Partager via

Microsoft Defender pour point de terminaison sur Windows Server avec SAP

  • Article

S’applique à :

Si votre organisation utilise SAP, il est essentiel de comprendre la compatibilité et la prise en charge entre l’antivirus et l’EDR dans Microsoft Defender pour point de terminaison et vos applications SAP. Cet article vous aide à comprendre la prise en charge fournie par SAP pour les solutions de sécurité endpoint protection comme Defender pour point de terminaison et comment elles interagissent avec les applications SAP.

Cet article explique comment utiliser Microsoft Defender pour point de terminaison sur Windows Server avec des applications SAP, telles que NetWeaver et S4 Hana, et des moteurs autonomes SAP, tels que LiveCache. Dans cet article, nous nous concentrons sur les fonctionnalités antivirus et EDR dans Defender pour point de terminaison. Pour obtenir une vue d’ensemble de toutes les fonctionnalités de Defender pour point de terminaison, consultez Microsoft Defender pour point de terminaison.

Cet article ne couvre pas les logiciels clients SAP, tels que SAPGUI ou Antivirus Microsoft Defender sur les appareils clients Windows.

Sécurité d’entreprise et votre équipe SAP Basis

La sécurité d’entreprise est un rôle spécialisé et les activités décrites dans cet article doivent être planifiées comme une activité conjointe entre votre équipe de sécurité d’entreprise et l’équipe SAP Basis. L’équipe de sécurité d’entreprise doit se coordonner avec l’équipe SAP Basis et concevoir conjointement la configuration de Defender pour point de terminaison et analyser les exclusions éventuelles.

Obtenir une vue d’ensemble de Defender pour point de terminaison

Defender pour point de terminaison est un composant de Microsoft Defender XDR et peut être intégré à votre solution SIEM/SOAR.

Avant de commencer à planifier ou déployer Defender pour point de terminaison sur Windows Server avec SAP, prenez un moment pour obtenir une vue d’ensemble de Defender pour point de terminaison. La vidéo suivante fournit une vue d’ensemble :

Pour plus d’informations sur Defender pour point de terminaison et les offres de sécurité Microsoft, consultez les ressources suivantes :

Defender pour point de terminaison inclut des fonctionnalités qui dépassent le cadre de cet article. Dans cet article, nous nous concentrons sur deux domaines principaux :

  • Protection nouvelle génération (qui inclut la protection antivirus). La protection nouvelle génération est un produit antivirus comme d’autres solutions antivirus pour les environnements Windows.
  • Détection et réponse de point de terminaison (EDR). Les fonctionnalités EDR détectent les activités suspectes et les appels système, et fournissent une couche supplémentaire de protection contre les menaces qui contournent la protection antivirus.

Microsoft et d’autres fournisseurs de logiciels de sécurité suivent les menaces et fournissent des informations sur les tendances. Pour plus d’informations, consultez Cybermenaces, virus et programmes malveillants - Microsoft Security Intelligence.

Remarque

Pour plus d’informations sur Microsoft Defender pour SAP sur Linux, consultez Guide de déploiement pour Microsoft Defender pour point de terminaison sur Linux pour SAP. Defender pour point de terminaison sur Linux est sensiblement différent de la version windows.

Déclaration de support SAP sur Defender pour point de terminaison et d’autres solutions de sécurité

SAP fournit une documentation de base pour les solutions antivirus d’analyse de fichiers conventionnelles. Les solutions antivirus d’analyse de fichiers classiques comparent les signatures de fichiers à une base de données de menaces connues. Lorsqu’un fichier infecté est identifié, le logiciel antivirus alerte et met généralement le fichier en quarantaine. Les mécanismes et le comportement des solutions antivirus d’analyse de fichiers sont relativement bien connus et prévisibles. Par conséquent, le support SAP peut fournir un niveau de prise en charge de base pour les applications SAP qui interagissent avec le logiciel antivirus d’analyse de fichiers.

