Configurare l'integrazione AMSI con SharePoint Server
SI APPLICA A:
2013 
2016 2019 Subscription Edition SharePoint in Microsoft 365
Introduzione
Il panorama della cybersecurity è cambiato radicalmente, come evidenziato da attacchi complessi su larga scala e segnali che ransomware gestito dall'uomo sono in aumento. Più che mai, è fondamentale mantenere l'infrastruttura locale sicura e aggiornata, inclusi i server SharePoint.
Per aiutare i clienti a proteggere gli ambienti e rispondere alle minacce associate dagli attacchi, viene introdotta l'integrazione tra SharePoint Server e l'interfaccia AMSI ( Windows Antimalware Scan Interface ). AMSI è uno standard versatile che consente ad applicazioni e servizi di integrarsi con qualsiasi prodotto antimalware con supporto AMSI presente in un computer.
La funzionalità di integrazione AMSI è progettata per impedire che le richieste Web dannose raggiungano gli endpoint di SharePoint. Ad esempio, per sfruttare una vulnerabilità di sicurezza in un endpoint di SharePoint prima dell'installazione della correzione ufficiale per la vulnerabilità di sicurezza.
Integrazione di AMSI con SharePoint Server
Quando una soluzione antivirus o antimalware con supporto amSI è integrata con SharePoint Server, può esaminare HTTP e HTTPS richiedere al server e impedire a SharePoint Server di elaborare richieste pericolose. Qualsiasi programma antivirus o antimalware con supporto AMSI installato nel server esegue l'analisi non appena il server inizia a elaborare la richiesta.
Lo scopo dell'integrazione AMSI non è quello di sostituire le difese antivirus/antimalware esistenti già installate nel server; è fornire un ulteriore livello di protezione dalle richieste Web dannose effettuate agli endpoint di SharePoint. I clienti devono comunque distribuire soluzioni antivirus compatibili con SharePoint nei server per impedire agli utenti di caricare o scaricare file con virus.
Prerequisiti
Prima di abilitare l'integrazione AMSI, verificare i prerequisiti seguenti in ogni SharePoint Server:
- Windows Server 2016 o superiore
- SharePoint Server Subscription Edition versione 22H2 o successiva
- SharePoint Server 2019 build 16.0.10396.20000 o versione successiva (kb 5002358: aggiornamento della sicurezza del 14 marzo 2023 per SharePoint Server 2019)
- SharePoint Server 2016 build 16.0.5391.1000 o versione successiva (KB 5002385: 11 aprile 2023 security update for SharePoint Server 2016)
- Microsoft Defender con la versione del motore AV alla versione 1.1.18300.4 o successiva (in alternativa, un provider di antivirus/antimalware di terze parti compatibile con AMSI)
Attivare/disattivare AMSI per SharePoint Server
A partire dagli aggiornamenti della sicurezza di settembre 2023 per SharePoint Server 2016/2019 e dall'aggiornamento delle funzionalità versione 23H2 per SharePoint Server Subscription Edition, l'integrazione AMSI con SharePoint Server diventa abilitata per impostazione predefinita per tutte le applicazioni Web all'interno di SharePoint Server. Questa modifica mira a migliorare la sicurezza generale degli ambienti dei clienti e a mitigare potenziali violazioni della sicurezza. Tuttavia, in base ai requisiti, i clienti mantengono la possibilità di disattivare la funzionalità di integrazione AMSI.
Per avviare gli aggiornamenti della sicurezza di settembre 2023, i clienti devono solo installare l'aggiornamento ed eseguire la Configurazione guidata prodotti SharePoint.
Nota
Se i clienti ignorano l'installazione dell'aggiornamento pubblico di settembre 2023, questa modifica verrà attivata all'installazione dell'aggiornamento pubblico successivo che include gli aggiornamenti della sicurezza di settembre 2023 per SharePoint Server 2016/2019 o l'aggiornamento delle funzionalità versione 23H2 per SharePoint Server Subscription Edition.
Se i clienti preferiscono non avere l'integrazione AMSI abilitata automaticamente all'interno delle farm di SharePoint Server, possono seguire questa procedura:
- Installare gli aggiornamenti della sicurezza di settembre 2023 per SharePoint Server 2016/2019 o l'aggiornamento delle funzionalità versione 23H2 per SharePoint Server Subscription Edition.
- Eseguire la Configurazione guidata prodotti SharePoint.
- Seguire la procedura standard per disabilitare la funzionalità di integrazione AMSI nelle applicazioni Web.
Se si esegue questa procedura, SharePoint non tenterà di riabilitare la funzionalità durante l'installazione di aggiornamenti pubblici futuri.
