Share via

Microsoft Defender para punto de conexión en Windows Server con SAP

  • Artículo

Se aplica a:

Si su organización usa SAP, es esencial comprender la compatibilidad y compatibilidad entre antivirus y EDR en Microsoft Defender para punto de conexión y las aplicaciones de SAP. Este artículo le ayuda a comprender la compatibilidad proporcionada por SAP para las soluciones de seguridad de endpoint protection, como Defender para punto de conexión, y cómo interactúan con las aplicaciones de SAP.

En este artículo se describe cómo usar Microsoft Defender para punto de conexión en Windows Server junto con aplicaciones de SAP, como NetWeaver y S4 Hana, y motores independientes de SAP, como LiveCache. En este artículo, nos centramos en las funcionalidades antivirus y EDR en Defender para punto de conexión. Para obtener información general sobre todas las funcionalidades de Defender para punto de conexión, consulte Microsoft Defender para punto de conexión.

En este artículo no se trata el software cliente de SAP, como SAPGUI o Microsoft Defender Antivirus en dispositivos cliente Windows.

Seguridad empresarial y el equipo de SAP Basis

La seguridad empresarial es un rol especializado y las actividades descritas en este artículo deben planearse como una actividad conjunta entre el equipo de seguridad empresarial y el equipo de SAP Basis. El equipo de seguridad empresarial debe coordinarse con el equipo de SAP Basis y diseñar conjuntamente la configuración de Defender para punto de conexión y analizar las exclusiones.

Obtener información general de Defender para punto de conexión

Defender para punto de conexión es un componente de Microsoft Defender XDR y se puede integrar con la solución SIEM/SOAR.

Antes de empezar a planear o implementar Defender para punto de conexión en Windows Server con SAP, dedique un momento a obtener información general de Defender para punto de conexión. En el vídeo siguiente se proporciona información general:

Para obtener información más detallada sobre las ofertas de seguridad de Defender para punto de conexión y Microsoft, consulte los siguientes recursos:

Defender para punto de conexión incluye funcionalidades que están fuera del ámbito de este artículo. En este artículo, nos centramos en dos áreas principales:

  • Protección de última generación (que incluye protección antivirus). La protección de última generación es un producto antivirus como otras soluciones antivirus para entornos Windows.
  • Detección y respuesta de puntos de conexión (EDR). Las funcionalidades de EDR detectan actividades sospechosas y llamadas al sistema, y proporcionan una capa adicional de protección contra amenazas que omiten la protección antivirus.

Microsoft y otros proveedores de software de seguridad realizan un seguimiento de las amenazas y proporcionan información sobre tendencias. Para obtener información, consulte Cyberthreats, virus y malware: Inteligencia de seguridad de Microsoft.

Nota:

Para obtener información sobre Microsoft Defender para SAP en Linux, consulte Guía de implementación para Microsoft Defender para punto de conexión en Linux para SAP. Defender para punto de conexión en Linux es significativamente diferente de la versión de Windows.

Instrucción de soporte técnico de SAP en Defender para punto de conexión y otras soluciones de seguridad

SAP proporciona documentación básica para las soluciones antivirus de análisis de archivos convencionales. Las soluciones antivirus de examen de archivos convencionales comparan las firmas de archivo con una base de datos de amenazas conocidas. Cuando se identifica un archivo infectado, el software antivirus suele alertar y poner en cuarentena el archivo. Los mecanismos y el comportamiento de las soluciones antivirus de análisis de archivos son razonablemente conocidos y son predecibles; Por lo tanto, la compatibilidad con SAP puede proporcionar un nivel básico de compatibilidad con las aplicaciones de SAP que interactúan con el software antivirus de examen de archivos.