Les menaces basées sur les fichiers ne sont plus qu’un vecteur possible pour les logiciels malveillants. Programmes malveillants et logiciels malveillants sans fichier qui vivent hors de la terre, menaces hautement polymorphes qui mutent plus rapidement que les solutions traditionnelles peuvent suivre, et attaques gérées par l’homme qui s’adaptent à ce que les adversaires trouvent sur les appareils compromis. Les solutions de sécurité antivirus traditionnelles ne sont pas suffisantes pour arrêter de telles attaques. Des fonctionnalités d’intelligence artificielle (IA) et d’apprentissage d’appareil (ML), telles que le blocage comportemental et l’endiguement, sont requises. Les logiciels de sécurité tels que Defender pour point de terminaison disposent de fonctionnalités avancées de protection contre les menaces pour atténuer les menaces modernes.

Defender pour point de terminaison surveille en permanence les appels du système d’exploitation, tels que la lecture de fichiers, l’écriture de fichiers, la création de socket et d’autres opérations au niveau du processus. Le capteur EDR Defender pour point de terminaison acquiert des verrous opportunistes sur les systèmes de fichiers NTFS locaux et est donc peu susceptible d’avoir un impact sur les applications. Les verrous opportunistes ne sont pas possibles sur les systèmes de fichiers réseau distants. Dans de rares cas, un verrou peut entraîner des erreurs générales non spécifiques, telles que l’accès refusé dans les applications SAP.

SAP n’est pas en mesure de fournir un niveau de prise en charge pour les logiciels EDR/XDR tels que Microsoft Defender XDR ou Defender pour point de terminaison. Les mécanismes de ces solutions sont adaptatifs ; par conséquent, ils ne sont pas prévisibles. En outre, les problèmes ne sont potentiellement pas reproductibles. Lorsque des problèmes sont identifiés sur des systèmes exécutant des solutions de sécurité avancées, SAP recommande de désactiver le logiciel de sécurité, puis de tenter de reproduire le problème. Un cas de support peut ensuite être déclenché auprès du fournisseur de logiciels de sécurité.

Pour plus d’informations sur la stratégie de support SAP, consultez 3356389 - Antivirus ou autre logiciel de sécurité affectant les opérations SAP.

Voici une liste d’articles SAP que vous pouvez utiliser en fonction des besoins :

Applications SAP sur Windows Server : 10 premières recommandations

  1. Limitez l’accès aux serveurs SAP, bloquez les ports réseau et prenez toutes les autres mesures de protection de sécurité courantes. Cette première étape est essentielle. Le paysage des menaces est passé des virus basés sur des fichiers à des menaces moins complexes et sophistiquées. Les actions, telles que le blocage des ports et la limitation de l’ouverture de session/de l’accès aux machines virtuelles , ne sont plus considérées comme suffisantes pour atténuer entièrement les menaces modernes.

  2. Déployez d’abord Defender pour point de terminaison sur des systèmes non productifs avant de déployer sur des systèmes de production. Le déploiement de Defender pour point de terminaison directement sur des systèmes de production sans test est très risqué et peut entraîner un temps d’arrêt. Si vous ne pouvez pas retarder le déploiement de Defender pour point de terminaison sur vos systèmes de production, envisagez de désactiver temporairement la protection contre les falsifications et la protection en temps réel.

  3. N’oubliez pas que la protection en temps réel est activée par défaut dans Windows Server. Si des problèmes susceptibles d’être liés à Defender pour point de terminaison sont identifiés, il est recommandé de configurer des exclusions et/ou d’ouvrir un cas de support via le portail Microsoft Defender.

  4. Demander à l’équipe SAP Basis et à votre équipe de sécurité de collaborer sur le déploiement de Defender pour point de terminaison. Les deux équipes doivent créer conjointement un plan de déploiement, de test et de supervision par phases.

  5. Utilisez des outils tels que PerfMon (Windows) pour créer une base de référence des performances avant de déployer et d’activer Defender pour point de terminaison. Comparez l’utilisation des performances avant et après l’activation de Defender pour point de terminaison. Voir perfmon.

  6. Déployez la dernière version de Defender pour point de terminaison et utilisez les dernières versions de Windows, idéalement Windows Server 2019 ou une version ultérieure. Consultez Configuration minimale requise pour Microsoft Defender pour point de terminaison.

