Microsoft Antimalware-extensie voor Windows

Overzicht

Het moderne bedreigingslandschap voor cloudomgevingen is dynamisch, waardoor de druk op zakelijke IT-cloudabonnees wordt verhoogd om effectieve beveiliging te handhaven om te voldoen aan de nalevings- en beveiligingsvereisten. Microsoft Antimalware voor Azure is gratis, realtime-beveiliging. Microsoft Antimalware helpt virussen, spyware en andere schadelijke software te identificeren en te verwijderen, met configureerbare waarschuwingen wanneer bekende schadelijke of ongewenste software zichzelf probeert te installeren of uit te voeren op uw Azure-systemen. De oplossing is gebouwd op hetzelfde antimalwareplatform als Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune en Windows Defender voor Windows 8.0 en hoger. Microsoft Antimalware voor Azure is een oplossing met één agent voor toepassingen en tenantomgevingen die op de achtergrond kunnen worden uitgevoerd zonder menselijke tussenkomst. U kunt beveiliging implementeren op basis van de behoeften van uw toepassingsworkloads, met standaard beveiligde of geavanceerde aangepaste configuratie, waaronder bewaking van antimalware.

Vereisten

Besturingssysteem

De Microsoft Antimalware voor Azure-oplossing bevat de Microsoft Antimalware-client en -service, het klassieke antimalware-implementatiemodel, De PowerShell-cmdlets van Antimalware en de Azure Diagnostics-extensie. De Microsoft Antimalware-oplossing wordt ondersteund op Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2-besturingssysteemfamilies. Het wordt niet ondersteund op het besturingssysteem Windows Server 2008 en wordt ook niet ondersteund in Linux.

Windows Defender is de ingebouwde Antimalware ingeschakeld in Windows Server 2016. De Windows Defender-interface is ook standaard ingeschakeld voor sommige Windows Server 2016-SKU's. De Azure VM Antimalware-extensie kan nog steeds worden toegevoegd aan een Windows Server 2016 en hoger azure-VM met Windows Defender. In dit scenario past de extensie eventuele optionele configuratiebeleidsregels toe die door Windows Defender moeten worden gebruikt. De extensie implementeert geen andere antimalwareservice. Zie de sectie Voorbeelden van het Microsoft Antimalware-artikel voor meer informatie.

Verbinding met internet

Voor Microsoft Antimalware voor Windows is vereist dat de doel-VM is verbonden met internet voor het ontvangen van reguliere engine- en handtekeningupdates.

Sjabloonimplementatie

Azure VM-extensies kunnen worden geïmplementeerd met Azure Resource Manager-sjablonen. Sjablonen zijn ideaal bij het implementeren van een of meer virtuele machines waarvoor configuratie na de implementatie is vereist, zoals onboarding naar Azure Antimalware.

De JSON-configuratie voor een virtuele-machineextensie kan worden genest in de virtuele-machineresource of op het hoogste niveau van een Resource Manager JSON-sjabloon worden geplaatst. De plaatsing van de JSON-configuratie is van invloed op de waarde van de resourcenaam en het type. Zie Naam en type instellen voor onderliggende resources voor meer informatie.

In het volgende voorbeeld wordt ervan uitgegaan dat de VM-extensie is genest in de virtuele-machineresource. Bij het nesten van de extensieresource wordt de JSON in het "resources": [] object van de virtuele machine geplaatst.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

U moet minimaal de volgende inhoud opnemen om de Microsoft Antimalware-extensie in te schakelen:

{ "AntimalwareEnabled": true }

Voorbeeld van JSON-configuratie van Microsoft Antimalware:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

• vereiste parameter

• Waarden: waar/onwaar

  • true = Inschakelen
  • false = Error out, omdat false geen ondersteunde waarde is

RealtimeProtectionEnabled

• Waarden: waar/onwaar, de standaardwaarde is waar

  • true = Inschakelen
  • false = Uitschakelen

ScheduledScanSettings

• isEnabled = true/false

• day = 0-8 (0-dagelijks, 1-zondag, 2-maandag, ...., 7-zaterdag, 8-Uitgeschakeld)

