Configurare l'integrazione AMSI con SharePoint Server

SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

Introduzione

Il panorama della cybersecurity è cambiato radicalmente, come evidenziato da attacchi complessi su larga scala e segnali che ransomware gestito dall'uomo sono in aumento. Più che mai, è fondamentale mantenere l'infrastruttura locale sicura e aggiornata, inclusi i server SharePoint.

Per aiutare i clienti a proteggere gli ambienti e rispondere alle minacce associate dagli attacchi, viene introdotta l'integrazione tra SharePoint Server e l'interfaccia AMSI ( Windows Antimalware Scan Interface ). AMSI è uno standard versatile che consente ad applicazioni e servizi di integrarsi con qualsiasi prodotto antimalware con supporto AMSI presente in un computer.

La funzionalità di integrazione AMSI è progettata per impedire che le richieste Web dannose raggiungano gli endpoint di SharePoint. Ad esempio, per sfruttare una vulnerabilità di sicurezza in un endpoint di SharePoint prima dell'installazione della correzione ufficiale per la vulnerabilità di sicurezza.

A partire da SharePoint Server Subscription Edition (SPSE) versione 25H1, AMSI estende le funzionalità di analisi per includere i corpi delle richieste HTTP. Questa funzionalità di analisi del corpo della richiesta è utile per rilevare e attenuare le minacce che possono essere incorporate nei payload delle richieste, fornendo una soluzione di sicurezza più completa.

Nota

La nuova funzionalità di analisi del corpo della richiesta è disponibile solo per SharePoint Server Subscription Edition utenti.

Integrazione di AMSI con SharePoint Server

Quando una soluzione antivirus o antimalware con supporto amSI è integrata con SharePoint Server, può esaminare HTTP e HTTPS richiedere al server e impedire a SharePoint Server di elaborare richieste pericolose. Qualsiasi programma antivirus o antimalware con supporto AMSI installato nel server esegue l'analisi non appena il server inizia a elaborare la richiesta.

Lo scopo dell'integrazione AMSI non è quello di sostituire le difese antivirus/antimalware esistenti già installate nel server; si tratta di fornire un livello aggiuntivo di protezione dalle richieste Web dannose effettuate agli endpoint di SharePoint. I clienti devono comunque distribuire soluzioni antivirus compatibili con SharePoint nei server per impedire agli utenti di caricare o scaricare file con virus.

Prerequisiti

Prima di abilitare l'integrazione AMSI, verificare i prerequisiti seguenti in ogni SharePoint Server:

• Windows Server 2016 o superiore
• SharePoint Server Subscription Edition versione 22H2 o successiva
• SharePoint Server 2019 build 16.0.10396.20000 o versione successiva (kb 5002358: aggiornamento della sicurezza del 14 marzo 2023 per SharePoint Server 2019)
• SharePoint Server 2016 build 16.0.5391.1000 o versione successiva (KB 5002385: 11 aprile 2023 security update for SharePoint Server 2016)
• Microsoft Defender con la versione del motore AV alla versione 1.1.18300.4 o successiva (in alternativa, un provider di antivirus/antimalware di terze parti compatibile con AMSI)

Attivare/disattivare AMSI per SharePoint Server

A partire dagli aggiornamenti della sicurezza di settembre 2023 per SharePoint Server 2016/2019 e dall'aggiornamento delle funzionalità versione 23H2 per SharePoint Server Subscription Edition, l'integrazione AMSI con SharePoint Server diventa abilitata per impostazione predefinita per tutte le applicazioni Web all'interno di SharePoint Server. Questa modifica mira a migliorare la sicurezza generale degli ambienti dei clienti e a mitigare potenziali violazioni della sicurezza. Tuttavia, in base ai requisiti, i clienti mantengono la possibilità di disattivare la funzionalità di integrazione AMSI.

Per avviare gli aggiornamenti della sicurezza di settembre 2023, i clienti devono solo installare l'aggiornamento ed eseguire la Configurazione guidata prodotti SharePoint.

Nota

Se i clienti ignorano l'installazione dell'aggiornamento pubblico di settembre 2023, questa modifica viene attivata durante l'installazione dell'aggiornamento pubblico successivo che include gli aggiornamenti della sicurezza di settembre 2023 per SharePoint Server 2016/2019 o l'aggiornamento delle funzionalità versione 23H2 per SharePoint Server Subscription Edition.

Se i clienti preferiscono non avere l'integrazione AMSI abilitata automaticamente all'interno delle farm di SharePoint Server, possono seguire questa procedura:

1. Installare gli aggiornamenti della sicurezza di settembre 2023 per SharePoint Server 2016/2019 o l'aggiornamento delle funzionalità versione 23H2 per SharePoint Server Subscription Edition.
2. Eseguire la Configurazione guidata prodotti SharePoint.
3. Seguire la procedura standard per disabilitare la funzionalità di integrazione AMSI nelle applicazioni Web.

