Compartir a través de

Configuración de la integración de AMSI con SharePoint Server

  • Artículo

SE APLICA A:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

Introducción

El panorama de la ciberseguridad ha cambiado fundamentalmente, como lo demuestra los ataques complejos a gran escala y las señales de que el ransomware operado por el ser humano está en aumento. Más que nunca, es fundamental mantener la infraestructura local segura y actualizada, incluidos los servidores de SharePoint.

Para ayudar a los clientes a proteger sus entornos y responder a las amenazas asociadas de los ataques, estamos introduciendo la integración entre SharePoint Server y la interfaz de examen antimalware (AMSI) de Windows. AMSI es un estándar versátil que permite a las aplicaciones y servicios integrarse con cualquier producto antimalware compatible con AMSI presente en un equipo.

La funcionalidad de integración de AMSI está diseñada para evitar que las solicitudes web malintencionadas lleguen a los puntos de conexión de SharePoint. Por ejemplo, para aprovechar una vulnerabilidad de seguridad en un punto de conexión de SharePoint antes de que se haya instalado la corrección oficial de la vulnerabilidad de seguridad.

Integración de AMSI con SharePoint Server

Cuando una solución antivirus o antimalware compatible con AMSI se integra con SharePoint Server, puede examinar HTTP y HTTPS realizar solicitudes al servidor e impedir que SharePoint Server procese solicitudes peligrosas. Cualquier antivirus o programa antimalware compatible con AMSI que esté instalado en el servidor realiza el examen en cuanto el servidor comienza a procesar la solicitud.

El propósito de la integración de AMSI no es reemplazar las defensas antivirus o antimalware existentes ya instaladas en el servidor; es para proporcionar una capa adicional de protección frente a solicitudes web malintencionadas realizadas a puntos de conexión de SharePoint. Los clientes deben implementar soluciones antivirus compatibles con SharePoint en sus servidores para evitar que sus usuarios carguen o descarguen archivos con virus.

Requisitos previos

Antes de habilitar la integración de AMSI, compruebe los siguientes requisitos previos en cada servidor de SharePoint:

  • Windows Server 2016 o superior
  • SharePoint Server Edición de Suscripción versión 22H2 o posterior
  • SharePoint Server 2019 compilación 16.0.10396.20000 o posterior (KB 5002358: actualización de seguridad del 14 de marzo de 2023 para SharePoint Server 2019)
  • SharePoint Server 2016 compilación 16.0.5391.1000 o posterior (KB 5002385: actualización de seguridad del 11 de abril de 2023 para SharePoint Server 2016)
  • Microsoft Defender con la versión del motor av en la versión 1.1.18300.4 o posterior (como alternativa, un proveedor compatible de antivirus o antimalware de terceros compatible con AMSI)

Activar o desactivar AMSI para SharePoint Server

A partir de las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la actualización de características de la versión 23H2 para SharePoint Server Edición de Suscripción, la integración de AMSI con SharePoint Server se habilita de forma predeterminada para todas las aplicaciones web de SharePoint Server. Esta modificación tiene como objetivo mejorar la seguridad general de los entornos de cliente y mitigar posibles infracciones de seguridad. Sin embargo, en función de sus requisitos, los clientes conservan la opción de desactivar la funcionalidad de integración de AMSI.

Para iniciar las actualizaciones de seguridad de septiembre de 2023, los clientes solo necesitan instalar la actualización y ejecutar el Asistente para configuración de productos de SharePoint.

Nota:

Si los clientes omiten la instalación de la actualización pública de septiembre de 2023, este cambio se activará al instalar la actualización pública posterior que incluye las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 o la actualización de características de la versión 23H2 para SharePoint Server Edición de Suscripción.

Si los clientes prefieren no tener habilitada la integración de AMSI automáticamente en sus granjas de servidores de SharePoint Server, pueden seguir estos pasos:

  1. Instale las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 o la actualización de características de la versión 23H2 para SharePoint Server Edición de Suscripción.
  2. Ejecute el Asistente para configuración de productos de SharePoint.
  3. Siga los pasos estándar para deshabilitar la característica de integración de AMSI en las aplicaciones web.

Si sigue estos pasos, SharePoint no intentará volver a habilitar la característica al instalar futuras actualizaciones públicas.

