Configuración de la integración de AMSI con SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
Introducción
El panorama de la ciberseguridad ha cambiado fundamentalmente, como lo demuestra los ataques complejos a gran escala y las señales de que el ransomware operado por el ser humano está en aumento. Más que nunca, es fundamental mantener la infraestructura local segura y actualizada, incluidos los servidores de SharePoint.
Para ayudar a los clientes a proteger sus entornos y responder a las amenazas asociadas de los ataques, estamos introduciendo la integración entre SharePoint Server y la interfaz de examen antimalware (AMSI) de Windows. AMSI es un estándar versátil que permite a las aplicaciones y servicios integrarse con cualquier producto antimalware compatible con AMSI presente en un equipo.
La funcionalidad de integración de AMSI está diseñada para evitar que las solicitudes web malintencionadas lleguen a los puntos de conexión de SharePoint. Por ejemplo, para aprovechar una vulnerabilidad de seguridad en un punto de conexión de SharePoint antes de que se haya instalado la corrección oficial de la vulnerabilidad de seguridad.
Integración de AMSI con SharePoint Server
Cuando una solución antivirus o antimalware compatible con AMSI se integra con SharePoint Server, puede examinar HTTP
y HTTPS
realizar solicitudes al servidor e impedir que SharePoint Server procese solicitudes peligrosas. Cualquier antivirus o programa antimalware compatible con AMSI que esté instalado en el servidor realiza el examen en cuanto el servidor comienza a procesar la solicitud.
El propósito de la integración de AMSI no es reemplazar las defensas antivirus o antimalware existentes ya instaladas en el servidor; es para proporcionar una capa adicional de protección frente a solicitudes web malintencionadas realizadas a puntos de conexión de SharePoint. Los clientes deben implementar soluciones antivirus compatibles con SharePoint en sus servidores para evitar que sus usuarios carguen o descarguen archivos con virus.
Requisitos previos
Antes de habilitar la integración de AMSI, compruebe los siguientes requisitos previos en cada servidor de SharePoint:
- Windows Server 2016 o superior
- SharePoint Server Subscription Edition versión 22H2 o posterior
- SharePoint Server 2019 compilación 16.0.10396.20000 o posterior (KB 5002358: actualización de seguridad del 14 de marzo de 2023 para SharePoint Server 2019)
- SharePoint Server 2016 compilación 16.0.5391.1000 o posterior (KB 5002385: actualización de seguridad del 11 de abril de 2023 para SharePoint Server 2016)
- Microsoft Defender con la versión del motor de ANTIVIRUS en la versión 1.1.18300.4 o posterior (como alternativa, un proveedor de antivirus o antimalware de terceros compatible con AMSI)
Activar o desactivar AMSI para SharePoint Server
A partir de las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la actualización de características de la versión 23H2 para SharePoint Server Subscription Edition, la integración de AMSI con SharePoint Server se habilita de forma predeterminada para todas las aplicaciones web de SharePoint Server. Esta modificación tiene como objetivo mejorar la seguridad general de los entornos de cliente y mitigar posibles infracciones de seguridad. Sin embargo, en función de sus requisitos, los clientes conservan la opción de desactivar la funcionalidad de integración de AMSI.
Para iniciar las actualizaciones de seguridad de septiembre de 2023, los clientes solo necesitan instalar la actualización y ejecutar el Asistente para configuración de productos de SharePoint.
Nota:
Si los clientes omiten la instalación de la actualización pública de septiembre de 2023, este cambio se activará al instalar la actualización pública posterior que incluye las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 o la actualización de características de la versión 23H2 para SharePoint Server Subscription Edition.
Si los clientes prefieren no tener habilitada la integración de AMSI automáticamente en sus granjas de servidores de SharePoint Server, pueden seguir estos pasos:
- Instale las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 o la actualización de características versión 23H2 para SharePoint Server Subscription Edition.
- Ejecute el Asistente para configuración de productos de SharePoint.
- Siga los pasos estándar para deshabilitar la característica de integración de AMSI en las aplicaciones web.
Si sigue estos pasos, SharePoint no intentará volver a habilitar la característica al instalar futuras actualizaciones públicas.
Para desactivar o activar manualmente la integración de AMSI por aplicación web, siga estos pasos:
- Abra Administración central de SharePoint y seleccione Administración de aplicaciones.
- En Aplicaciones web, seleccione Administrar aplicaciones web.