Las amenazas basadas en archivos son ahora solo un vector posible para software malintencionado. Malware sin archivos y malware que vive fuera de la tierra, amenazas altamente polimórficas que mutan más rápido que las soluciones tradicionales pueden mantenerse al día, y ataques operados por humanos que se adaptan a lo que los adversarios encuentran en dispositivos en peligro. Las soluciones de seguridad antivirus tradicionales no son suficientes para detener estos ataques. Se requieren funcionalidades respaldadas por inteligencia artificial (IA) y aprendizaje de dispositivos (ML), como el bloqueo y la contención del comportamiento. El software de seguridad, como Defender para punto de conexión, tiene características avanzadas de protección contra amenazas para mitigar las amenazas modernas.

Defender para punto de conexión supervisa continuamente las llamadas del sistema operativo, como lectura de archivos, escritura de archivos, creación de socket y otras operaciones de nivel de proceso. El sensor EDR de Defender para punto de conexión adquiere bloqueos oportunistas en sistemas de archivos NTFS locales y, por lo tanto, es poco probable que afecte a las aplicaciones. Los bloqueos oportunistas no son posibles en sistemas de archivos de red remotos. En raras ocasiones, un bloqueo podría provocar errores generales no específicos, como acceso denegado en aplicaciones sap.

SAP no puede proporcionar ningún nivel de compatibilidad con software EDR/XDR, como Microsoft Defender XDR o Defender para punto de conexión. Los mecanismos de estas soluciones son adaptables; por lo tanto, no son predecibles. Además, es posible que los problemas no sean reproducibles. Cuando se identifican problemas en sistemas que ejecutan soluciones de seguridad avanzadas, SAP recomienda deshabilitar el software de seguridad y, a continuación, intentar reproducir el problema. A continuación, se puede generar un caso de soporte técnico con el proveedor de software de seguridad.

Para obtener más información sobre la directiva de soporte técnico de SAP, consulte 3356389: Antivirus u otro software de seguridad que afecte a las operaciones de SAP.

Esta es una lista de artículos de SAP que puede usar según sea necesario:

Aplicaciones sap en Windows Server: 10 recomendaciones principales

  1. Limite el acceso a los servidores SAP, bloquee los puertos de red y tome todas las demás medidas comunes de protección de seguridad. Este primer paso es esencial. El panorama de amenazas ha evolucionado de virus basados en archivos a amenazas complejas y sofisticadas sin archivos. Las acciones, como bloquear puertos y limitar el inicio de sesión o el acceso a las máquinas virtuales , ya no se consideran suficientes para mitigar completamente las amenazas modernas.

  2. Implemente Defender para punto de conexión en sistemas no productivos primero antes de realizar la implementación en sistemas de producción. La implementación de Defender para punto de conexión directamente en sistemas de producción sin pruebas es muy arriesgada y puede provocar tiempos de inactividad. Si no puede retrasar la implementación de Defender para punto de conexión en los sistemas de producción, considere la posibilidad de deshabilitar temporalmente la protección contra alteraciones y la protección en tiempo real.

  3. Recuerde que la protección en tiempo real está habilitada de forma predeterminada en Windows Server. Si se identifican problemas que podrían estar relacionados con Defender para punto de conexión, se recomienda configurar exclusiones o abrir un caso de soporte técnico a través del portal de Microsoft Defender.

  4. Haga que el equipo de SAP Basis y su equipo de seguridad trabajen juntos en la implementación de Defender para punto de conexión. Los dos equipos deben crear conjuntamente un plan de implementación, pruebas y supervisión por fases.

  5. Use herramientas como PerfMon (Windows) para crear una línea base de rendimiento antes de implementar y activar Defender para punto de conexión. Compare el uso del rendimiento antes y después de activar Defender para punto de conexión. Vea perfmon.

  6. Implemente la versión más reciente de Defender para punto de conexión y use las versiones más recientes de Windows, idealmente Windows Server 2019 o posterior. Consulte Requisitos mínimos para Microsoft Defender para punto de conexión.