Para desactivar o activar manualmente la integración de AMSI por aplicación web, siga estos pasos:

  1. Abra Administración central de SharePoint y seleccione Administración de aplicaciones.
  2. En Aplicaciones web, seleccione Administrar aplicaciones web.
  3. Seleccione la aplicación web para la que desea habilitar la integración de AMSI y seleccione Administrar características en la barra de herramientas.
  4. En la pantalla Examen antimalware de SharePoint Server , seleccione Desactivar para desactivar la integración de AMSI o seleccione Activar para activar la integración de AMSI.

Como alternativa, puede desactivar la integración de AMSI para una aplicación web ejecutando el siguiente comando de PowerShell:

Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

O bien, active la integración de AMSI para una aplicación web mediante la ejecución del siguiente comando de PowerShell:

Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

Prueba y comprobación de la integración de AMSI con SharePoint Server

Puede probar la característica Antimalware Scan Interface (AMSI) para comprobar que funciona correctamente. Esto implica el envío de una solicitud a SharePoint Server con una cadena de prueba especial que Microsoft Defender reconoce es con fines de prueba. Esta cadena de prueba no es peligrosa, pero Microsoft Defender la trata como si fuera malintencionada para que pueda confirmar cómo se comporta cuando encuentra solicitudes malintencionadas.

Si la integración de AMSI está habilitada en SharePoint Server y usa Microsoft Defender como motor de detección de malware, la presencia de esta cadena de prueba hace que AMSI bloquee la solicitud en lugar de que SharePoint la procese.

La cadena de prueba es similar al archivo de prueba EICAR , pero difiere ligeramente para evitar la confusión de codificación de direcciones URL.

Puede probar la integración de AMSI agregando la cadena de prueba como una cadena de consulta o un encabezado HTTP en la solicitud a SharePoint Server.

Uso de una cadena de consulta para probar la integración de AMSI

amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Por ejemplo: envíe una solicitud a https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Uso de un encabezado HTTP para probar la integración de AMSI

amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Por ejemplo: envíe una solicitud similar a la siguiente.

GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Microsoft Defender detecta esto como la siguiente vulnerabilidad de seguridad:

Exploit:Script/SharePointEicar.A

Nota:

Si usa un motor de detección de malware distinto de Microsoft Defender, debe consultar con el proveedor del motor de detección de malware para determinar la mejor manera de probar su integración con la característica AMSI en SharePoint Server.

Otras referencias

Efectos de rendimiento del uso de Microsoft Defender como solución de AMSI principal

De forma predeterminada, Microsoft Defender Antivirus (MDAV), una solución compatible con AMSI, se habilita e instala automáticamente en puntos de conexión y dispositivos que ejecutan Windows 10, Windows Server 2016 y versiones posteriores. Si no ha instalado una aplicación antivirus o antimalware, la integración de AMSI de SharePoint Server funcionará con MDAV. Si instala y habilita otra aplicación antivirus o antimalware, MDAV se desactivará automáticamente. Si desinstala la otra aplicación, MDAV volverá a activarse automáticamente y la integración de SharePoint Server funcionará con MDAV.

Las ventajas de usar MDAV en SharePoint Server incluyen:

  • MDAV captura firmas que coinciden con contenido malintencionado. Si Microsoft aprende sobre una vulnerabilidad de seguridad que se puede bloquear, se puede implementar una nueva firma MDAV para impedir que la vulnerabilidad de seguridad afecte a SharePoint.
  • Usar la tecnología existente para agregar firmas para el contenido malintencionado.
  • Usar la experiencia del equipo de investigación de malware de Microsoft para agregar firmas.
  • Usar los procedimientos recomendados que MDAV ya aplica para agregar otras firmas.

Puede haber un impacto en el rendimiento en la aplicación web porque el examen de AMSI usa recursos de CPU. No hay ningún impacto en el rendimiento distinto observado en el examen de AMSI cuando se prueba con MDAV y no se deben realizar cambios en las exclusiones de antivirus de SharePoint Server documentadas existentes. Cada proveedor de antivirus desarrolla sus propias definiciones que usan la tecnología AMSI. Por lo tanto, el nivel de protección sigue dependiendo de la rapidez con la que se pueda actualizar la solución específica para detectar las amenazas más recientes.

Microsoft Defender versión a través de la línea de comandos

Nota:

Si usa Microsoft Defender, puede usar la línea de comandos y asegurarse de actualizar las firmas con la versión más reciente.

  1. Inicie Command Prompt como administrador.
  2. Vaya a %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>.
  3. Ejecute mpcmdrun.exe -SignatureUpdate.

Estos pasos determinan la versión actual del motor, comprueban las definiciones actualizadas y notifican.

Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4 
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>