  7. Configurez certaines exclusions pour l’Antivirus Microsoft Defender. Cela comprend :

    • Fichiers de données SGBD, fichiers journaux et fichiers temporaires, y compris les disques contenant des fichiers de sauvegarde
    • Contenu entier du répertoire SAPMNT
    • Tout le contenu du répertoire SAPLOC
    • Tout le contenu du répertoire TRANS
    • Tout le contenu des répertoires pour les moteurs autonomes tels que TREX

    Les utilisateurs avancés peuvent envisager d’utiliser des exclusions contextuelles de fichiers et de dossiers.

    Pour plus d’informations sur les exclusions SGBD, utilisez les ressources suivantes :

  8. Vérifiez les paramètres de Defender pour point de terminaison. L’Antivirus Microsoft Defender avec les applications SAP doit avoir les paramètres suivants dans la plupart des cas :

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. Utilisez des outils tels que lagestion des paramètres de sécurité Intune ou Defender pour point de terminaison pour configurer Defender pour point de terminaison. Ces outils peuvent vous aider à garantir que Defender pour point de terminaison est correctement configuré et uniformément déployé.

    Pour utiliser la gestion des paramètres de sécurité de Defender pour point de terminaison, dans le portail Microsoft Defender, accédez àGestion de la configuration despoints de terminaison> Stratégies > de sécurité des points determinaison, puis sélectionnez Créer une stratégie. Pour plus d’informations, consultez Gérer les stratégies de sécurité de point de terminaison dans Microsoft Defender pour point de terminaison.

  10. Utilisez la dernière version de Defender pour point de terminaison. Plusieurs nouvelles fonctionnalités sont implémentées dans Defender pour point de terminaison sur Windows, et ces fonctionnalités ont été testées avec les systèmes SAP. Ces nouvelles fonctionnalités réduisent les blocages et la consommation du processeur. Pour plus d’informations sur les nouvelles fonctionnalités, consultez Nouveautés de Microsoft Defender pour point de terminaison.

Méthodologie de déploiement

SAP et Microsoft ne recommandent pas de déployer Defender pour point de terminaison sur Windows directement sur tous les systèmes de développement, d’assurance qualité et de production simultanément, et/ou sans test et surveillance minutieux. Les clients qui ont déployé Defender pour point de terminaison et d’autres logiciels similaires de manière non contrôlée sans tests adéquats ont subi un temps d’arrêt du système.

Defender pour point de terminaison sur Windows et toute autre modification logicielle ou de configuration doit d’abord être déployé dans les systèmes de développement, validé dans QAS, puis déployé uniquement dans des environnements de production.

L’utilisation d’outils, tels que la gestion des paramètres de sécurité de Defender pour point de terminaison pour déployer Defender pour point de terminaison dans un paysage SAP entier sans test, est susceptible d’entraîner un temps d’arrêt.

Voici une liste des éléments à vérifier :

  1. Déployez Defender pour point de terminaison avec la protection contre les falsifications activée. Si des problèmes surviennent, activez le mode résolution des problèmes, désactivez la protection contre les falsifications, désactivez la protection en temps réel et configurez les analyses planifiées.

  2. Excluez les fichiers SGBD et les exécutables en suivant les recommandations de votre fournisseur SGBD.

  3. Analysez les répertoires SAPMNT, SAP TRANS_DIR, Spool et Job Log. S’il y a plus de 100 000 fichiers, envisagez d’archiver pour réduire le nombre de fichiers.

  4. Vérifiez les limites de performances et les quotas du système de fichiers partagé utilisé pour SAPMNT. La source de partage SMB peut être une appliance NetApp, un disque partagé Windows Server ou Azure Files SMB.

  5. Configurez des exclusions afin que tous les serveurs d’applications SAP n’analysent pas le partage SAPMNT simultanément, car cela risque de surcharger votre serveur de stockage partagé.

  6. En général, les fichiers d’interface hôte sur un serveur de fichiers non SAP dédié. Les fichiers d’interface sont reconnus comme un vecteur d’attaque. La protection en temps réel doit être activée sur ce serveur de fichiers dédié. Les serveurs SAP ne doivent jamais être utilisés comme serveurs de fichiers pour les fichiers d’interface.

