Microsoft Antimalware az Azure Cloud Services és a virtuális gépek számára

A Microsoft Antimalware for Azure egy ingyenes valós idejű védelem, amely segít azonosítani és eltávolítani a vírusokat, kémprogramokat és egyéb rosszindulatú szoftvereket. Riasztásokat generál, ha ismert rosszindulatú vagy nemkívánatos szoftverek próbálják telepíteni magát, vagy futnak a Azure rendszereken.

A megoldás ugyanazon kártevőirtó platformra épül, mint a Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune és Microsoft Defender for Cloud. A Microsoft Antimalware for Azure egy együgynökből álló megoldás alkalmazásokhoz és bérlői környezetekhez, amelyek emberi beavatkozás nélkül futtathatók a háttérben. A védelem az alkalmazás számítási feladatainak igényei alapján telepíthető, alapszintű, alapértelmezés szerint biztonságos vagy speciális egyéni konfigurációval, beleértve a kártevőirtó-monitorozást is.

A Microsoft Antimalware Azure alkalmazásokhoz való telepítésekor és engedélyezésekor a következő alapvető funkciók érhetők el:

• Valós idejű védelem – figyeli a tevékenységeket a Cloud Servicesben és a virtuális gépeken, hogy észlelje és blokkolja a kártevők végrehajtását.
• Ütemezett vizsgálat – Rendszeresen ellenőrzi a kártevők észlelését, beleértve a programok aktív futtatását is.
• Kártevő eltávolítása – automatikusan intézkedik az észlelt kártevők ellen, például törli vagy karanténba helyezi a rosszindulatú fájlokat, és eltávolítja a rosszindulatú beállításjegyzék-bejegyzéseket.
• Aláírásfrissítések – automatikusan telepíti a legújabb védelmi aláírásokat (vírusdefiníciókat), hogy a védelem naprakész legyen egy előre meghatározott gyakorisággal.
• kártevőirtó motor frissítések – automatikusan frissíti a Microsoft Antimalware motort.
• Kártevőirtó platform frissítései – automatikusan frissíti a Microsoft Antimalware platformot.
• Aktív védelem – telemetriai metaadatokat jelent az észlelt fenyegetésekről és gyanús erőforrásokról a Microsoft Azure-nak, ami lehetővé teszi a változó veszélyhelyzetre való gyors reagálást, és támogatja a valós idejű, szinkron aláírás-kézbesítést a Microsoft Active Protection System (MAPS) segítségével.
• Minta jelentési szolgáltatás – mintákat biztosít és jelentéseket küld a Microsoft Antimalware szolgáltatásnak a szolgáltatás pontosításának elősegítésére és a hibaelhárítás megkönnyítésére.
• Kizárások – lehetővé teszi az alkalmazás- és szolgáltatásgazdák számára a fájlok, folyamatok és meghajtók kizárásainak konfigurálását.
• Antimalware eseménygyűjtemény – rögzíti az operációs rendszer eseménynaplójában végrehajtott kártevőirtó szolgáltatás állapotát, gyanús tevékenységeit és szervizelési műveleteit, és összegyűjti őket az ügyfél Azure Storage fiókjába.

Megjegyzés

A Microsoft Antimalware a Microsoft Defender for Cloud használatával is üzembe helyezhető. További információért olvassa el a Install Endpoint Protectiont a Microsoft Defender for Cloud-ben.

Architektúra

A Microsoft Antimalware for Azure több összetevőből áll:

• A Microsoft Antimalware-ügyfél és -szolgáltatás
• Kártevőirtó klasszikus üzemi modellje
• Kártevőirtó PowerShell-parancsmagok
• Azure Diagnostics bővítmény

Platformtámogatás és üzembe helyezés

Virtual Machines:

• Alapértelmezés szerint nincs telepítve
• Választható biztonsági bővítményként érhető el a Azure portálon vagy Visual Studio virtuális gép konfigurációján keresztül
• Támogatott Windows Server 2008 R2, Windows Server 2012 és Windows Server 2012 R2
• A 2008-Windows Server és Linux operációs rendszereken nem támogatott

Felhőszolgáltatások:

• Alapértelmezés szerint letiltott állapotban van telepítve az összes támogatott Azure vendég operációs rendszeren
• Explicit aktiválást igényel a felhőszolgáltatás védelméhez

Azure App Service:

• Engedélyezve van a mögöttes szolgáltatáson, amely Windows-alapú webalkalmazásokat üzemeltet
• Csak az Azure App Service infrastruktúra védelmére korlátozódik, az ügyféltartalmakra nem
• Nem elegendő a webes alkalmazások átfogó biztonságához (további biztonsági intézkedéseket kell bevezetni, amint azt az Azure Web Application Security Best Practices ismerteti)

Megjegyzés

Microsoft Defender Víruskereső az Windows Server 2016 és újabb verziókban engedélyezett beépített kártevőirtó. A Azure virtuális gép kártevőirtó bővítménye továbbra is hozzáadható egy Windows Server 2016 és újabb Azure virtuális géphez Microsoft Defender víruskeresővel. Ebben az esetben a bővítmény a Microsoft Defender Víruskereső által használandó opcionális konfigurációs szabályzatokat alkalmazza. A bővítmény nem helyez üzembe más kártevőirtó szolgáltatásokat. A Microsoft Defender Antimalware-ról további információt a Kódmintákban talál a Microsoft Antimalware engedélyezéséhez és konfigurálásához az Azure-on.

Microsoft kártevőirtó munkafolyamat

A Azure szolgáltatásadminisztrátor az alábbi beállításokkal engedélyezheti a Kártevőirtót Azure az Virtual Machines és a Cloud Services alapértelmezett vagy egyéni konfigurációjával:

• Virtual Machines – Az Azure portálon Security Extensions alatt
• Virtual Machines – A Visual Studio virtual machines konfiguráció használata a Kiszolgálókezelőben
• Virtual Machines és Cloud Services – A Kártevőirtó klasszikus üzemi modell használata
• Virtual Machines és Cloud Services – Kártevőirtó PowerShell-parancsmagok használata

A Azure portál vagy a PowerShell-parancsmagok előre meghatározott rögzített helyen küldik el a Kártevőirtó bővítménycsomag-fájlt a Azure rendszerbe. A Azure vendégügynök (vagy a Hálóügynök) elindítja a Kártevőirtó bővítményt, és a bemenetként megadott kártevőirtó konfigurációs beállításokat alkalmazza. Ez a lépés lehetővé teszi a Kártevőirtó szolgáltatást alapértelmezett vagy egyéni konfigurációs beállításokkal. Ha nincs megadva egyéni konfiguráció, akkor a kártevőirtó szolgáltatás engedélyezve van az alapértelmezett konfigurációs beállításokkal. A kártevőirtó konfigurálásával kapcsolatos további információkért lásd Kódmintákat a Microsoft Antimalware engedélyezéséhez és konfigurálásához Azure.

Az inicializálás után a Microsoft Antimalware-ügyfél automatikusan lekéri a legújabb védelmi motort és aláírásdefiníciókat az internetről, és alkalmazza őket a Azure rendszerre. A szolgáltatás minden tevékenységet naplóz az operációs rendszer eseménynaplójába a "Microsoft Antimalware" eseményforrás alatt. Ezek a naplók a következőkről tartalmaznak információkat:

• Ügyfél egészségi állapot
• Védelmi és szervizelési tevékenységek
• Konfigurációs módosítások
• Motor- és aláírásdefiníciófrissítések
• Egyéb működési események

Engedélyezheti a kártevőirtó-figyelést a felhőszolgáltatáshoz vagy a virtuális géphez, hogy a kártevőirtó eseménynapló eseményei az Azure Storage-fiókba rögzítésre kerüljenek, amint előállnak. A Kártevőirtó szolgáltatás a Azure Diagnostics bővítmény használatával gyűjti össze a kártevőirtó-eseményeket a Azure rendszerből az ügyfél Azure Storage fiókjában lévő táblákba.

Az üzembe helyezési munkafolyamat, beleértve a fenti forgatókönyvekhez támogatott konfigurációs lépéseket és beállításokat, a dokumentum Kártevőirtó telepítési forgatókönyvek szakaszában található.