- Seleccione la aplicación web para la que desea habilitar la integración de AMSI y seleccione Administrar características en la barra de herramientas.
- En la pantalla Examen antimalware de SharePoint Server , seleccione Desactivar para desactivar la integración de AMSI o seleccione Activar para activar la integración de AMSI.
Como alternativa, puede desactivar la integración de AMSI para una aplicación web ejecutando el siguiente comando de PowerShell:
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
O bien, active la integración de AMSI para una aplicación web mediante la ejecución del siguiente comando de PowerShell:
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Prueba y comprobación de la integración de AMSI con SharePoint Server
Puede probar la característica Antimalware Scan Interface (AMSI) para comprobar que funciona correctamente. Esto implica el envío de una solicitud a SharePoint Server con una cadena de prueba especial que Microsoft Defender reconoce con fines de prueba. Esta cadena de prueba no es peligrosa, pero Microsoft Defender la trata como si fuera malintencionada para que pueda confirmar cómo se comporta cuando encuentra solicitudes malintencionadas.
Si la integración de AMSI está habilitada en SharePoint Server y usa Microsoft Defender como motor de detección de malware, la presencia de esta cadena de prueba hace que AMSI bloquee la solicitud en lugar de que SharePoint la procese.
La cadena de prueba es similar al archivo de prueba EICAR , pero difiere ligeramente para evitar la confusión de codificación de direcciones URL.
Puede probar la integración de AMSI agregando la cadena de prueba como una cadena de consulta o un encabezado HTTP en la solicitud a SharePoint Server.
Uso de una cadena de consulta para probar la integración de AMSI
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Por ejemplo: envíe una solicitud a https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Uso de un encabezado HTTP para probar la integración de AMSI
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Por ejemplo: envíe una solicitud similar a la siguiente.
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defender detecta esto como la siguiente vulnerabilidad de seguridad:
Exploit:Script/SharePointEicar.A
Nota:
Si usa un motor de detección de malware distinto de Microsoft Defender, debe consultar con el proveedor del motor de detección de malware para determinar la mejor manera de probar su integración con la característica AMSI en SharePoint Server.
Otras referencias
Efectos de rendimiento del uso de Microsoft Defender como solución de AMSI principal
De forma predeterminada, Antivirus de Microsoft Defender (MDAV), una solución compatible con AMSI, se habilita e instala automáticamente en puntos de conexión y dispositivos que ejecutan Windows 10, Windows Server 2016 y versiones posteriores. Si no ha instalado una aplicación antivirus o antimalware, la integración de AMSI de SharePoint Server funcionará con MDAV. Si instala y habilita otra aplicación antivirus o antimalware, MDAV se desactivará automáticamente. Si desinstala la otra aplicación, MDAV volverá a activarse automáticamente y la integración de SharePoint Server funcionará con MDAV.
Las ventajas de usar MDAV en SharePoint Server incluyen:
- MDAV captura firmas que coinciden con contenido malintencionado. Si Microsoft aprende sobre una vulnerabilidad de seguridad que se puede bloquear, se puede implementar una nueva firma MDAV para impedir que la vulnerabilidad de seguridad afecte a SharePoint.
- Usar la tecnología existente para agregar firmas para el contenido malintencionado.
- Usar la experiencia del equipo de investigación de malware de Microsoft para agregar firmas.
- Usar los procedimientos recomendados que MDAV ya aplica para agregar otras firmas.
Puede haber un impacto en el rendimiento en la aplicación web porque el examen de AMSI usa recursos de CPU. No hay ningún impacto en el rendimiento distinto observado en el examen de AMSI cuando se prueba con MDAV y no se deben realizar cambios en las exclusiones de antivirus de SharePoint Server documentadas existentes. Cada proveedor de antivirus desarrolla sus propias definiciones que usan la tecnología AMSI. Por lo tanto, el nivel de protección sigue dependiendo de la rapidez con la que se pueda actualizar la solución específica para detectar las amenazas más recientes.
Versión de Microsoft Defender a través de la línea de comandos
Nota:
Si usa Microsoft Defender, puede usar la línea de comandos y asegurarse de actualizar las firmas con la versión más reciente.
- Inicie
Command Prompt
como administrador. - Vaya a
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>
. - Ejecute
mpcmdrun.exe -SignatureUpdate
.
Estos pasos determinan la versión actual del motor, comprueban las definiciones actualizadas y notifican.
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>