  7. Configure determinadas exclusiones para Microsoft Defender Antivirus. Entre las que se incluyen:

    • Archivos de datos dbms, archivos de registro y archivos temporales, incluidos los discos que contienen archivos de copia de seguridad
    • Todo el contenido del directorio SAPMNT
    • Todo el contenido del directorio SAPLOC
    • Todo el contenido del directorio TRANS
    • Todo el contenido de los directorios para motores independientes como TREX

    Los usuarios avanzados pueden considerar el uso de exclusiones contextuales de archivos y carpetas.

    Para obtener más información sobre las exclusiones de DBMS, use los siguientes recursos:

  8. Compruebe la configuración de Defender para punto de conexión. Microsoft Defender Antivirus con aplicaciones SAP debe tener la siguiente configuración en la mayoría de los casos:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. Use herramientas, como Intune o la administración de la configuración de seguridad de Defender para punto de conexión para configurar Defender para punto de conexión. Estas herramientas pueden ayudar a garantizar que Defender para punto de conexión esté configurado correctamente y se implemente uniformemente.

    Para usar la administración de la configuración de seguridad de Defender para punto de conexión, en el portal de Microsoft Defender, vaya a Directivas> deseguridad de punto de conexión deadministración> de configuración de puntos de conexión y, a continuación, seleccione Create nueva directiva. Para obtener más información, consulte Administración de directivas de seguridad de puntos de conexión en Microsoft Defender para punto de conexión.

  10. Use la versión más reciente de Defender para punto de conexión. Se están implementando varias características nuevas en Defender para punto de conexión en Windows y estas características se probaron con sistemas SAP. Estas nuevas características reducen el bloqueo y reducen el consumo de CPU. Para obtener más información sobre las nuevas características, consulte Novedades de Microsoft Defender para punto de conexión.

Metodología de implementación

SAP y Microsoft no recomiendan implementar Defender para punto de conexión en Windows directamente en todos los sistemas de desarrollo, QAS y producción simultáneamente y/o sin realizar pruebas y supervisión cuidadosas. Los clientes que implementaron Defender para punto de conexión y otro software similar de forma incontrolada sin pruebas adecuadas experimentaron un tiempo de inactividad del sistema como resultado.

Defender para punto de conexión en Windows y cualquier otro cambio de software o configuración debe implementarse primero en los sistemas de desarrollo, validarse en QAS y solo después implementarse en entornos de producción.

Es probable que el uso de herramientas, como la administración de la configuración de seguridad de Defender para punto de conexión , para implementar Defender para punto de conexión en todo un entorno de SAP sin pruebas cause tiempo de inactividad.

Esta es una lista de lo que se debe comprobar:

  1. Implemente Defender para punto de conexión con la protección contra alteraciones habilitada. Si surgen problemas, habilite el modo de solución de problemas, deshabilite la protección contra alteraciones, deshabilite la protección en tiempo real y configure los exámenes programados.

  2. Excluya archivos DBMS y ejecutables siguiendo las recomendaciones del proveedor de DBMS.

  3. Analice los directorios SAPMNT, SAP TRANS_DIR, Spool y Job Log. Si hay más de 100 000 archivos, considere la posibilidad de archivar para reducir el número de archivos.

  4. Confirme los límites de rendimiento y las cuotas del sistema de archivos compartidos que se usa para SAPMNT. El origen del recurso compartido SMB podría ser un dispositivo NetApp, un disco compartido de Windows Server o Azure Files SMB.

  5. Configure exclusiones para que todos los servidores de aplicaciones de SAP no digitalizarán el recurso compartido de SAPMNT simultáneamente, ya que podría sobrecargar el servidor de almacenamiento compartido.

  6. En general, los archivos de interfaz de host en un servidor de archivos que no es de SAP dedicado. Los archivos de interfaz se reconocen como vector de ataque. La protección en tiempo real debe activarse en este servidor de archivos dedicado. Los servidores SAP nunca deben usarse como servidores de archivos para los archivos de interfaz.