Se si esegue questa procedura, SharePoint non tenterà di riabilitare la funzionalità durante l'installazione di aggiornamenti pubblici futuri.

Configurare AMSI tramite l'interfaccia utente

Se si usa SharePoint Server 2016/2019 o versioni precedenti di SharePoint Server Subscription Edition versione 25H1, seguire questa procedura per disattivare o attivare manualmente l'integrazione AMSI per ogni applicazione Web:

1. Aprire Amministrazione centrale SharePoint e selezionare Gestione applicazioni.
2. In Applicazioni Web selezionare Gestisci applicazioni Web.
3. Selezionare l'applicazione Web per cui si vuole abilitare l'integrazione AMSI e selezionare Gestisci funzionalità sulla barra degli strumenti.
4. Nella schermata Analisi antimalware di SharePoint Server selezionare Disattiva per disattivare l'integrazione AMSI oppure selezionare Attiva per attivare l'integrazione AMSI.

Se è stato installato l'aggiornamento della funzionalità SharePoint Server Subscription Edition versione 25H1, seguire questa procedura per attivare o disattivare e configurare le impostazioni di integrazione AMSI:

1. Aprire Amministrazione centrale SharePoint.

2. Passare alla sezione Sicurezza.

3. Selezionare Configurazione AMSI.

4. Nella pagina Configurazione analisi AMSI selezionare l'applicazione Web desiderata.

5. Successivamente, è possibile scegliere di abilitare o disabilitare la funzionalità di analisi AMSI selezionando l'opzione appropriata.

   • Per abilitare l'analisi AMSI, selezionare il pulsante Abilita funzionalità di analisi AMSI . In questo modo tutte le intestazioni delle richieste HTTP vengono analizzate.
   • Per disabilitare l'analisi, selezionare il pulsante Disabilita completamente la funzionalità di analisi AMSI .

6. Dopo l'abilitazione, selezionare la modalità Analisi corpo richiesta per analizzare il corpo della richiesta in base ai requisiti specifici tra le opzioni disponibili seguenti:

   • Disattivato: disabilita l'analisi del corpo. Ciò non influirà sulla funzionalità di analisi dell'intestazione esistente.
   • Modalità bilanciata: analizza i corpi delle richieste inviati agli endpoint sensibili predefiniti dal sistema e ad altri endpoint specificati per essere inclusi nell'analisi del corpo.
   • Modalità completa: analizza i corpi delle richieste inviati a tutti gli endpoint tranne quelli esplicitamente esclusi, per migliorare le prestazioni mantenendo al tempo stesso una garanzia di sicurezza equa.

7. Specificare gli endpoint che devono essere inclusi o esclusi dall'analisi del corpo in base alla modalità selezionata e fare clic su Aggiungi.

   Assicurarsi che gli endpoint contengano l'intero percorso URI della richiesta. Ad esempio, includere /SitePages/Home.aspx, in modo che possa analizzare URL come http://test.contoso.com/SitePages/Home.aspxe http://test.contoso.com/sites/marketing/SitePages/Home.aspx. Per comprendere la struttura della sintassi dell'URI, vedere Uniform Resource Identifier - Wikipedia.

   

8. Dopo aver apportato le modifiche necessarie, selezionare OK per applicarle in modo efficace.

Nota

• Ogni applicazione Web deve essere configurata per AMSI in modo indipendente e l'elenco di endpoint specificato si applica solo a tale applicazione Web.
• La nuova funzionalità di analisi del corpo rimarrà disabilitata dopo l'aggiornamento se l'AMSI è disabilitato per un'applicazione Web.
• L'analisi del corpo non può essere abilitata senza abilitare l'analisi delle intestazioni.
• La configurazione predefinita per l'analisi del corpo è la modalità bilanciata. Dopo l'aggiornamento a SPSE versione 25H1, qualsiasi applicazione Web con AMSI abilitata avrà anche l'analisi del corpo abilitata nella modalità bilanciata.

Configurare AMSI con PowerShell

In alternativa, è possibile attivare/disattivare l'integrazione AMSI per un'applicazione Web usando i comandi di PowerShell.

Per disattivare, eseguire il comando di PowerShell seguente:

Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>  

Per eseguire l'attivazione, eseguire il comando di PowerShell seguente:

Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL> 

Dopo l'aggiornamento a SharePoint Server Subscription Edition versione 25H1, è anche possibile configurare le impostazioni di analisi del corpo usando PowerShell. Per impostare la modalità di analisi del corpo, eseguire il comando seguente:

$webAppUrl = "http://spwfe"

$webApp = Get-SPWebApplication -Identity $webAppUrl

$webApp.AMSIBodyScanMode = 1 # 0 = Off, 1 = Balanced, 2 = Full

$webApp.Update() # To save changes

# Iisreset # restarting the IIS service or recycling the app pool may be required when switching modes

Per impostare la modalità di analisi del corpo su Modalità bilanciata con endpoint di destinazione, eseguire il comando seguente:

# Get current list of targeted endpoints

$webApp.AMSITargetedEndpoints

# Add a targeted endpoint

$webApp.AddAMSITargetedEndpoints('/test/page123', 1)

# Get a certain targeted endpoint

$webApp.GetAMSITargetedEndpoint('/test/page123')

# Remove a targeted endpoint

$webApp.RemoveAMSITargetedEndpoints('/test/page123')

# Update the web app object to save changes

$webApp.Update()

Per impostare la modalità di analisi del corpo su Modalità completa con endpoint esclusi, eseguire il comando seguente:

# Get current list of excluded endpoints

$webApp.AMSIExcludedEndpoints

# Add an excluded endpoint

$webApp.AddAMSIExcludedEndpoints('/test/page123', 1)

# Get a certain excluded endpoint

$webApp.GetAMSIExcludedEndpoint('/test/page123')

# Remove an excluded endpoint

$webApp.RemoveAMSIExcludedEndpoints('test123456')

# Update the web app object to save changes

$webApp.Update()

Testare e verificare l'integrazione di AMSI con SharePoint Server

È possibile testare la funzionalità Antimalware Scan Interface (AMSI) per verificare che funzioni correttamente. Ciò comporta l'invio di una richiesta a SharePoint Server con una stringa di test speciale che Microsoft Defender riconosce è a scopo di test. Questa stringa di test non è pericolosa, ma Microsoft Defender la tratta come se fosse dannosa, quindi è possibile confermare il comportamento quando rileva richieste dannose.

Se l'integrazione AMSI è abilitata in SharePoint Server e usa Microsoft Defender come motore di rilevamento malware, la presenza di questa stringa di test comporta il blocco della richiesta da parte di AMSI anziché l'elaborazione da parte di SharePoint.

La stringa di test è simile al file di test EICAR , ma differisce leggermente per evitare confusione di codifica URL.

È possibile testare l'integrazione AMSI aggiungendo la stringa di test come stringa di query o un'intestazione HTTP nella richiesta a SharePoint Server.

Usare una stringa di query per testare l'integrazione AMSI

amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Ad esempio: inviare una richiesta a https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET

Usare un'intestazione HTTP per testare l'integrazione AMSI

amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Ad esempio: inviare una richiesta simile alla seguente.

GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Microsoft Defender rileva questa operazione come l'exploit seguente:

Exploit:Script/SharePointEicar.A

Nota

Se si usa un motore di rilevamento malware diverso da Microsoft Defender, è consigliabile rivolgersi al fornitore del motore di rilevamento malware per determinare il modo migliore per testarne l'integrazione con la funzionalità AMSI in SharePoint Server.

Altri riferimenti

Effetti sulle prestazioni dell'uso di Microsoft Defender come soluzione AMSI primaria

Per impostazione predefinita, Microsoft Defender Antivirus (MDAV), una soluzione che supporta AMSI, viene abilitata e installata automaticamente in endpoint e dispositivi che eseguono Windows 10, Windows Server 2016 e versioni successive. Se non è stata installata un'applicazione antivirus/antimalware, l'integrazione AMSI di SharePoint Server funziona con MDAV. Se si installa e si abilita un'altra applicazione antivirus/antimalware, MDAV si disattiva automaticamente. Se si disinstalla l'altra app, MDAV viene riattivato automaticamente e l'integrazione di SharePoint Server funzionerà con MDAV.

I vantaggi dell'uso di MDAV in SharePoint Server includono:

• MDAV recupera le firme che corrispondono a contenuti dannosi. Se Microsoft viene a conoscenza di un exploit che può essere bloccato, è possibile distribuire una nuova firma MDAV per impedire che l'exploit influisca su SharePoint.
• Uso della tecnologia esistente per aggiungere firme per il contenuto dannoso.
• Utilizzando l'esperienza del team di ricerca malware di Microsoft per l'aggiunta di firme.
• Uso delle procedure consigliate già applicate da MDAV per l'aggiunta di altre firme.

L'applicazione Web potrebbe avere un impatto sulle prestazioni perché l'analisi AMSI usa le risorse della CPU. L'analisi AMSI non ha alcun impatto sulle prestazioni distinto quando viene testato con MDAV e non è necessario apportare modifiche alle esclusioni antivirus di SharePoint Server documentate esistenti. Ogni provider di antivirus sviluppa le proprie definizioni che usano la tecnologia AMSI. Pertanto, il livello di protezione rimane dipendente dalla velocità con cui è possibile aggiornare la soluzione specifica per rilevare le minacce più recenti.

Microsoft Defender versione tramite la riga di comando

Nota

Se si usa Microsoft Defender, è possibile usare la riga di comando e assicurarsi di aggiornare le firme con la versione più recente.

1. Avviare Command Prompt come amministratore.
2. Vai a %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>.
3. Eseguire mpcmdrun.exe -SignatureUpdate.

Questi passaggi determinano la versione corrente del motore, verificano le definizioni aggiornate e il report.

Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4 
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>