Megjegyzés

PowerShell-/API-k és Azure Resource Manager-sablonok használatával azonban üzembe helyezhet Virtual Machine Scale Sets a Microsoft Kártevőirtó bővítményével. Ha már futó virtuális gépre szeretne bővítményt telepíteni, használja a Python példaszkriptet vmssextn.py. Ez a szkript lekéri a méretezési csoport meglévő bővítménykonfigurációját, és hozzáad egy bővítményt a Azure Virtual Machines méretezési csoportok meglévő bővítményeinek listájához.

Alapértelmezett és egyéni kártevőirtó-konfiguráció

Ha nem ad meg egyéni konfigurációs beállításokat, a rendszer az alapértelmezett konfigurációs beállításokat alkalmazza a kártevőirtó engedélyezéséhez Azure Cloud Services vagy Virtual Machines. Az alapértelmezett konfigurációs beállítások előre vannak optimalizálva a Azure környezetben való futtatáshoz. Igény szerint testre is szabhatja ezeket az alapértelmezett konfigurációs beállításokat az Azure alkalmazás- vagy szolgáltatástelepítéshez, és alkalmazhatja őket más üzembe helyezési forgatókönyvekre.

Az alábbi táblázat összefoglalja a Kártevőirtó szolgáltatáshoz elérhető konfigurációs beállításokat. Az alapértelmezett konfigurációs beállítások az "Alapértelmezett" címkével ellátott oszlop alatt vannak megjelölve.

Figyelmeztetés

A Microsoft Antimalware bővítmény üzembe helyezése vagy frissítése felülírja a meglévő Microsoft Defender víruskereső-beállításokat, beleértve a kizárásokat is.

Kártevőirtó üzembe helyezési forgatókönyvek

A kártevőirtók engedélyezésére és konfigurálására vonatkozó forgatókönyveket, beleértve a Azure Cloud Services és Virtual Machines figyelését, ebben a szakaszban tárgyaljuk.

Virtuális gépek – kártevőirtó engedélyezése és konfigurálása

Üzembe helyezés virtuális gép létrehozásakor a Azure portál használatával

Az alábbi lépéseket követve engedélyezheti és konfigurálhatja a Microsoft Antimalware-t a Azure portálon Azure Virtual Machines virtuális gép kiépítése során:

1. Jelentkezzen be a Azure portálra.
2. Új virtuális gép létrehozásához lépjen a Virtual gépekre, válassza a Add lehetőséget, és válassza a Windows Server lehetőséget.
3. Válassza ki a használni kívánt Windows kiszolgáló verzióját.
4. Válassza a Create gombot.
5. Adjon meg egy nevet, felhasználónevet, jelszót, és hozzon létre egy új erőforráscsoportot, vagy válasszon egy meglévő erőforráscsoportot.
6. Kattintson az OK gombra.
7. Válasszon egy virtuális gép méretét.
8. A következő szakaszban válassza ki a Bővítmények szakaszt, és válassza ki az igényeinek megfelelő beállításokat .
9. Válassza a Bővítmény hozzáadása lehetőséget
10. Az Új erőforrás területen válassza a Microsoft Antimalware lehetőséget.
11. Válassza a lehetőséget, hozza létre a lehetőséget
12. A Bővítmény telepítése szakaszfájlban a helyek és a folyamatkizárások konfigurálhatók, valamint egyéb vizsgálati lehetőségek is beállíthatók. Kattintson az OK gombra.
13. Kattintson az OK gombra.
14. A Beállítások szakaszban válassza az OK gombot.
15. A Létrehozás képernyőn válassza az Ok gombot.

Tekintse meg ezt a Azure Resource Manager sablont a Windows antimalware virtuálisgép-bővítmény üzembe helyezéséhez.