• time = 0-1440 (gemeten in minuten na middernacht - 60-1AM>, 120 -> 2AM, ... )

• scanType = Quick/Full, de standaardwaarde is Snel

• Als isEnabled = true is de enige opgegeven instelling, worden de volgende standaardwaarden ingesteld: day=7 (zaterdag), time=120 (2:00), scanType="Quick"

Uitsluitingen

• Meerdere uitsluitingen in dezelfde lijst worden opgegeven met puntkommascheidingstekens
• Als er geen uitsluitingen zijn opgegeven, worden de bestaande uitsluitingen, indien aanwezig, overschreven door leeg op het systeem

PowerShell-implementatie

Afhankelijk van uw type implementatie, gebruikt u de bijbehorende opdrachten om de azure Antimalware-extensie voor virtuele machines te implementeren op een bestaande virtuele machine.

• Virtuele machine op basis van Azure Resource Manager

• Azure Service Fabric-clusters

• Servers met Azure Arc

Problemen met en ondersteuning oplossen

Problemen oplossen

Logboeken voor de Microsoft Antimalware-extensie zijn te vinden in: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware (of PaaSAntimalware)\1.5.5.x(versienummer)\CommandExecution.log

Foutcodes en hun betekenissen

Foutcode	Betekenis	Mogelijke actie
-2147156224	MSI is bezig met een andere installatie	Probeer de installatie later uit te voeren
-2147156221	MSE-installatie wordt al uitgevoerd	Slechts één exemplaar tegelijk uitvoeren
-2147156208	Weinig schijfruimte < 200 MB	Ongebruikte bestanden verwijderen en de installatie opnieuw uitvoeren
-2147156187	Laatste installatie, upgrade, update of verwijdering aangevraagde herstart	Start opnieuw op en probeer de installatie opnieuw uit te voeren
-2147156121	Setup heeft geprobeerd het concurrentproduct te verwijderen. Maar het verwijderen van concurrent-producten is mislukt	Probeer het concurrentproduct handmatig te verwijderen, opnieuw op te starten en de installatie opnieuw uit te voeren
-2147156116	Validatie van beleidsbestand is mislukt	Zorg ervoor dat u een geldig XML-beleidsbestand doorgeeft om het in te stellen
-2147156095	De Antimalware-service kan niet worden gestart	Controleer of alle binaire bestanden correct zijn ondertekend en of het juiste licentiebestand is geïnstalleerd
-2147023293	Er is een fatale fout opgetreden tijdens de installatie. In de meeste gevallen wel. Epp.msi kan de AM-service of het minifilterstuurprogramma niet registreren\starten\stoppen	MSI-logboeken van EPP.msi zijn hier vereist voor toekomstig onderzoek
-2147023277	Het installatiepakket kan niet worden geopend	Controleer of het pakket bestaat en toegankelijk is of neem contact op met de leverancier van de toepassing om te controleren of dit een geldig Windows Installer-pakket is
-2147156109	Windows Defender is vereist als vereiste
-2147205073	De verlener van websso wordt niet ondersteund
-2147024893	Het opgegeven pad kan niet worden gevonden
-2146885619	Geen cryptografisch bericht of het cryptografische bericht is niet correct opgemaakt
-1073741819	De instructie bij 0x%p waarnaar wordt verwezen geheugen bij 0x%p. Het geheugen kan %s niet zijn
1	Onjuiste functie

Ondersteuning

Als u op elk gewenst moment in dit artikel meer hulp nodig hebt, kunt u contact opnemen met de Azure-experts op de Azure- en Stack Overflow-forums. U kunt ook een ondersteuning voor Azure incident indienen. Ga naar de ondersteuning voor Azure-site en selecteer Ondersteuning krijgen. Lees de veelgestelde vragen over microsoft ondersteuning voor Azure voor informatie over het gebruik van Azure-ondersteuning.