    Nota:

    Algunos sistemas SAP grandes tienen más de 20 servidores de aplicaciones SAP cada uno con una conexión al mismo recurso compartido DE SAPMNT SMB. 20 servidores de aplicaciones que examinan simultáneamente el mismo servidor SMB pueden sobrecargar el servidor SMB. Se recomienda excluir SAPMNT de los exámenes normales.

Valores de configuración importantes para Defender para punto de conexión en Windows Server con SAP

  1. Obtenga información general de Microsoft Defender para punto de conexión. En concreto, revise la información sobre la protección de próxima generación y EDR.

    Nota:

    El término Defender a veces se usa para hacer referencia a un conjunto completo de productos y soluciones. Vea ¿Qué es Microsoft Defender XDR?. En este artículo, nos centramos en las funcionalidades antivirus y EDR en Defender para punto de conexión.

  2. Compruebe el estado de Microsoft Defender Antivirus. Abra el símbolo del sistema y ejecute los siguientes comandos de PowerShell:

    Get-MpComputerStatus, como se indica a continuación:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Salida esperada para Get-MpComputerStatus:

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference, como se indica a continuación:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Salida esperada para Get-MpPreference:

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Compruebe el estado de EDR. Abra el símbolo del sistema y ejecute el siguiente comando:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    Debería ver una salida similar al siguiente fragmento de código:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    Los valores que desea ver son Status: Running y StartType: Automatic.

    Para obtener más información sobre la salida, vea Revisar eventos y errores mediante Visor de eventos.

  4. Asegúrese de que Microsoft Defender Antivirus está actualizado. La mejor manera de asegurarse de que la protección antivirus está actualizada es mediante el uso de Windows Update. Si encuentra problemas o recibe un error, póngase en contacto con el equipo de seguridad.

    Para obtener más información sobre las actualizaciones, consulte Microsoft Defender Antivirus security intelligence and product updates(Actualizaciones de productos e inteligencia de seguridad del antivirus).

  5. Asegúrese de que la supervisión del comportamiento está activada. Cuando se habilita la protección contra alteraciones, la supervisión del comportamiento está activada de forma predeterminada. Use la configuración predeterminada de protección contra alteraciones habilitada, supervisión del comportamiento habilitada y supervisión en tiempo real habilitada a menos que se identifique un problema específico.

    Para obtener más información, consulte Protección integrada ayuda a protegerse contra ransomware.

  6. Asegúrese de que la protección en tiempo real está habilitada. La recomendación actual de Defender para punto de conexión en Windows es habilitar el examen en tiempo real, con la protección contra alteraciones habilitada, la supervisión del comportamiento habilitada y la supervisión en tiempo real habilitada, a menos que se identifique un problema específico.

    Para obtener más información, consulte Protección integrada ayuda a protegerse contra ransomware.

  7. Tenga en cuenta cómo funcionan los exámenes con recursos compartidos de red. De forma predeterminada, el componente antivirus de Microsoft Defender en Windows examina los sistemas de archivos de red compartidos SMB (por ejemplo, un recurso compartido \\server\smb-share de servidor windows o un recurso compartido de NetApp) cuando los procesos acceden a estos archivos.

    Defender para Endpoint EDR en Windows podría examinar sistemas de archivos de red compartidos SMB. El sensor EDR examina determinados archivos que se identifican como interesantes para el análisis de EDR durante las operaciones de modificación, eliminación y movimiento de archivos.

    Defender para punto de conexión en Linux no examina los sistemas de archivos NFS durante los exámenes programados.

  8. Solución de problemas de mantenimiento o confiabilidad de los sentidos. Para solucionar estos problemas, use la herramienta Analizador de cliente de Defender para punto de conexión. El Analizador de cliente de Defender para punto de conexión puede ser útil al diagnosticar problemas de estado o confiabilidad del sensor en dispositivos incorporados que ejecutan Windows, Linux o macOS. Obtenga la versión más reciente del Analizador de cliente de Defender para punto de conexión aquí: https://aka.ms/MDEAnalyzer.