Per disattivare/attivare manualmente l'integrazione AMSI per applicazione Web, seguire questa procedura:
- Aprire Amministrazione centrale SharePoint e selezionare Gestione applicazioni.
- In Applicazioni Web selezionare Gestisci applicazioni Web.
- Selezionare l'applicazione Web per cui si vuole abilitare l'integrazione AMSI e selezionare Gestisci funzionalità sulla barra degli strumenti.
- Nella schermata Analisi antimalware di SharePoint Server selezionare Disattiva per disattivare l'integrazione AMSI oppure selezionare Attiva per attivare l'integrazione AMSI.
In alternativa, è possibile disattivare l'integrazione AMSI per un'applicazione Web eseguendo il comando di PowerShell seguente:
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
In alternativa, attivare l'integrazione AMSI per un'applicazione Web eseguendo il comando di PowerShell seguente:
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Testare e verificare l'integrazione di AMSI con SharePoint Server
È possibile testare la funzionalità Antimalware Scan Interface (AMSI) per verificare che funzioni correttamente. Ciò comporta l'invio di una richiesta a SharePoint Server con una stringa di test speciale che Microsoft Defender riconosce è a scopo di test. Questa stringa di test non è pericolosa, ma Microsoft Defender la tratta come se fosse dannosa, quindi è possibile confermare il comportamento quando rileva richieste dannose.
Se l'integrazione AMSI è abilitata in SharePoint Server e usa Microsoft Defender come motore di rilevamento malware, la presenza di questa stringa di test comporta il blocco della richiesta da parte di AMSI anziché l'elaborazione da parte di SharePoint.
La stringa di test è simile al file di test EICAR , ma differisce leggermente per evitare confusione di codifica URL.
È possibile testare l'integrazione AMSI aggiungendo la stringa di test come stringa di query o un'intestazione HTTP nella richiesta a SharePoint Server.
Usare una stringa di query per testare l'integrazione AMSI
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Ad esempio: inviare una richiesta a https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Usare un'intestazione HTTP per testare l'integrazione AMSI
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Ad esempio: inviare una richiesta simile alla seguente.
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defender rileva questa operazione come l'exploit seguente:
Exploit:Script/SharePointEicar.A
Nota
Se si usa un motore di rilevamento malware diverso da Microsoft Defender, è consigliabile rivolgersi al fornitore del motore di rilevamento malware per determinare il modo migliore per testarne l'integrazione con la funzionalità AMSI in SharePoint Server.
Altri riferimenti
Effetti sulle prestazioni dell'uso di Microsoft Defender come soluzione AMSI primaria
Per impostazione predefinita, Microsoft Defender Antivirus (MDAV), una soluzione che supporta AMSI, viene abilitata e installata automaticamente in endpoint e dispositivi che eseguono Windows 10, Windows Server 2016 e versioni successive. Se non è stata installata un'applicazione antivirus/antimalware, l'integrazione AMSI di SharePoint Server funzionerà con MDAV. Se si installa e si abilita un'altra applicazione antivirus/antimalware, MDAV verrà disattivato automaticamente. Se si disinstalla l'altra app, MDAV verrà riattivato automaticamente e l'integrazione di SharePoint Server funzionerà con MDAV.
I vantaggi dell'uso di MDAV in SharePoint Server includono:
- MDAV recupera le firme che corrispondono a contenuti dannosi. Se Microsoft viene a conoscenza di un exploit che può essere bloccato, è possibile distribuire una nuova firma MDAV per impedire che l'exploit influisca su SharePoint.
- Uso della tecnologia esistente per aggiungere firme per il contenuto dannoso.
- Utilizzando l'esperienza del team di ricerca malware di Microsoft per l'aggiunta di firme.
- Uso delle procedure consigliate già applicate da MDAV per l'aggiunta di altre firme.
L'applicazione Web potrebbe avere un impatto sulle prestazioni perché l'analisi AMSI usa le risorse della CPU. L'analisi AMSI non ha alcun impatto sulle prestazioni distinto quando viene testato con MDAV e non è necessario apportare modifiche alle esclusioni antivirus di SharePoint Server documentate esistenti. Ogni provider di antivirus sviluppa le proprie definizioni che usano la tecnologia AMSI. Pertanto, il livello di protezione rimane dipendente dalla velocità con cui è possibile aggiornare la soluzione specifica per rilevare le minacce più recenti.
Microsoft Defender versione tramite la riga di comando
Nota
Se si usa Microsoft Defender, è possibile usare la riga di comando e assicurarsi di aggiornare le firme con la versione più recente.
- Avviare
Command Promptcome amministratore. - Passare a
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. - Eseguire
mpcmdrun.exe -SignatureUpdate.
Questi passaggi determinano la versione corrente del motore, verificano le definizioni aggiornate e il report.
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>