    Remarque

    Certains grands systèmes SAP ont plus de 20 serveurs d’applications SAP avec chacun une connexion au même partage SAPMNT SMB. 20 serveurs d’applications qui analysent simultanément le même serveur SMB peuvent surcharger le serveur SMB. Il est recommandé d’exclure SAPMNT des analyses régulières.

Paramètres de configuration importants pour Defender pour point de terminaison sur Windows Server avec SAP

  1. Obtenez une vue d’ensemble de Microsoft Defender pour point de terminaison. En particulier, passez en revue les informations relatives à la protection nouvelle génération et à l’EDR.

    Remarque

    Le terme Defender est parfois utilisé pour faire référence à une suite complète de produits et de solutions. Consultez Qu’est-ce que Microsoft Defender XDR ?. Dans cet article, nous nous concentrons sur les fonctionnalités antivirus et EDR dans Defender pour point de terminaison.

  2. Vérifiez l’état de l’Antivirus Microsoft Defender. Ouvrez l’invite de commandes et exécutez les commandes PowerShell suivantes :

    Get-MpComputerStatus, comme suit :

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Sortie attendue pour Get-MpComputerStatus:

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference, comme suit :

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Sortie attendue pour Get-MpPreference:

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Vérifiez l’état d’EDR. Ouvrez l’invite de commandes, puis exécutez la commande suivante :

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    Vous devez voir une sortie semblable à l’extrait de code suivant :

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    Les valeurs que vous souhaitez voir sont Status: Running et StartType: Automatic.

    Pour plus d’informations sur la sortie, consultez Examiner les événements et les erreurs à l’aide de l’Observateur d’événements.

  4. Vérifiez que l’Antivirus Microsoft Defender est à jour. La meilleure façon de vous assurer que votre protection antivirus est à jour est d’utiliser Windows Update. Si vous rencontrez des problèmes ou recevez une erreur, contactez votre équipe de sécurité.

    Pour plus d’informations sur les mises à jour, consultez Informations sur la sécurité et mises à jour des produits antivirus Microsoft Defender.

  5. Assurez-vous que la surveillance du comportement est activée. Lorsque la protection contre les falsifications est activée, la surveillance du comportement est activée par défaut. Utilisez la configuration par défaut de la protection contre les falsifications activée, de la surveillance du comportement activée et de la surveillance en temps réel activée, sauf si un problème spécifique est identifié.

    Pour plus d’informations, consultez La protection intégrée aide à se protéger contre les ransomwares.

  6. Assurez-vous que la protection en temps réel est activée. La recommandation actuelle pour Defender pour point de terminaison sur Windows est d’activer l’analyse en temps réel, avec la protection contre les falsifications activée, la surveillance du comportement activée et la surveillance en temps réel activée, sauf si un problème spécifique est identifié.

    Pour plus d’informations, consultez La protection intégrée aide à se protéger contre les ransomwares.

  7. Gardez à l’esprit comment les analyses fonctionnent avec les partages réseau. Par défaut, le composant Antivirus Microsoft Defender sur Windows analyse les systèmes de fichiers réseau partagéSMB (par exemple, un partage de serveur Windows ou un partage \\server\smb-share NetApp) lorsque ces fichiers sont accessibles par des processus.

    Defender pour point de terminaison EDR sur Windows peut analyser les systèmes de fichiers réseau partagé SMB. Le capteur EDR analyse certains fichiers identifiés comme intéressants pour l’analyse EDR lors des opérations de modification, de suppression et de déplacement de fichier.

    Defender pour point de terminaison sur Linux n’analyse pas les systèmes de fichiers NFS pendant les analyses planifiées.

  8. Résolvez les problèmes d’intégrité ou de fiabilité de l’sens. Pour résoudre ces problèmes, utilisez l’outil Analyseur client Defender pour point de terminaison. L’analyseur client Defender pour point de terminaison peut être utile lors du diagnostic des problèmes d’intégrité ou de fiabilité des capteurs sur les appareils intégrés exécutant Windows, Linux ou macOS. Obtenez la dernière version de l’analyseur client Defender pour point de terminaison ici : https://aka.ms/MDEAnalyzer.