  9. Abra un caso de soporte técnico si necesita ayuda. Consulte Póngase en contacto con el soporte técnico de Microsoft Defender para punto de conexión.

  10. Si usa máquinas virtuales sap de producción con Microsoft Defender for Cloud, tenga en cuenta que Defender for Cloud implementa la extensión de Defender para punto de conexión en todas las máquinas virtuales. Si una máquina virtual no está incorporada a Defender para punto de conexión, se podría usar como vector de ataque. Si necesita más tiempo para probar Defender para punto de conexión antes de pasar a su entorno de producción, póngase en contacto con el soporte técnico.

Comandos útiles: Microsoft Defender para punto de conexión con SAP en Windows Server

En las secciones siguientes se describe cómo confirmar o configurar la configuración de Defender para punto de conexión mediante PowerShell y el símbolo del sistema:

Actualización manual de definiciones de antivirus de Microsoft Defender

Use Windows Update o ejecute el siguiente comando:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Debería ver una salida similar al siguiente fragmento de código:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Otra opción es usar este comando:

PS C:\Program Files\Windows Defender> Update-MpSignature

Para obtener más información sobre estos comandos, vea los siguientes recursos:

Determinar si EDR en modo de bloque está activado

EDR en modo de bloque proporciona protección adicional contra artefactos malintencionados cuando Microsoft Defender Antivirus no es el producto antivirus principal y se ejecuta en modo pasivo. Puede determinar si EDR en modo de bloque está habilitado ejecutando el siguiente comando:

Get-MPComputerStatus|select AMRunningMode

Hay dos modos: Modo normal y pasivo. Las pruebas con sistemas SAP solo se realizaron con AMRunningMode = Normal para sistemas SAP.

Para obtener más información sobre este comando, vea Get-MpComputerStatus.

Configuración de exclusiones de antivirus

Antes de configurar las exclusiones, asegúrese de que el equipo de SAP Basis se coordina con el equipo de seguridad. Las exclusiones deben configurarse de forma centralizada y no en el nivel de máquina virtual. Las exclusiones, como el sistema de archivos SAPMNT compartido, deben excluirse a través de una directiva mediante el portal de administración de Intune.

Para ver las exclusiones, use el siguiente comando:

Get-MpPreference | Select-Object -Property ExclusionPath

Para obtener más información sobre este comando, vea Get-MpComputerStatus.

Para obtener más información sobre las exclusiones, consulte los siguientes recursos:

Configuración de exclusiones de EDR

No se recomienda excluir archivos, rutas de acceso o procesos de EDR, ya que estas exclusiones comprenden la protección contra amenazas modernas no basadas en archivos. Si es necesario, abra un caso de soporte técnico con Soporte técnico de Microsoft a través del portal de Microsoft Defender que especifique los archivos ejecutables o las rutas de acceso que se van a excluir. Consulte Póngase en contacto con el soporte técnico de Microsoft Defender para punto de conexión.

Deshabilitación completa de Defender para punto de conexión en Windows con fines de prueba

Precaución

No se recomienda deshabilitar el software de seguridad a menos que no haya ninguna alternativa para resolver o aislar un problema.

Defender para punto de conexión debe configurarse con la protección contra alteraciones activada. Para deshabilitar temporalmente Defender para punto de conexión para aislar problemas, use el modo de solución de problemas.

Para apagar varios subcomponentes de la solución antivirus de Microsoft Defender, ejecute los siguientes comandos:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Para obtener más información sobre estos comandos, vea Set-MpPreference.

Importante

No se pueden desactivar los subcomponentes de EDR en un dispositivo. La única manera de desactivar EDR es desconectar el dispositivo.

Para desactivar la protección entregada en la nube (Microsoft Advanced Protection Service o MAPS), ejecute los siguientes comandos:

PowerShell Set-MpPreference -MAPSReporting 0​
PowerShell Set-MpPreference -MAPSReporting Disabled​

Para obtener más información sobre la protección entregada en la nube, consulte los siguientes recursos: