Extension Microsoft Antimalware pour Windows

Vue d’ensemble

Les menaces qui pèsent sur les environnements cloud étant extrêmement dynamiques, la pression est de plus en plus forte sur les services informatiques des entreprises gérant les abonnements au cloud pour qu’ils maintiennent une protection efficace afin de répondre aux impératifs de conformité et de sécurité. Microsoft Antimalware pour Azure est une fonctionnalité de protection en temps réel gratuite. Microsoft Antimalware permet d’identifier et de supprimer les virus, les logiciels espions et autres logiciels malveillants, en émettant des alertes configurables qui vous avertissent quand un logiciel malveillant ou indésirable connu tente de s’installer ou de s’exécuter sur vos systèmes Azure. La solution s’appuie sur la même plateforme anti-programme malveillant que Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune et Windows Defender pour Windows 8.0 et ultérieur. Microsoft Antimalware pour Azure est une solution d’agent unique pour les applications et les environnements client, conçue pour s’exécuter en arrière-plan sans intervention humaine. Vous pouvez déployer la protection en fonction des besoins de vos charges de travail d’application, avec une configuration de base sécurisée par défaut ou une configuration personnalisée avancée, y compris pour la surveillance anti-programmes malveillants.

Conditions préalables requises

Système d’exploitation

La solution Microsoft Antimalware pour Azure inclut le client et le service Microsoft Antimalware, le modèle de déploiement classique Antimalware, les applets de commande Antimalware PowerShell et l’extension de diagnostics Azure. La solution Microsoft Antimalware est prise en charge sur Windows Server 2008 R2, Windows Server 2012 et les familles de systèmes d’exploitation Windows Server 2012 R2. Cette solution n’est pas prise en charge sur le système d’exploitation Windows Server 2008, ni sur Linux.

Windows Defender est le logiciel anti-programme malveillant intégré activé dans Windows Server 2016. L’interface de Windows Defender est également activée par défaut sur certaines références SKU de Windows Server 2016. Vous pouvez toujours ajouter l’extension Antimalware pour machines virtuelles Azure à une machine virtuelle Azure Windows Server 2016 ou version ultérieure avec Windows Defender. Dans ce scénario, l’extension applique les stratégies de configuration facultatives à utiliser par Windows Defender. L’extension ne déploie aucun autre service antiprogramme malveillant. Pour plus d’informations, consultez la section Exemples de l’article sur Microsoft Antimalware.

Connectivité Internet

La machine virtuelle cible doit être connectée à internet afin que Microsoft Antimalware pour Windows reçoive régulièrement des mises à jour pour le moteur et les signatures.

Déploiement de modèle

Les extensions de machines virtuelles Azure peuvent être déployées avec des modèles Azure Resource Manager. Les modèles sont idéaux lorsque vous déployez une ou plusieurs machines virtuelles nécessitant une configuration post-déploiement, comme l’intégration au logiciel anti-programme malveillant d’Azure.

La configuration JSON pour une extension de machine virtuelle peut être imbriquée à l’intérieur de la ressource de machine virtuelle ou placée à la racine ou au niveau supérieur d’un modèle de Resource Manager JSON. Le positionnement de la configuration JSON affecte la valeur du nom de la ressource et son type. Pour plus d’informations, consultez Définition du nom et du type des ressources enfants.

L’exemple suivant suppose que l’extension de machine virtuelle est imbriquée dans la ressource de machine virtuelle. Lors de l’imbrication de la ressource d’extension, le JSON est placé dans l’objet "resources": [] de la machine virtuelle.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Vous devez inclure au minimum le contenu suivant pour activer l’extension de Microsoft Antimalware :

{ "AntimalwareEnabled": true }

Exemple de configuration JSON de Microsoft Antimalware :

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

• paramètre obligatoire

• Valeurs : true/false

  • true = Activée
  • false = Error, car false n’est pas une valeur prise en charge

RealtimeProtectionEnabled

• Valeurs : true/false, true étant la valeur par défaut

  • true = Activée
  • false = Désactivée

ScheduledScanSettings

• isEnabled = true/false

• day = 0 à 8 (0 = quotidien, 1 = dimanche, 2 = lundi, …, 7 = samedi, 8 = désactivé)

• time = 0-1440 (measured in minutes after midnight - 60->1AM, 120 -> 2AM, ... )

• scanType = Quick/Full (rapide/complète), la valeur par défaut est Quick

• Si isEnabled = true est le seul paramètre fourni, les valeurs par défaut suivantes sont définies : day = 7 (samedi), time = 120 (2 h), scanType = "Quick".

