Delen via

Microsoft Defender voor Eindpunt op Windows Server met SAP

  • Artikel

Van toepassing op:

Als uw organisatie GEBRUIKMAAKT van SAP, is het essentieel om inzicht te krijgen in de compatibiliteit en ondersteuning tussen antivirus en EDR in Microsoft Defender for Endpoint en uw SAP-toepassingen. Dit artikel helpt u inzicht te krijgen in de ondersteuning van SAP voor eindpuntbeveiligingsoplossingen, zoals Defender voor Eindpunt, en hoe deze werken met SAP-toepassingen.

In dit artikel wordt beschreven hoe u Microsoft Defender voor Eindpunt op Windows Server gebruikt naast SAP-toepassingen, zoals NetWeaver en S4 Hana, en zelfstandige SAP-engines, zoals LiveCache. In dit artikel richten we ons op antivirus- en EDR-mogelijkheden in Defender for Endpoint. Zie Microsoft Defender voor Eindpunt voor een overzicht van alle mogelijkheden van Defender voor Eindpunt.

Dit artikel heeft geen betrekking op SAP-clientsoftware, zoals SAPGUI of Microsoft Defender Antivirus op Windows-clientapparaten.

Bedrijfsbeveiliging en uw SAP Basis-team

Ondernemingsbeveiliging is een gespecialiseerde rol en de activiteiten die in dit artikel worden beschreven, moeten worden gepland als een gezamenlijke activiteit tussen uw beveiligingsteam en het SAP-basisteam. Het beveiligingsteam van het bedrijf moet coördineren met het SAP-basisteam, de configuratie van Defender voor Eindpunt ontwerpen en eventuele uitsluitingen analyseren.

Een overzicht van Defender voor Eindpunt

Defender voor Eindpunt is een onderdeel van Microsoft Defender XDR en kan worden geïntegreerd met uw SIEM/SOAR-oplossing.

Voordat u Begint met het plannen of implementeren van Defender voor Eindpunt op Windows Server met SAP, neemt u even de tijd om een overzicht van Defender voor Eindpunt te krijgen. De volgende video biedt een overzicht:

Zie de volgende bronnen voor meer gedetailleerde informatie over defender voor eindpunt- en Microsoft-beveiligingsaanbiedingen:

Defender voor Eindpunt bevat mogelijkheden die buiten het bereik van dit artikel vallen. In dit artikel richten we ons op twee hoofdgebieden:

  • Beveiliging van de volgende generatie (inclusief antivirusbeveiliging). Beveiliging van de volgende generatie is een antivirusproduct zoals andere antivirusoplossingen voor Windows-omgevingen.
  • Eindpuntdetectie en -respons (EDR). EDR-mogelijkheden detecteren verdachte activiteiten en systeemaanroepen en bieden een extra beveiligingslaag tegen bedreigingen die antivirusbeveiliging hebben overgeslagen.

Microsoft en andere leveranciers van beveiligingssoftware houden bedreigingen bij en verstrekken trendinformatie. Zie Cyberdreigingen, virussen en malware - Microsoft Security Intelligence voor meer informatie.

Opmerking

Zie Implementatierichtlijnen voor Microsoft Defender voor Eindpunt op Linux voor SAP voor meer informatie over Microsoft Defender voor SAP voor Linux. Defender voor Eindpunt op Linux verschilt aanzienlijk van de Windows-versie.

SAP-ondersteuningsverklaring over Defender voor Eindpunt en andere beveiligingsoplossingen

SAP biedt basisdocumentatie voor conventionele antivirusoplossingen voor bestandsscans. Conventionele antivirusoplossingen voor bestandsscans vergelijken bestandshandtekeningen met een database met bekende bedreigingen. Wanneer een geïnfecteerd bestand wordt geïdentificeerd, waarschuwt de antivirussoftware het bestand meestal en plaatst het het in quarantaine. De mechanismen en het gedrag van antivirusoplossingen voor bestandsscans zijn redelijk bekend en voorspelbaar; SAP-ondersteuning kan daarom een basisniveau van ondersteuning bieden voor SAP-toepassingen die communiceren met antivirussoftware voor bestandsscans.

Bedreigingen op basis van bestanden zijn nu slechts één mogelijke vector voor schadelijke software. Bestandsloze malware en malware die van het land leeft, zeer polymorfe bedreigingen die sneller muteren dan traditionele oplossingen kunnen bijhouden, en door mensen uitgevoerde aanvallen die zich aanpassen aan wat kwaadwillenden vinden op gecompromitteerde apparaten. Traditionele antivirusbeveiligingsoplossingen zijn niet voldoende om dergelijke aanvallen te stoppen. Door kunstmatige intelligentie (AI) en ml (device learning) ondersteunde mogelijkheden, zoals gedragsblokkering en insluiting, zijn vereist. Beveiligingssoftware zoals Defender voor Eindpunt heeft geavanceerde functies voor bedreigingsbeveiliging om moderne bedreigingen te beperken.

