Konfigurieren der AMSI-Integration mit SharePoint Server

  • Artikel

GILT FÜR:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Einführung

Die Cybersicherheitslandschaft hat sich grundlegend verändert, wie umfangreiche, komplexe Angriffe und Signale zeigen, dass von Menschen betriebene Ransomware auf dem Vormarsch ist. Mehr denn je ist es wichtig, Ihre lokale Infrastruktur sicher und auf dem neuesten Stand zu halten, einschließlich SharePoint-Server.

Um Kunden dabei zu helfen, ihre Umgebungen zu schützen und auf die zugehörigen Bedrohungen durch die Angriffe zu reagieren, führen wir die Integration zwischen SharePoint Server und windows Antimalware Scan Interface (AMSI) ein. AMSI ist ein vielseitiger Standard, mit dem Anwendungen und Dienste in jedes AMSI-fähige Anti-Malware-Produkt integriert werden können, das auf einem Computer vorhanden ist.

Die AMSI-Integrationsfunktion wurde entwickelt, um zu verhindern, dass böswillige Webanforderungen SharePoint-Endpunkte erreichen. Beispielsweise, um ein Sicherheitsrisiko in einem SharePoint-Endpunkt auszunutzen, bevor der offizielle Fix für das Sicherheitsrisiko installiert wurde.

AMSI-Integration mit SharePoint Server

Wenn eine AMSI-fähige Antiviren- oder Antischadsoftwarelösung in SharePoint Server integriert ist, kann sie und Anforderungen an den Server untersuchen HTTP und HTTPS verhindern, dass SharePoint Server gefährliche Anforderungen verarbeitet. Jedes AMSI-fähige Antiviren- oder Antischadsoftwareprogramm, das auf dem Server installiert ist, führt die Überprüfung aus, sobald der Server mit der Verarbeitung der Anforderung beginnt.

Der Zweck der AMSI-Integration besteht nicht darin, vorhandene Antiviren-/Antischadsoftwareschutzmaßnahmen zu ersetzen, die bereits auf dem Server installiert sind. Es soll eine zusätzliche Schutzebene vor böswilligen Webanforderungen an SharePoint-Endpunkte bereitstellen. Kunden sollten weiterhin SharePoint-kompatible Antivirenlösungen auf ihren Servern bereitstellen, um zu verhindern, dass ihre Benutzer Dateien mit Viren hochladen oder herunterladen.

Voraussetzungen

Überprüfen Sie vor dem Aktivieren der AMSI-Integration die folgenden Voraussetzungen auf jedem SharePoint Server:

  • Windows Server 2016 oder höher
  • SharePoint Server-Abonnementedition Version 22H2 oder höher
  • SharePoint Server 2019 Build 16.0.10396.20000 oder höher (KB-5002358: Sicherheitsupdate vom 14. März 2023 für SharePoint Server 2019)
  • SharePoint Server 2016 Build 16.0.5391.1000 oder höher (KB-5002385: Sicherheitsupdate vom 11. April 2023 für SharePoint Server 2016)
  • Microsoft Defender mit AV-Engine-Version 1.1.18300.4 oder höher (alternativ ein kompatibler AMSI-fähiger Drittanbieter für Antiviren-/Antischadsoftware)

Aktivieren/Deaktivieren von AMSI für SharePoint Server

Ab den Sicherheitsupdates vom September 2023 für SharePoint Server 2016/2019 und dem Featureupdate version 23H2 für SharePoint Server-Abonnementedition wird die AMSI-Integration in SharePoint Server standardmäßig für alle Webanwendungen in SharePoint Server aktiviert. Diese Änderung zielt darauf ab, die allgemeine Sicherheit von Kundenumgebungen zu erhöhen und potenzielle Sicherheitsverletzungen zu minimieren. Basierend auf ihren Anforderungen behalten Kunden jedoch die Möglichkeit, die AMSI-Integrationsfunktionalität zu deaktivieren.

Um die Sicherheitsupdates vom September 2023 zu initiieren, müssen Kunden nur das Update installieren und den Konfigurations-Assistenten für SharePoint-Produkte ausführen.

Hinweis

Wenn Kunden die Installation des öffentlichen Updates vom September 2023 überspringen, wird diese Änderung bei der Installation des nachfolgenden öffentlichen Updates aktiviert, das die Sicherheitsupdates vom September 2023 für SharePoint Server 2016/2019 oder das Featureupdate 23H2 für SharePoint Server-Abonnementedition enthält.

Wenn Kunden es vorziehen, die AMSI-Integration nicht automatisch in ihren SharePoint Server-Farmen zu aktivieren, können sie die folgenden Schritte ausführen:

  1. Installieren Sie die Sicherheitsupdates vom September 2023 für SharePoint Server 2016/2019 oder version 23H2 für SharePoint Server-Abonnementedition.
  2. Führen Sie den Konfigurations-Assistenten für SharePoint-Produkte aus.
  3. Führen Sie die Standardschritte aus, um die AMSI-Integrationsfunktion in Ihren Webanwendungen zu deaktivieren.

Wenn Sie diese Schritte ausführen, versucht SharePoint nicht, das Feature während der Installation zukünftiger öffentlicher Updates erneut zu aktivieren.