Exclusions

• Plusieurs exclusions dans la même liste sont spécifiées en utilisant des délimiteurs point-virgule.
• Si aucune exclusion n’est spécifiée, les exclusions existantes, s’il y en a, sont remplacées par des blancs sur le système.

Déploiement PowerShell

Dépend du type de déploiement ; utilisez les commandes correspondantes pour déployer l’extension de logiciel anti-programme malveillant pour machine virtuelle Azure sur une machine virtuelle existante.

• Machine virtuelle basée sur Azure Resource Manager

• Clusters Azure Service Fabric

• Serveurs avec Azure Arc

Dépannage et support technique

Dépanner

Les journaux d’activité de l’extension Microsoft Antimalware sont disponibles à l’emplacement suivant : %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware (PaaSAntimalware)\1.5.5.x ou (version #) \CommandExecution.log

Codes d’erreur et signification

Code d'erreur	Signification	Action possible
-2147156224	MSI est occupé avec une autre installation	Essayez d’exécuter l’installation plus tard
-2147156221	Le programme d’installation de MSE est déjà en cours d’exécution	Exécutez une seule instance à la fois
-2147156208	Espace disque insuffisant < 200 Mo	Supprimez les fichiers inutilisés et réessayez l’installation
-2147156187	Un redémarrage a été demandé par la dernière installation, mise à niveau, mise à jour ou désinstallation	Redémarrez et réessayez d’installer
-2147156121	Le programme d’installation a tenté de supprimer le produit concurrent. La désinstallation du produit concurrent a cependant échoué	Essayez de supprimer le produit concurrent manuellement, redémarrez et réessayez l’installation
-2147156116	Échec de validation du fichier de stratégie	Assurez-vous que vous passez un fichier XML de stratégie valide au programme d’installation
-2147156095	Impossible de démarrer le service anti-programme malveillant	Vérifiez que tous les fichiers binaires sont correctement signés et que le fichier de licence approprié est installé
-2147023293	Une erreur irrécupérable s’est produite pendant l’installation. Elle survient dans la plupart des cas. EPP.msi, impossible d’inscrire\de démarrer\d’arrêter le service antiprogramme malveillant ou le pilote de minifiltre	Les journaux d’activité MSI à partir de EPP.msi sont nécessaires ici pour un examen ultérieur
-2147023277	Impossible d’ouvrir le package d’installation	Vérifiez que le package existe et qu’il est accessible, sinon contactez le fournisseur de l’application pour vérifier qu’il s’agit d’un package Windows Installer valide
-2147156109	Windows Defender est obligatoire en tant que prérequis
-2147205073	L’émetteur websso n’est pas pris en charge
-2147024893	Le système ne trouve pas le chemin spécifié
-2146885619	Il ne s’agit pas d’un message chiffré, ou le message chiffré n’est pas mis en forme correctement
-1073741819	L’instruction à 0x%p emploie l’adresse mémoire 0x%p. La mémoire ne peut pas être %s
1	Fonction incorrecte

Support

Si vous avez besoin d’aide supplémentaire à tout moment dans cet article, vous pouvez contacter les experts Azure sur les forums Azure et Stack Overflow. Vous pouvez également signaler un incident au support Azure. Accédez au site du support Azure, puis choisissez Sélectionnez un plan de support. Pour plus d’informations sur l’utilisation du support Azure, lisez le FAQ du support Microsoft Azure.