Windows 用の Microsoft マルウェア対策拡張機能
概要
最近のクラウド環境に対する脅威は変化が激しく、コンプライアンスとセキュリティの要件を満たすために効果的な保護を維持しなければならないというビジネス IT クラウドのサブスクライバーに対する圧力はますます大きくなっています。 Azure 向け Microsoft Antimalware は、無料のリアルタイム保護機能です。 Microsoft Antimalware は、ウイルスやスパイウェアなどの悪意のあるソフトウェアの識別および削除に役立ち、既知のマルウェアや不要なソフトウェアが Azure システムでそれ自体のインストールまたは実行を試みた場合に警告する構成可能なアラートを備えています。 このソリューションの基になっているマルウェア対策プラットフォームは、Microsoft Security Essentials (MSE)、Microsoft Forefront Endpoint Protection、Microsoft System Center Endpoint Protection、Windows Intune、Windows Defender for Windows 8.0 以降と同じです。 Azure 向け Microsoft マルウェア対策は、アプリケーションおよびテナント環境のための単一エージェント ソリューションであり、ユーザーの介入なしにバック グラウンドで実行するように作られています。 アプリケーションのワークロードのニーズに基づいて、マルウェア対策監視など、基本的な既定のセキュリティまたは高度なカスタム構成で、保護をデプロイできます。
前提条件
オペレーティング システム
Azure 向け Microsoft マルウェア対策ソリューションには、Microsoft マルウェア対策クライアントとサービス、マルウェア対策クラシック デプロイ モデル、マルウェア対策 PowerShell コマンドレット、および Azure Diagnostics 拡張機能が含まれます。 Microsoft マルウェア対策ソリューションは、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 の各オペレーティング システム ファミリでサポートされます。 Windows Server 2008 オペレーティング システムではサポートされず、Linux でもサポートされません。
Windows Defender は Windows Server 2016 で有効になっている組み込みのマルウェア対策です。 Windows Defender インターフェイスは、一部の Windows Server 2016 SKU でも既定で有効になっています。 Azure VM マルウェア対策拡張機能は、Windows Defender を含む Windows Server 2016 以上の Azure VM に引き続き追加できます。 このシナリオでは、拡張機能は、Windows Defender で使用される省略可能な構成ポリシーを適用します。 この拡張機能により、他のマルウェア対策サービスはデプロイされません。 詳細については、記事「Microsoft Antimalware 」の「サンプル」セクションを参照してください。
インターネット接続
Windows 用の Microsoft マルウェア対策では、定期的なエンジンとシグネチャの更新を受信するために、ターゲットの仮想マシンがインターネットに接続されている必要があります。
テンプレートのデプロイ
Azure VM 拡張機能は、Azure Resource Manager テンプレートでデプロイできます。 テンプレートは、デプロイ後の構成 (Azure マルウェア対策へのオンボードなど) が必要な仮想マシンを 1 つ以上デプロイするときに最適です。
仮想マシン拡張機能の JSON 構成は、仮想マシン リソース内に入れ子にすることも、Resource Manager JSON テンプレートのルートまたは最上位レベルに配置することもできます。 JSON 構成の配置は、リソースの名前と種類の値に影響します。 詳細については、子リソースの名前と種類の設定に関する記事を参照してください。
次の例では、VM 拡張機能が仮想マシン リソース内で入れ子になっていることを前提としています。 拡張機能リソースを入れ子にすると、JSON は仮想マシンの "resources": [] オブジェクトに配置されます。
{
"type": "Microsoft.Compute/virtualMachines/extensions",
"name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
"apiVersion": "2019-07-01",
"location": "[resourceGroup().location]",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
],
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "IaaSAntimalware",
"typeHandlerVersion": "1.3",
"autoUpgradeMinorVersion": true,
"settings": {
"AntimalwareEnabled": "true",
"Exclusions": {
"Extensions": ".ext1;.ext2",
"Paths": "c:\excluded-path-1;c:\excluded-path-2",
"Processes": "excludedproc1.exe;excludedproc2.exe"
},
"RealtimeProtectionEnabled": "true",
"ScheduledScanSettings": {