Führen Sie die folgenden Schritte aus, um die AMSI-Integration pro Webanwendung manuell zu deaktivieren/zu aktivieren:

  1. Öffnen Sie die SharePoint-Zentraladministration, und wählen Sie Anwendungsverwaltung aus.
  2. Wählen Sie unter Webanwendungen die Option Webanwendungen verwalten aus.
  3. Wählen Sie die Webanwendung aus, für die Sie die AMSI-Integration aktivieren möchten, und wählen Sie auf der Symbolleiste Features verwalten aus.
  4. Wählen Sie auf dem Bildschirm SharePoint Server Antimalware Scanningdie Option Deaktivieren aus, um die AMSI-Integration zu deaktivieren, oder wählen Sie Aktivieren aus, um die AMSI-Integration zu aktivieren.

Alternativ können Sie die AMSI-Integration für eine Webanwendung deaktivieren, indem Sie den folgenden PowerShell-Befehl ausführen:

Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

Oder aktivieren Sie die AMSI-Integration für eine Webanwendung, indem Sie den folgenden PowerShell-Befehl ausführen:

Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

Testen und Überprüfen der AMSI-Integration mit SharePoint Server

Sie können das Amsi-Feature (Antimalware Scan Interface) testen, um sicherzustellen, dass es ordnungsgemäß funktioniert. Dies umfasst das Senden einer Anforderung an SharePoint Server mit einer speziellen Testzeichenfolge, die Microsoft Defender zu Testzwecken erkennt. Diese Testzeichenfolge ist nicht gefährlich, aber Microsoft Defender behandelt sie so, als wäre sie böswillig, sodass Sie bestätigen können, wie sie sich verhält, wenn sie auf böswillige Anforderungen trifft.

Wenn die AMSI-Integration in SharePoint Server aktiviert ist und Microsoft Defender als Malwareerkennungsmodul verwendet, führt das Vorhandensein dieser Testzeichenfolge dazu, dass die Anforderung von AMSI blockiert wird, anstatt von SharePoint verarbeitet zu werden.

Die Testzeichenfolge ähnelt der EICAR-Testdatei , unterscheidet sich jedoch geringfügig, um Verwirrung bei der URL-Codierung zu vermeiden.

Sie können die AMSI-Integration testen, indem Sie die Testzeichenfolge entweder als Abfragezeichenfolge oder als HTTP-Header in Ihrer Anforderung an SharePoint Server hinzufügen.

Verwenden einer Abfragezeichenfolge zum Testen der AMSI-Integration

amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Beispiel: Senden einer Anforderung an https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Verwenden eines HTTP-Headers zum Testen der AMSI-Integration

amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Beispiel: Senden Sie eine Anforderung, die wie folgt aussieht.

GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Microsoft Defender erkennt dies als folgenden Exploit:

Exploit:Script/SharePointEicar.A

Hinweis

Wenn Sie eine andere Engine zur Erkennung von Schadsoftware als Microsoft Defender verwenden, sollten Sie sich an Ihren Anbieter für die Malwareerkennungs-Engine wenden, um die beste Möglichkeit zum Testen der Integration mit dem AMSI-Feature in SharePoint Server zu ermitteln.

Weitere Referenzen

Auswirkungen der Verwendung von Microsoft Defender als primäre AMSI-Lösung auf die Leistung

Standardmäßig wird Microsoft Defender Antivirus (MDAV), eine AMSI-fähige Lösung, automatisch aktiviert und auf Endpunkten und Geräten installiert, auf denen Windows 10, Windows Server 2016 und höher ausgeführt wird. Wenn Sie keine Antiviren-/Antischadsoftwareanwendung installiert haben, funktioniert die SharePoint Server AMSI-Integration mit MDAV. Wenn Sie eine andere Antiviren-/Antischadsoftware-Anwendung installieren und aktivieren, wird MDAV automatisch deaktiviert. Wenn Sie die andere App deinstallieren, wird MDAV automatisch wieder aktiviert, und die SharePoint Server-Integration funktioniert mit MDAV.

Die Verwendung von MDAV auf SharePoint Server bietet folgende Vorteile:

  • MDAV ruft Signaturen ab, die schädlichen Inhalten entsprechen. Wenn Microsoft von einem Exploit erfährt, der blockiert werden kann, kann eine neue MDAV-Signatur bereitgestellt werden, um zu verhindern, dass sich der Exploit auf SharePoint auswirkt.
  • Verwenden vorhandener Technologien zum Hinzufügen von Signaturen für schädliche Inhalte.
  • Nutzen Sie das Know-how des Microsoft-Schadsoftware-Forschungsteams für das Hinzufügen von Signaturen.
  • Verwenden bewährter Methoden, die MDAV bereits für das Hinzufügen anderer Signaturen anwendet.

Dies kann auswirkungen auf die Leistung der Webanwendung haben, da die AMSI-Überprüfung CPU-Ressourcen verwendet. Es gibt keine eindeutigen Auswirkungen auf die Leistung der AMSI-Überprüfung beim Testen mit MDAV und keine Änderungen an den vorhandenen dokumentierten SharePoint Server-Antivirenausschlüssen. Jeder Antivirenanbieter entwickelt eigene Definitionen, die AMSI-Technologie nutzen. Daher hängt Ihr Schutzniveau weiterhin davon ab, wie schnell Ihre spezifische Lösung aktualisiert werden kann, um die neuesten Bedrohungen zu erkennen.

Microsoft Defender Version über die Befehlszeile

Hinweis

Wenn Sie Microsoft Defender verwenden, können Sie die Befehlszeile verwenden und sicherstellen, dass die Signaturen mit der neuesten Version aktualisiert werden.

  1. Starten Sie Command Prompt als Administrator.
  2. Navigieren Sie zu %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>.
  3. Führen Sie mpcmdrun.exe -SignatureUpdate aus.

Diese Schritte bestimmen Ihre aktuelle Engine-Version, suchen nach aktualisierten Definitionen und berichten.

Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4 
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>