  9. Ouvrez un cas de support si vous avez besoin d’aide. Consultez Contacter le support Microsoft Defender pour point de terminaison.

  10. Si vous utilisez des machines virtuelles SAP de production avec Microsoft Defender pour le cloud, gardez à l’esprit que Defender pour le cloud déploie l’extension Defender pour point de terminaison sur toutes les machines virtuelles. Si une machine virtuelle n’est pas intégrée à Defender pour point de terminaison, elle peut être utilisée comme vecteur d’attaque. Si vous avez besoin de plus de temps pour tester Defender pour point de terminaison avant d’approfondir votre environnement de production, contactez le support technique.

Commandes utiles : Microsoft Defender pour point de terminaison avec SAP sur Windows Server

Les sections suivantes décrivent comment confirmer ou configurer les paramètres de Defender pour point de terminaison à l’aide de PowerShell et de l’invite de commandes :

Mettre à jour manuellement les définitions de l’Antivirus Microsoft Defender

Utilisez Windows Update ou exécutez la commande suivante :

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Vous devez voir une sortie qui ressemble à l’extrait de code suivant :

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Une autre option consiste à utiliser cette commande :

PS C:\Program Files\Windows Defender> Update-MpSignature

Pour plus d’informations sur ces commandes, consultez les ressources suivantes :

Déterminer si EDR en mode bloc est activé

EDR en mode bloc offre une protection supplémentaire contre les artefacts malveillants lorsque l’Antivirus Microsoft Defender n’est pas le produit antivirus principal et s’exécute en mode passif. Vous pouvez déterminer si EDR en mode bloc est activé en exécutant la commande suivante :

Get-MPComputerStatus|select AMRunningMode

Il existe deux modes : le mode normal et le mode passif. Les tests avec les systèmes SAP ont été effectués uniquement avec AMRunningMode = Normal pour les systèmes SAP.

Pour plus d’informations sur cette commande, consultez Get-MpComputerStatus.

Configurer des exclusions antivirus

Avant de configurer les exclusions, assurez-vous que l’équipe SAP Basis se coordonne avec votre équipe de sécurité. Les exclusions doivent être configurées de manière centralisée et non au niveau de la machine virtuelle. Les exclusions telles que le système de fichiers SAPMNT partagé doivent être exclues via une stratégie à l’aide du portail d’administration Intune.

Pour afficher les exclusions, utilisez la commande suivante :

Get-MpPreference | Select-Object -Property ExclusionPath

Pour plus d’informations sur cette commande, consultez Get-MpComputerStatus.

Pour plus d’informations sur les exclusions, consultez les ressources suivantes :

Configurer les exclusions EDR

Il n’est pas recommandé d’exclure des fichiers, des chemins ou des processus d’EDR, car ces exclusions constituent la protection contre les menaces modernes non basées sur les fichiers. Si nécessaire, ouvrez un cas de support auprès du Support Microsoft via le portail Microsoft Defender en spécifiant les exécutables et/ou les chemins d’accès à exclure. Consultez Contacter le support Microsoft Defender pour point de terminaison.

Désactiver complètement Defender pour point de terminaison sur Windows à des fins de test

Attention

Il n’est pas recommandé de désactiver les logiciels de sécurité, sauf s’il n’existe aucune alternative pour résoudre ou isoler un problème.

Defender pour point de terminaison doit être configuré avec la protection contre les falsifications activée. Pour désactiver temporairement Defender pour point de terminaison afin d’isoler les problèmes, utilisez le mode résolution des problèmes.

Pour arrêter différents sous-composants de la solution Antivirus Microsoft Defender, exécutez les commandes suivantes :

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Pour plus d’informations sur ces commandes, consultez Set-MpPreference.

Importante

Vous ne pouvez pas désactiver les sous-composants EDR sur un appareil. La seule façon de désactiver EDR consiste à désactiver l’appareil.

Pour désactiver la protection fournie par le cloud (Microsoft Advanced Protection Service ou MAPS), exécutez les commandes suivantes :

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Pour plus d’informations sur la protection fournie par le cloud, consultez les ressources suivantes :