festgelegt: day = 7 (Samstag), time = 120 (2 Uhr), scanType = Quick.

Ausschlüsse

• Mehrere Ausschlüsse in derselben Liste werden mithilfe von einem Semikolon als Trennzeichen angegeben.
• Wenn keine Ausschlüsse angegeben sind, werden die vorhandenen Ausschlüsse ggf. im System durch Leerzeichen überschrieben.

PowerShell-Bereitstellung

Hängt jeweils von der Art der Bereitstellung ab. Verwenden Sie die entsprechenden Befehle, um die Azure Antimalware-Erweiterung für virtuelle Computer auf einem vorhandenen virtuellen Computer bereitzustellen.

• Virtueller auf Azure Resource Manager basierender Computer

• Azure Service Fabric-Cluster

• Server mit Azure Arc-Unterstützung

Problembehandlung und Support

Problembehandlung

Die Protokolle der Microsoft Antimalware-Erweiterung sind unter „%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log“ verfügbar.

Fehlercodes und ihre Bedeutung

Fehlercode	Bedeutung	Mögliche Aktion
-2147156224	MSI ist mit einer anderen Installation ausgelastet.	Führen Sie die Installation später durch.
-2147156221	MSE-Setup wird bereits ausgeführt.	Führen Sie nur jeweils eine Instanz aus.
-2147156208	Wenig freier Speicherplatz < 200 MB	Löschen Sie nicht verwendete Dateien, und wiederholen Sie die Installation.
-2147156187	Die letzte Installation oder Deinstallation bzw. das letzte Upgrade oder Update erfordert einen Neustart.	Führen Sie den Neustart durch, und wiederholen Sie die Installation.
-2147156121	Beim Setup wurde versucht, ein Mitbewerberprodukt zu entfernen. Bei der Deinstallation des Mitbewerberprodukts sind jedoch Fehler aufgetreten.	Versuchen Sie, das Mitbewerberprodukt manuell zu entfernen, führen Sie einen Neustart aus, und wiederholen Sie die Installation.
-2147156116	Fehler bei der Überprüfung der Richtliniendatei	Stellen Sie sicher, dass Sie eine gültige XML-Richtliniendatei an das Setup übergeben.
-2147156095	Der Antimalware-Dienst konnte vom Setup nicht gestartet werden.	Überprüfen Sie, ob alle Binärdateien ordnungsgemäß signiert sind und ob die richtige Lizenzdatei installiert ist.
-2147023293	Schwerwiegender Fehler bei der Installation. Dies geschieht in den meisten Fällen. Epp.msi: Ein AM-Dienst oder Minifiltertreiber kann nicht registriert, gestartet oder beendet werden.	Zur weiteren Untersuchung sind MSI-Protokolle aus Epp.msi erforderlich.
-2147023277	Das Installationspaket konnte nicht geöffnet werden.	Stellen Sie sicher, dass das Paket vorhanden ist und Sie darauf zugreifen können, oder wenden Sie sich an den Hersteller der Anwendung, um sicherzustellen, dass es sich um ein gültiges Windows Installer-Paket handelt.
-2147156109	Windows Defender ist als Voraussetzung erforderlich
-2147205073	Der WebSSO-Aussteller wird nicht unterstützt.
-2147024893	Das System kann den angegebenen Pfad nicht finden.
-2146885619	Es ist keine kryptografische Meldung vorhanden, oder die kryptografische Meldung ist nicht richtig formatiert.
-1073741819	Die Anweisung bei 0x%p verwies auf Speicher bei 0x%p. Der Arbeitsspeicher konnte nicht %s sein.
1	Falsche Funktion

Support

Wenn Sie beim Lesen dieses Artikels feststellen, dass Sie weitere Hilfe benötigen, können Sie Azure-Experten in den Azure- oder Stack Overflow-Foren Fragen stellen. Alternativ dazu haben Sie die Möglichkeit, einen Azure-Supportfall zu erstellen. Rufen Sie die Azure-Support-Website auf, und wählen Sie „Support erhalten“ aus. Informationen zur Nutzung von Azure-Support finden Sie unter Microsoft Azure-Support-FAQ.