SHAREPoint Server との AMSI 統合を構成する
適用対象:
2013 
2016 2019 Subscription Edition SharePoint in Microsoft 365
概要
サイバーセキュリティの状況は、大規模で複雑な攻撃によって証明され、 人間が操作するランサムウェア が増加していることを示すように、根本的に変化しています。 これまで以上に、SharePoint サーバーを含め、オンプレミスのインフラストラクチャをセキュリティで保護し、最新の状態に保つことが重要です。
お客様が環境をセキュリティで保護し、攻撃から関連する脅威に対応できるように、SharePoint Server と Windows マルウェア対策スキャン インターフェイス (AMSI) の統合を導入しています。 AMSIは、アプリケーションやサービスがコンピュータ上に存在するAMSI対応マルウェア対策製品と統合できるようにする汎用性の高い標準です。
AMSI 統合機能は、悪意のある Web 要求が SharePoint エンドポイントに到達するのを防ぐために設計されています。 たとえば、セキュリティの脆弱性の公式修正プログラムがインストールされる前に、SharePoint エンドポイントのセキュリティの脆弱性を悪用する場合などです。
AMSI と SharePoint Server の統合
AMSI 対応のウイルス対策またはマルウェア対策ソリューションが SharePoint Server と統合されている場合は、サーバーに対して行われた HTTP 要求と HTTPS 要求を調べ、SharePoint Server が危険な要求を処理できないようにすることができます。 サーバーにインストールされている AMSI 対応のウイルス対策プログラムまたはマルウェア対策プログラムは、サーバーが要求の処理を開始するとすぐにスキャンを実行します。
AMSI 統合の目的は、サーバーに既にインストールされている既存のウイルス対策/マルウェア対策防御を置き換えることではありません。これは、SharePoint エンドポイントに対して行われた悪意のある Web 要求からの保護の追加レイヤーを提供することです。 ユーザーがウイルスを含むファイルをアップロードまたはダウンロードできないようにするには、引き続き SharePoint 互換のウイルス対策ソリューションをサーバーに展開する必要があります。
前提条件
AMSI 統合を有効にする前に、各 SharePoint Server で次の前提条件を確認してください。
- Windows Server 2016 以降
- SharePoint Server サブスクリプション エディション バージョン 22H2 以降
- SharePoint Server 2019 ビルド 16.0.10396.20000 以降 (KB 5002358: SharePoint Server 2019 の 2023 年 3 月 14 日のセキュリティ更新プログラム)
- SharePoint Server 2016 ビルド 16.0.5391.1000 以降 (KB 5002385: SharePoint Server 2016 の 2023 年 4 月 11 日のセキュリティ更新プログラム)
- 1.1.18300.4 以降の AV エンジン バージョンを持つ Microsoft Defender (または、互換性のある AMSI 対応のサード パーティ製ウイルス対策/マルウェア対策プロバイダー)
SharePoint Server の AMSI をアクティブ化/非アクティブ化する
SharePoint Server 2016/2019 の 2023 年 9 月のセキュリティ更新プログラムと SharePoint Server サブスクリプション エディションのバージョン 23H2 機能更新プログラム以降、SharePoint Server 内のすべての Web アプリケーションで AMSI と SharePoint Server の統合が既定で有効になります。 この変更は、顧客環境の一般的なセキュリティを強化し、潜在的なセキュリティ侵害を軽減することを目的としています。 ただし、要件に基づいて、お客様は AMSI 統合機能を非アクティブ化するオプションを保持します。
2023 年 9 月のセキュリティ更新プログラムを開始するには、更新プログラムをインストールして SharePoint 製品構成ウィザードを実行するだけで済みます。
注:
お客様が 2023 年 9 月のパブリック更新プログラムのインストールをスキップした場合、この変更は、SharePoint Server 2016/2019 の 2023 年 9 月のセキュリティ更新プログラムまたは SharePoint Server サブスクリプション エディションのバージョン 23H2 機能更新プログラムを含む、後続のパブリック更新プログラムのインストール時にアクティブ化されます。
お客様が SharePoint Server ファーム内で AMSI 統合を自動的に有効にしたくない場合は、次の手順を実行できます。
- SharePoint Server 2016/2019 の 2023 年 9 月のセキュリティ更新プログラムまたは SharePoint Server サブスクリプション エディションのバージョン 23H2 機能更新プログラムをインストールします。
- SharePoint 製品構成ウィザードを実行します。
- 標準の手順に従って、Web アプリケーションで AMSI 統合機能を無効にします。
これらの手順に従うと、SharePoint は今後のパブリック更新プログラムのインストール中に機能を再度有効にしようとしません。
Web アプリケーションごとに AMSI 統合を手動で非アクティブ化/アクティブ化するには、次の手順を実行します。
- SharePoint サーバーの全体管理を開き、[アプリケーション管理] を選択します。
- [ Web アプリケーション] で、[ Web アプリケーションの管理] を選択します。
- AMSI 統合を有効にする Web アプリケーションを選択し、ツール バーの [機能の管理 ] を選択します。
