Condividi tramite


Estensione Antimalware Microsoft per Windows

Panoramica

Il panorama moderno delle minacce per gli ambienti cloud è dinamico, aumentando la pressione sui sottoscrittori cloud IT aziendali per mantenere una protezione efficace per soddisfare i requisiti di conformità e sicurezza. Microsoft Antimalware per Azure è una funzionalità di protezione in tempo reale gratuita. Microsoft Antimalware consente di identificare e rimuovere virus, spyware e altri software dannosi, con avvisi configurabili quando si tenta di installare o eseguire software dannoso o indesiderato nei sistemi di Azure. La soluzione è basata sulla stessa piattaforma antimalware di Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune e Windows Defender per Windows 8.0 e versioni successive. Microsoft Antimalware per Azure è una soluzione con un agente singolo per applicazioni e ambienti tenant, progettata per l'esecuzione in background senza intervento da parte dell'utente. È possibile distribuire la protezione in base alle esigenze dei carichi di lavoro dell'applicazione, con una configurazione sicura per impostazione predefinita o avanzata personalizzata, incluso il monitoraggio antimalware.

Prerequisiti

Sistema operativo

La soluzione Microsoft Antimalware per Azure include Microsoft Antimalware Client and Service, il modello di distribuzione classico antimalware, i cmdlet di PowerShell per Antimalware e l'estensione Diagnostica di Azure. La soluzione Microsoft Antimalware è supportata nelle famiglie dei sistemi operativi Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Non è supportato nel sistema operativo Windows Server 2008 e non è supportato anche in Linux.

Windows Defender è l'antimalware predefinito abilitato in Windows Server 2016. L'interfaccia Windows Defender è abilitata anche per impostazione predefinita in alcuni SKU Windows Server 2016. L'estensione Antimalware della macchina virtuale di Azure può comunque essere aggiunta a una Windows Server 2016 e successiva a una macchina virtuale di Azure con Windows Defender. In questo scenario l'estensione applica i criteri di configurazione facoltativi da usare da Windows Defender. L'estensione non distribuisce alcun altro servizio antimalware. Per altre informazioni, vedere la sezione Esempi dell'articolo Microsoft Antimalware.

Connettività Internet

La soluzione Microsoft Antimalware per Windows richiede che la macchina virtuale di destinazione sia connessa a Internet per ricevere aggiornamenti regolari del motore e della firma.

Distribuzione del modello

Le estensioni macchina virtuale di Azure possono essere distribuite con i modelli di Azure Resource Manager. I modelli rappresentano la scelta migliore quando si distribuiscono una o più macchine virtuali per cui è necessaria una configurazione post-distribuzione come l'onboarding ad Azure Antimalware.

La configurazione JSON per un'estensione macchina virtuale può essere annidata nella risorsa della macchina virtuale o posizionata nel livello radice o nel livello superiore di un modello JSON di Gestione risorse. Il posizionamento della configurazione JSON influisce sul valore del nome e del tipo di risorsa. Per altre informazioni, vedere Set name and type for child resources (Impostare il nome e il tipo per le risorse figlio).

L'esempio seguente presuppone che l'estensione macchina virtuale sia annidata all'interno della risorsa della macchina virtuale. Quando la risorsa di estensione viene nidificata, JSON viene inserito nell'oggetto "resources": [] della macchina virtuale.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

È necessario includere, almeno, il contenuto seguente per abilitare l'estensione Microsoft Antimalware:

{ "AntimalwareEnabled": true }

Microsoft Antimalware esempio di configurazione JSON:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

  • parametro obbligatorio

  • Valori: true/false

    • true = Abilita
    • false = Errore, perché false non è un valore supportato

RealtimeProtectionEnabled

  • Valori: true/false, il valore predefinito è true

    • true = Abilita
    • false = Disabilita

ScheduledScanSettings

  • isEnabled = true/false

  • giorno = 0-8 (0-giornaliero, 1-domenica, 2-lunedì, ...., 7-sabato, 8-disabilitato)

  • ora = 0-1440 (misurata in minuti dopo mezzanotte - 60-1AM>, 120> - 2AM, ... )

  • scanType = Quick/Full, il valore predefinito è Quick

  • Se isEnabled = true è l'unica impostazione specificata, le impostazioni predefinite seguenti sono impostate: day=7 (sabato), time=120 (2 AM), scanType="Quick"

Esclusioni

  • Più esclusioni nello stesso elenco vengono specificate usando delimitatori di punto e virgola
  • Se non vengono specificate esclusioni, le esclusioni esistenti, se presenti, vengono sovrascritte da vuoto nel sistema

Distribuzione PowerShell

In funzione del tipo di distribuzione, usare i comandi corrispondenti per distribuire l'estensione della macchina virtuale di Azure Antimalware in una macchina virtuale esistente.

Risoluzione dei problemi e supporto

Risolvere problemi

I log dell'estensione Microsoft Antimalware sono disponibili in - %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Codici di errore e relativi significati

Codice di errore Significato Azione possibile
-2147156224 MSI impegnato con un'altra installazione. Provare a eseguire l'installazione in un secondo momento
-2147156221 Programma di installazione MSE già in esecuzione. Eseguire una sola istanza alla volta.
-2147156208 Spazio su < disco ridotto 200 MB Eliminare i file non usati quindi ripetere l'installazione.
-2147156187 L'ultima installazione, aggiornamento o disinstallazione richiedeva un riavvio. Riavviare e ripetere l'installazione.
-2147156121 Il programma di installazione ha tentato di rimuovere il prodotto concorrente. La disinstallazione del prodotto concorrente non è riuscita. Rimuovere il prodotto concorrente manualmente, riavviare il computer e ripetere l'installazione.
-2147156116 Convalida dei criteri del file non riuscita. Verificare che all'installazione venga passato un file XML dei criteri valido.
-2147156095 Avvio del servizio Antimalware non riuscito. Verificare che tutti i file binari siano firmati correttamente e che sia installato il file di licenza corretto.
-2147023293 Errore irreversibile durante l'installazione. Si verifica nella maggior parte dei casi. Epp.msi, non è possibile registrare\start\stop AM service o mini filtro driver I log MSI derivanti da EPP.msi sono necessari per esigenze di analisi future.
-2147023277 Impossibile aprire il pacchetto di installazione Verificare che il pacchetto sia presente e, se accessibile, contattare il fornitore dell'applicazione per controllare che si tratti di un pacchetto di Windows Installer valido.
-2147156109 Windows Defender è necessario come prerequisito
-2147205073 L'autorità di certificazione websso non è supportata
-2147024893 Il sistema non riesce a trovare il percorso specificato
-2146885619 Non un messaggio crittografico o il messaggio crittografico non è formattato correttamente
-1073741819 L'istruzione in 0x%p fa riferimento alla memoria 0x%p. Impossibile trovare la memoria %s
1 Funzione non corretta

Supporto

Se sono necessarie altre informazioni in qualsiasi momento in questo articolo, è possibile contattare gli esperti di Azure nei forum di Azure e Stack Overflow. In alternativa, è possibile archiviare un evento imprevisto di supporto tecnico di Azure. Passare al sito supporto tecnico di Azure e selezionare Recupera supporto. Per informazioni sull'uso del supporto di Azure, leggere le Domande frequenti sul supporto di Azure.