Defender voor Eindpunt bewaakt continu aanroepen van het besturingssysteem, zoals het lezen van bestanden, het schrijven van bestanden, het maken van sockets en andere bewerkingen op procesniveau. De Defender for Endpoint EDR-sensor verkrijgt opportunistische vergrendelingen op lokale NTFS-bestandssystemen en is daarom niet van invloed op toepassingen. Opportunistische vergrendelingen zijn niet mogelijk op externe netwerkbestandssystemen. In zeldzame gevallen kan een vergrendeling algemene niet-specifieke fouten veroorzaken, zoals Toegang geweigerd in SAP-toepassingen.

SAP kan geen ondersteuningsniveau bieden voor EDR-/XDR-software, zoals Microsoft Defender XDR of Defender for Endpoint. De mechanismen in dergelijke oplossingen zijn adaptief; daarom zijn ze niet voorspelbaar. Verder zijn problemen mogelijk niet reproduceerbaar. Wanneer er problemen worden geïdentificeerd op systemen waarop geavanceerde beveiligingsoplossingen worden uitgevoerd, raadt SAP aan de beveiligingssoftware uit te schakelen en vervolgens te proberen het probleem te reproduceren. Vervolgens kan er een ondersteuningsaanvraag worden gemeld bij de leverancier van de beveiligingssoftware.

Zie voor meer informatie over het SAP-ondersteuningsbeleid 3356389: antivirus- of andere beveiligingssoftware die van invloed is op SAP-bewerkingen.

Hier volgt een lijst met SAP-artikelen die u indien nodig kunt gebruiken:

SAP-toepassingen op Windows Server: top 10 aanbevelingen

  1. Beperk de toegang tot SAP-servers, blokkeer netwerkpoorten en neem alle andere algemene beveiligingsmaatregelen. Deze eerste stap is essentieel. Het bedreigingslandschap is geëvolueerd van virussen op basis van bestanden tot complexe en geavanceerde bedreigingen die geen bestanden bevatten. Acties, zoals het blokkeren van poorten en het beperken van aanmelding/toegang tot VM's, worden niet langer als voldoende beschouwd om moderne bedreigingen volledig te beperken.

  2. Implementeer Defender voor Eindpunt eerst in niet-productieve systemen voordat u deze implementeert in productiesystemen. Het rechtstreeks implementeren van Defender voor Eindpunt in productiesystemen zonder te testen is zeer riskant en kan leiden tot downtime. Als u de implementatie van Defender voor Eindpunt in uw productiesystemen niet kunt vertragen, kunt u overwegen om manipulatiebeveiliging en realtimebeveiliging tijdelijk uit te schakelen.

  3. Houd er rekening mee dat realtime-beveiliging standaard is ingeschakeld in Windows Server. Als er problemen worden vastgesteld die mogelijk te maken hebben met Defender voor Eindpunt, is het raadzaam om uitsluitingen te configureren en/of een ondersteuningsaanvraag te openen via de Microsoft Defender-portal.

  4. Laat het SAP Basis-team en uw beveiligingsteam samenwerken aan de implementatie van Defender voor Eindpunt. De twee teams moeten gezamenlijk een gefaseerd implementatie-, test- en bewakingsplan maken.

  5. Gebruik hulpprogramma's zoals PerfMon (Windows) om een prestatiebasislijn te maken voordat u Defender voor Eindpunt implementeert en activeert. Vergelijk het prestatiegebruik voor en na het activeren van Defender voor Eindpunt. Zie perfmon.

  6. Implementeer de nieuwste versie van Defender voor Eindpunt en gebruik de nieuwste versies van Windows, idealiter Windows Server 2019 of hoger. Zie Minimumvereisten voor Microsoft Defender voor Eindpunt.

  7. Configureer bepaalde uitsluitingen voor Microsoft Defender Antivirus. Deze omvatten:

    • DBMS-gegevensbestanden, logboekbestanden en tijdelijke bestanden, inclusief schijven met back-upbestanden
    • De volledige inhoud van de SAPMNT-map
    • De volledige inhoud van de SAPLOC-map
    • De volledige inhoud van de TRANS-map
    • De volledige inhoud van mappen voor zelfstandige engines zoals TREX

    Geavanceerde gebruikers kunnen overwegen om contextuele uitsluitingen voor bestanden en mappen te gebruiken.

    Gebruik de volgende resources voor meer informatie over DBMS-uitsluitingen:

  8. Controleer de instellingen van Defender voor Eindpunt. Microsoft Defender Antivirus met SAP-toepassingen moet in de meeste gevallen de volgende instellingen hebben:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. Gebruik hulpprogramma's, zoals Beheer van beveiligingsinstellingen voor Intune of Defender voor Eindpunt om Defender voor Eindpunt in te stellen. Dergelijke hulpprogramma's kunnen ervoor zorgen dat Defender voor Eindpunt correct en uniform wordt geïmplementeerd.

    Als u het beheer van beveiligingsinstellingen van Defender voor Eindpunten wilt gebruiken, gaat u in de Microsoft Defender-portal naar Eindpunten>Configuratiebeheer>Eindpuntbeveiligingsbeleid en selecteert u vervolgens Nieuw beleid maken. Zie Eindpuntbeveiligingsbeleid beheren in Microsoft Defender voor Eindpunt voor meer informatie.

