Extensión de Microsoft Antimalware para Windows

Información general

El panorama moderno de amenazas para los entornos de nube es dinámico, lo que aumenta la presión sobre los suscriptores de la nube de TI empresarial para mantener una protección eficaz a fin de satisfacer los requisitos de cumplimiento y seguridad. Microsoft Antimalware para Azure es una funcionalidad de protección en tiempo real gratuita. Microsoft Antimalware ayuda a identificar y eliminar virus, spyware y otro software malintencionado con alertas que se pueden configurar para cuando el software malintencionado o no deseado conocido se intente instalar o ejecutar en los sistemas de Azure. La solución se basa en la misma plataforma antimalware que Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune y Windows Defender para Windows 8.0 y versiones posteriores. Microsoft Antimalware para Azure es una solución de un único agente dirigida a entornos de aplicaciones e inquilinos, concebida para ejecutarse en segundo plano sin intervención humana. Puede implementar la protección en función de las necesidades de sus cargas de trabajo de aplicaciones, con configuración de protección básica o personalizada avanzada que incluye supervisión antimalware.

Prerequisites

Sistema operativo

La solución Microsoft Antimalware para Azure incluye el cliente y el servicio de Microsoft Antimalware, el modelo de implementación clásica de Antimalware, los cmdlets de PowerShell para Antimalware y la extensión Azure Diagnostics. Esta solución es compatible con las familias de sistemas operativos Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2. No se admite en el sistema operativo de Windows Server 2008 y tampoco es compatible en Linux.

Windows Defender es el antimalware integrado habilitado en Windows Server 2016. La interfaz de Windows Defender también está habilitada de forma predeterminada en algunas SKU de Windows Server 2016. La extensión de Antimalware para máquinas virtuales de Azure todavía se puede agregar a una máquina virtual de Azure de Windows Server 2016 (y versiones posteriores) con Windows Defender. En este escenario, la extensión aplica las directivas de configuración opcionales que usará Windows Defender. La extensión no implementa ningún otro servicio antimalware. Consulte la sección Ejemplos del artículo sobre Microsoft Antimalware para obtener más información.

Conectividad de Internet

Microsoft Antimalware para Windows requiere que la máquina virtual de destino esté conectada a Internet para recibir actualizaciones regulares de firma y motor.

Implementación de plantilla

Las extensiones de VM de Azure pueden implementarse con plantillas de Azure Resource Manager. Las plantillas resultan ideales al implementar una o varias máquinas virtuales que requieren configurarse tras la implementación, por ejemplo, para incorporarse a Antimalware de Azure.

La configuración JSON de una extensión de máquina virtual puede estar anidada en el recurso de máquina virtual o colocada en la raíz o nivel superior de una plantilla JSON de Resource Manager. La colocación de la configuración JSON afecta al valor del nombre y tipo del recurso. Para obtener más información, consulte el artículo sobre cómo establecer el nombre y el tipo de recursos secundarios.

En el siguiente ejemplo se da por supuesto que la extensión de VM está anidada dentro de los recursos de máquina virtual. Cuando se anidan los recursos de extensión, la plantilla JSON se coloca en el objeto "resources": [] de la máquina virtual.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Debe incluir, como mínimo, el siguiente contenido para habilitar la extensión Microsoft Antimalware:

{ "AntimalwareEnabled": true }

Ejemplo de configuración JSON de Microsoft Antimalware:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

• Parámetro obligatorio

• Valores: true / false

  • true = Habilitar
  • false = Error out, ya que false no es un valor admitido

RealtimeProtectionEnabled

• Valores: true/false; el valor predeterminado es true

  • true = Habilitar
  • false = Deshabilitar

ScheduledScanSettings

• isEnabled = true/false

• day = 0-8 (0-daily, 1-Sunday, 2-Monday, ...., 7-Saturday, 8-Disabled)

• time = 0-1440 (medido en minutos después de la medianoche - 60->1AM, 120 -> 2AM, ... )

• scanType = Quick/Full; el valor predeterminado es Quick

• Si isEnabled = true es la única configuración proporcionada, se establecen los siguientes valores predeterminados: day=7 (Saturday), time=120 (2 AM), scanType="Quick"

Exclusiones

• Se especifican varias exclusiones en la misma lista mediante delimitadores de punto y coma
• Si no se especifica ninguna exclusión, las exclusiones existentes, si las hay, se sobrescriben en blanco en el sistema.

Implementación de PowerShell

Según el tipo de implementación, use los comandos correspondientes para implementar la extensión de máquina virtual de Antimalware de Azure en una máquina virtual existente.

• Máquina virtual basada en Azure Resource Manager

• Clústeres de Azure Service Fabric

• Servidores habilitados para Azure Arc

Solución de problemas y asistencia

Solución de problemas

Los registros de extensión de Microsoft Antimalware están disponibles en %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(o PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Códigos de error y su significado

Código de error	Significado	Acción posible
-2147156224	MSI está ocupado con otra instalación	Intente ejecutar la instalación más tarde
-2147156221	El programa de instalación de MSE ya se está ejecutando	Ejecute una sola instancia de cada vez
-2147156208	Poco espacio en disco (< 200 MB)	Elimine los archivos no usados y vuelva a intentar la instalación
-2147156187	La última instalación, actualización o desinstalación requería un reinicio	Reinicie y vuelva a intentar la instalación
-2147156121	El programa de instalación intentó eliminar un producto de la competencia, pero no se pudo desinstalar	Intente eliminar el producto de la competencia manualmente, reinicie y vuelva a intentar la instalación
-2147156116	Error de validación del archivo de directiva	Asegúrese de que pasa un archivo de directiva XML válido al programa de instalación
-2147156095	El programa de instalación no pudo iniciar el servicio Antimalware	Compruebe que todos los archivos binarios están correctamente firmados y que está instalado el archivo de licencia adecuado
-2147023293	Error irrecuperable durante la instalación. En la mayoría de los casos, Epp.msi no puede registrar, iniciar o detener el servicio AM o controlador de minifiltro	Se necesitan registros MSI de Epp.msi para una investigación futura
-2147023277	No se pudo abrir el paquete de instalación	Compruebe que el paquete de instalación existe y si se puede tener acceso a él, o póngase en contacto con el proveedor de la aplicación para comprobar que se trata de un paquete válido para Windows Installer
-2147156109	Windows Defender es un requisito previo
-2147205073	No se admite el emisor de inicio de sesión único web
-2147024893	El sistema no encuentra la ruta de acceso especificada
-2146885619	No es un mensaje criptográfico o el mensaje criptográfico no tiene el formato correcto
-1073741819	La instrucción en 0x%p hace referencia a la memoria en 0x%p. La memoria no puede ser %s
1	Función incorrecta

Soporte técnico

Si necesita más ayuda con cualquier aspecto de este artículo, puede ponerse en contacto con los expertos de Azure en los foros de Azure o Stack Overflow. Como alternativa, puede registrar un incidente de soporte técnico de Azure. Vaya al sitio de soporte técnico de Azure y seleccione Soporte técnico. Para obtener información sobre el uso del soporte técnico, lea las Preguntas más frecuentes de soporte técnico de Microsoft Azure.