Üzembe helyezés a Visual Studio virtuális gép konfigurációjának használatával

A Microsoft Antimalware szolgáltatás engedélyezése és konfigurálása Visual Studio használatával:

1. Csatlakozzon a Visual Studio-ban a Microsoft Azure-hoz.

2. Válassza ki a virtuális gépet a Virtual Machines csomópontban a Server Explorerben

   

3. Kattintson a jobb gombbal a Konfigurálás elemre a virtuális gép konfigurációs lapjának megtekintéséhez

4. Válassza a Microsoft Antimalware bővítményt a Telepített bővítmények legördülő listából, majd válassza a Hozzáadás lehetőséget az alapértelmezett kártevőirtó-konfiguráció konfigurálásához.

5. Az alapértelmezett kártevőirtó-konfiguráció testreszabásához válassza ki a Kártevőirtó bővítményt a telepített bővítmények listájában, és válassza a Konfigurálás lehetőséget.

6. Cserélje le az alapértelmezett kártevőirtó-konfigurációt az egyéni konfigurációra támogatott JSON formátumban a nyilvános konfiguráció szövegmezőjében , és válassza az OK gombot.

7. A Frissítés gombra kattintva leküldheti a konfigurációs frissítéseket a virtuális gépre.

   

Megjegyzés

Az Antimalware Visual Studio Virtual Machines konfigurációja csak a JSON formátumkonfigurációt támogatja. További információ a mintakonfigurációkról: Kódminták a Microsoft Antimalware engedélyezéséhez és konfigurálásához Azure.

Üzembe helyezés PowerShell-parancsmagokkal

Egy Azure alkalmazás vagy szolgáltatás powerShell-parancsmagokkal engedélyezheti és konfigurálhatja a Microsoft Antimalware-t Azure Virtual Machines.

A Microsoft Antimalware engedélyezése és konfigurálása PowerShell-parancsmagokkal:

1. A PowerShell-környezet beállítása – Tekintse meg a dokumentációt a https://github.com/Azure/azure-powershell
2. Set-AzureVMMicrosoftAntimalwareExtension A parancsmaggal engedélyezheti és konfigurálhatja a Microsoft Antimalware-t a virtuális gépéhez.

Megjegyzés

Az Antimalware Azure Virtual Machines konfigurációja csak a JSON formátumkonfigurációt támogatja. További információ a mintakonfigurációkról: Kódminták a Microsoft Antimalware engedélyezéséhez és konfigurálásához Azure.

Kártevőirtó engedélyezése és konfigurálása PowerShell-parancsmagokkal

Egy Azure alkalmazás vagy szolgáltatás engedélyezheti és konfigurálhatja a Microsoft Antimalware-t Azure Cloud Services PowerShell-parancsmagok használatával. A Microsoft Antimalware letiltott állapotban van telepítve a Cloud Services platformon, és egy Azure alkalmazás által végzett műveletet igényel annak engedélyezéséhez.

A Microsoft Antimalware engedélyezése és konfigurálása PowerShell-parancsmagokkal:

1. A PowerShell-környezet beállítása – Tekintse meg a dokumentációt a https://github.com/Azure/azure-powershell
2. Set-AzureServiceExtension A parancsmaggal engedélyezheti és konfigurálhatja a Microsoft Antimalware szolgáltatást a felhőszolgáltatáshoz.

A PowerShell-mintaparancsokkal kapcsolatos további információkért lásd a Kódmintákat a Microsoft Antimalware Azure.

Cloud Services és Virtual Machines – konfiguráció PowerShell-parancsmagokkal

Egy Azure alkalmazás vagy szolgáltatás a Cloud Services és a Virtual Machines Microsoft Antimalware konfigurációját lekérheti PowerShell-parancsmagok használatával.

A Microsoft Antimalware konfigurációjának lekérése PowerShell-parancsmagokkal:

1. A PowerShell-környezet beállítása – Tekintse meg a dokumentációt a https://github.com/Azure/azure-powershell
2. For Virtual Machines: A kártevőirtó-konfiguráció lekéréséhez használja a Get-AzureVMMicrosoftAntimalwareExtension parancsmagot.
3. Cloud Services esetén: A parancsmaggal Get-AzureServiceExtension szerezze be a Kártevőirtó konfigurációt.