- [SharePoint Server マルウェア対策スキャン] 画面で、[非アクティブ化] を選択して AMSI 統合をオフにするか、[アクティブ化] を選択して AMSI 統合をオンにします。
または、次の PowerShell コマンドを実行して、Web アプリケーションの AMSI 統合を非アクティブ化することもできます。
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
または、次の PowerShell コマンドを実行して、Web アプリケーションの AMSI 統合をアクティブ化します。
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
AMSI と SharePoint Server の統合をテストして確認する
マルウェア対策スキャン インターフェイス (AMSI) 機能をテストして、正しく動作していることを確認できます。 これには、Microsoft Defender がテスト目的であると認識する特別なテスト文字列を使用して SharePoint Server に要求を送信することが含まれます。 このテスト文字列は危険ではありませんが、Microsoft Defender は悪意のある要求に遭遇したときにどのように動作するかを確認できるように、悪意のあるものとして扱います。
SharePoint Server で AMSI 統合が有効になっていて、Microsoft Defender をマルウェア検出エンジンとして使用している場合、このテスト文字列が存在すると、要求は SharePoint によって処理されるのではなく、AMSI によってブロックされます。
テスト文字列は EICAR テスト ファイル に似ていますが、URL エンコードの混乱を避けるために若干異なります。
テスト文字列をクエリ文字列または要求の HTTP ヘッダーとして SharePoint Server に追加することで、AMSI 統合をテストできます。
クエリ文字列を使用して AMSI 統合をテストする
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
例: https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h* に要求を送信します。
HTTP ヘッダーを使用して AMSI 統合をテストする
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
たとえば、次のような要求を送信します。
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defender はこれを次の悪用として検出します。
Exploit:Script/SharePointEicar.A
注:
Microsoft Defender 以外のマルウェア検出エンジンを使用している場合は、マルウェア検出エンジンベンダーに確認して、SharePoint Server の AMSI 機能との統合をテストする最適な方法を判断する必要があります。
その他の参照
主要な AMSI ソリューションとして Microsoft Defender を使用した場合のパフォーマンスの影響
既定では、AMSI 対応ソリューションである Microsoft Defender ウイルス対策 (MDAV) は自動的に有効になり、Windows 10、Windows Server 2016 以降を実行しているエンドポイントとデバイスにインストールされます。 ウイルス対策/マルウェア対策アプリケーションをインストールしていない場合、SharePoint Server AMSI 統合は MDAV と連携します。 別のウイルス対策/マルウェア対策アプリケーションをインストールして有効にすると、MDAV は自動的にオフになります。 他のアプリをアンインストールすると、MDAV は自動的に有効になり、SharePoint Server 統合は MDAV と連携します。
SharePoint Server で MDAV を使用する利点は次のとおりです。
- MDAV は、悪意のあるコンテンツに一致する署名をフェッチします。 Microsoft がブロックできる悪用について学習した場合は、新しい MDAV 署名をデプロイして、SharePoint に影響を与える悪用をブロックできます。
- 既存のテクノロジを使用して悪意のあるコンテンツの署名を追加する。
- 署名を追加するために Microsoft のマルウェア調査チームの専門知識を使用する。
- MDAV が他の署名を追加するために既に適用されているベスト プラクティスを使用する。
AMSI スキャンでは CPU リソースが使用されるため、Web アプリケーションにパフォーマンスへの影響が発生する可能性があります。 MDAV でテストした場合、AMSI スキャンによるパフォーマンスへの明確な影響はなく、既存のドキュメントに記載されている SharePoint Server ウイルス対策の除外に対する変更もありません。 各ウイルス対策プロバイダーは、AMSI テクノロジを利用する独自の定義を開発します。 そのため、保護のレベルは、最新の脅威を検出するために特定のソリューションを更新できる速度によって変わりません。
コマンド ラインを使用した Microsoft Defender バージョン
注:
Microsoft Defender を使用している場合は、コマンド ラインを使用して、署名を最新バージョンで更新できます。
- 管理者として
Command Promptを起動します。 -
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>に移動します。 -
mpcmdrun.exe -SignatureUpdateを実行します。
次の手順では、現在のエンジンのバージョンを決定し、更新された定義を確認し、レポートします。
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>