"isEnabled": "true",
"scanType": "Quick",
"day": "7",
"time": "120"
}
},
"protectedSettings": null
}
}
Microsoft Antimalware 拡張機能を有効にするには、少なくとも次の内容を含める必要があります。
{ "AntimalwareEnabled": true }
Microsoft Antimalware の JSON 構成のサンプル:
{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },
"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}
AntimalwareEnabled
必須パラメーター
値: true/false
- true = 有効
- false = エラー出力 (false はサポートされている値ではないため)
RealtimeProtectionEnabled
値: true/false、既定値は true
- true = 有効
- false = 無効
ScheduledScanSettings
isEnabled = true/false
day = 0 - 8 (0 - 毎日、1 - 日曜日、2 - 月曜日、 ....、7 - 土曜日、8 - 無効)
time = 0 - 1440 (深夜 0 時からの分数 - 60 - > 午前 1 時、120 -> 午前 2 時、 ... )
scanType = Quick/Full、既定値は Quick
isEnabled = true が指定されている唯一の設定である場合、既定値は次のように設定されます: day = 7 (土曜日)、time = 120 (午前 2 時)、scanType = "Quick"
除外
- 同じリスト内で複数を除外するには、セミコロン区切り記号を使用して指定します
- 除外を指定しないと、既存の除外がある場合は、システムでの空白によって上書きされます
PowerShell でのデプロイ
Azure マルウェア対策の仮想マシン拡張機能を既存の仮想マシンにデプロイするには、デプロイの種類に応じて対応するコマンドを使用します。
トラブルシューティングとサポート
[トラブルシューティング]
Microsoft マルウェア対策拡張機能のログは、%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(または PaaSAntimalware)\1.5.5.x(バージョン #)\CommandExecution.log で入手できます
エラー コードとその意味
| エラー コード | 意味 | 可能なアクション |
|---|---|---|
| -2147156224 | MSI が別のインストールでビジー状態です | 後でインストールを実行してみてください |
| -2147156221 | MSE セットアップが既に実行されています | 一度に 1 つインスタンスのみを実行してください |
| -2147156208 | ディスク領域不足 (200 MB 未満) | 使用されていないファイルを削除し、インストールを再試行してください |
| -2147156187 | 前回のインストール、アップグレード、更新、またはアンインストールによって再起動が要求されました | 再起動して、インストールを再試行してください |
| -2147156121 | セットアップで競合他社製品の削除が試みられました。 しかし、競合他社製品のアンインストールが失敗しました | 競合他社製品を手動で削除し、再起動してから、インストールを再試行してみてください |
| -2147156116 | ポリシー ファイルの検証に失敗しました | 必ずセットアップに有効なポリシー XML ファイルを渡してください |
| -2147156095 | セットアップでマルウェア対策サービスを開始できませんでした | すべてのバイナリが正しく署名されていて、適切なライセンス ファイルがインストールされていることを確認してください |
| -2147023293 | インストール中に致命的なエラーが発生しました。 これはほとんどの場合に発生します。 Epp.msi で、AM サービスまたはミニ フィルタ ドライバーを登録、開始、停止できません | 今後の調査のために、ここで EPP.msi からの MSI ログが必要です |
| -2147023277 | インストール パッケージを開くことができませんでした | パッケージが存在していて、アクセス可能であることを確認してください。または、アプリケーション ベンダーに問い合わせて、この Windows インストーラー パッケージが有効かどうかを確認してください |
| -2147156109 | Windows Defender は前提条件として必須です | |
| -2147205073 | Websso 発行者がサポートされていません | |
| -2147024893 | 指定されたパスが見つかりません | |
| -2146885619 | 暗号メッセージではないか、暗号メッセージの形式が正しくありません | |
| -1073741819 | 0x %p にある命令が 0x%p にあるメモリを参照していました。 メモリを %s にすることができませんでした | |
| 1 | 関数が正しくありません |
サポート
この記事についてさらに支援が必要な場合は、Azure と Stack Overflow のフォーラムで Azure エキスパートに問い合わせることができます。 または、Azure サポート インシデントを送信できます。 Azure サポートのサイトに移動して、[サポートの要求] をクリックしてください。 Azure サポートの使用方法の詳細については、「 Microsoft Azure サポートに関する FAQ」を参照してください。