Példák

Kártevőirtó-konfiguráció eltávolítása PowerShell-parancsmagokkal

Egy Azure alkalmazás vagy szolgáltatás teljesen eltávolíthatja a Microsoft Antimalware-védelmet, ha eltávolítja a megfelelő bővítményeket a Cloud Servicesből vagy Virtual Machines. Ez a folyamat eltávolítja a kártevőirtó-védelmet és a kapcsolódó monitorozási beállításokat is, teljesen megszakítva a kártevők elleni védelmet és az eseménygyűjtést a megadott erőforrásokhoz.

A Microsoft Antimalware eltávolítása PowerShell-parancsmagokkal:

1. A PowerShell-környezet beállítása – Tekintse meg a dokumentációt a https://github.com/Azure/azure-powershell
2. For Virtual Machines: Használja a Remove-AzureVMMicrosoftAntimalwareExtension parancsmagot.
3. Cloud Services esetén: Használja a Remove-AzureServiceExtension parancsmagot.

Ha a kártevőirtó eseménygyűjtését szeretné engedélyezni egy virtuális gépen az Azure előzetes verziós portálja használatával:

1. Válassza ki a Figyelés szakasz bármelyik részét a Virtuális gép részletei lapon.
2. Válassza a Diagnosztika parancsot a Metrikák szakaszban.
3. Válassza a Status BE lehetőséget, és ellenőrizze Windows eseményrendszer beállítását.
4. Törölheti a lista összes többi beállításának jelölését, vagy engedélyezheti őket az alkalmazásszolgáltatás igényei szerint.
5. A kártevőirtó eseménykategóriák a "Error", "Warning", "Informational" stb. kategóriákat rögzítik a Azure Storage fiókjában.

A kártevőirtó-eseményeket a rendszer az Windows eseményrendszernaplóiból gyűjti a Azure Storage fiókjába. A megfelelő tárfiók kiválasztásával konfigurálhatja a virtuális gép storage-fiókját kártevőirtó-események gyűjtésére.

Kártevőirtó engedélyezése és konfigurálása PowerShell-parancsmagokkal Azure Resource Manager virtuális gépekhez

A Microsoft Antimalware engedélyezése és konfigurálása Azure Resource Manager virtuális gépekhez PowerShell-parancsmagokkal:

1. Állítsa be a PowerShell-környezetét a GitHub-on található dokumentáció segítségével.
2. A Set-AzVMExtension parancsmaggal engedélyezheti és konfigurálhatja a Microsoft Antimalware-t a virtuális géphez.

A következő kódminták érhetők el:

• A Microsoft Antimalware üzembe helyezése ARM-sablon virtuális gépeken
• Microsoft Antimalware hozzáadása Azure Service Fabric fürtökhöz

Az antimalware engedélyezése és konfigurálása az Azure Cloud Service hosszabbított támogatásához (CS-ES) PowerShell-parancsmagok használatával

A Microsoft Antimalware engedélyezése és konfigurálása PowerShell-parancsmagokkal:

1. A PowerShell-környezet beállítása – Tekintse meg a dokumentációt a https://github.com/Azure/azure-powershell
2. A New-AzCloudServiceExtensionObject parancsmaggal engedélyezheti és konfigurálhatja a Microsoft Antimalware-t a Cloud Service virtuális gépéhez.

A következő kódminta érhető el:

• Microsoft Antimalware hozzáadása az Azure felhőszolgáltatáshoz kiterjesztett támogatással (CS-ES)

Kártevőirtó engedélyezése és konfigurálása PowerShell-parancsmagokkal Azure Arc-kompatibilis kiszolgálókhoz

A Microsoft Antimalware engedélyezése és konfigurálása Azure Arc-kompatibilis kiszolgálókhoz PowerShell-parancsmagok használatával:

1. Állítsa be a PowerShell-környezetét a GitHub-on található dokumentáció segítségével.
2. A New-AzConnectedMachineExtension parancsmaggal engedélyezheti és konfigurálhatja a Microsoft Antimalware-t az Arc-kompatibilis kiszolgálókhoz.

A következő kódminták érhetők el:

• A Microsoft Antimalware hozzáadása Azure Arc-kompatibilis kiszolgálókhoz

Következő lépések

• Kódminták a Microsoft Antimalware engedélyezéséhez és konfigurálásához Azure
• Microsoft Defender for Cloud