  10. Gebruik de nieuwste versie van Defender voor Eindpunt. Er worden verschillende nieuwe functies geïmplementeerd in Defender voor Eindpunt in Windows en deze functies zijn getest met SAP-systemen. Deze nieuwe functies verminderen blokkeringen en verlagen het CPU-verbruik. Zie Wat is er nieuw in Microsoft Defender voor Eindpunt voor meer informatie over nieuwe functies.

Implementatiemethodologie

SAP en Microsoft raden beide niet aan Defender voor Eindpunt in Windows rechtstreeks te implementeren op alle ontwikkel-, QAS- en productiesystemen tegelijk, en/of zonder zorgvuldige tests en bewaking. Klanten die Defender voor Eindpunt en andere vergelijkbare software op een onbeheerde manier hebben geïmplementeerd zonder adequate tests, hebben te maken gehad met downtime van het systeem.

Defender voor Eindpunt in Windows en elke andere software- of configuratiewijziging moeten eerst worden geïmplementeerd in ontwikkelsystemen, worden gevalideerd in QAS en vervolgens pas in productieomgevingen worden geïmplementeerd.

Het gebruik van hulpprogramma's, zoals het beheer van beveiligingsinstellingen voor Defender voor Eindpunt om Defender voor Eindpunt te implementeren in een volledig SAP-landschap zonder tests, leidt waarschijnlijk tot downtime.

Hier volgt een lijst met wat u moet controleren:

  1. Implementeer Defender voor Eindpunt met manipulatiebeveiliging ingeschakeld. Als er problemen optreden, schakelt u de probleemoplossingsmodus in, schakelt u manipulatiebeveiliging uit, schakelt u realtimebeveiliging uit en configureert u geplande scans.

  2. Sluit DBMS-bestanden en uitvoerbare bestanden uit op basis van de aanbevelingen van uw DBMS-leverancier.

  3. SAPMNT-, SAP TRANS_DIR-, Spool- en Taaklogboekmappen analyseren. Als er meer dan 100.000 bestanden zijn, kunt u archiveren om het aantal bestanden te verminderen.

  4. Controleer de prestatielimieten en quota van het gedeelde bestandssysteem dat wordt gebruikt voor SAPMNT. De SMB-sharebron kan een NetApp-apparaat, een gedeelde Windows Server-schijf of Azure Files SMB zijn.

  5. Configureer uitsluitingen zodat niet alle SAP-toepassingsservers de SAPMNT-share tegelijkertijd scannen, omdat uw gedeelde opslagserver hierdoor kan worden overbelast.

  6. Over het algemeen hosten interfacebestanden op een toegewezen niet-SAP-bestandsserver. Interfacebestanden worden herkend als een aanvalsvector. Realtime-beveiliging moet worden geactiveerd op deze toegewezen bestandsserver. SAP-servers mogen nooit worden gebruikt als bestandsservers voor interfacebestanden.

    Opmerking

    Sommige grote SAP-systemen hebben meer dan 20 SAP-toepassingsservers met elk een verbinding met dezelfde SAPMNT SMB-share. 20 toepassingsservers die tegelijkertijd dezelfde SMB-server scannen, kunnen de SMB-server overbelasten. Het wordt aanbevolen om SAPMNT uit te sluiten van regelmatige scans.

Belangrijke configuratie-instellingen voor Defender voor Eindpunt in Windows Server met SAP

  1. Bekijk een overzicht van Microsoft Defender voor Eindpunt. Bekijk met name informatie over beveiliging van de volgende generatie en EDR.

    Opmerking

    De term Defender wordt soms gebruikt om te verwijzen naar een hele reeks producten en oplossingen. Zie Wat is Microsoft Defender XDR? In dit artikel richten we ons op antivirus- en EDR-mogelijkheden in Defender for Endpoint.

  2. Controleer de status van Microsoft Defender Antivirus. Open de opdrachtprompt en voer de volgende PowerShell-opdrachten uit:

    Get-MpComputerStatus, als volgt:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Verwachte uitvoer voor Get-MpComputerStatus:

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference, als volgt:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Verwachte uitvoer voor Get-MpPreference:

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Controleer de status van EDR. Open de opdrachtprompt en voer de volgende opdracht uit:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    U ziet uitvoer die lijkt op het volgende codefragment:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    De waarden die u wilt zien, zijn Status: Running en StartType: Automatic.

    Zie Gebeurtenissen en fouten controleren met logboeken voor meer informatie over de uitvoer.

  4. Zorg ervoor dat Microsoft Defender Antivirus up-to-date is. De beste manier om ervoor te zorgen dat uw antivirusbeveiliging up-to-date is, is met behulp van Windows Update. Als u problemen ondervindt of een fout krijgt, neemt u contact op met uw beveiligingsteam.

    Zie Beveiligingsinformatie en productupdates van Microsoft Defender Antivirus voor meer informatie over updates.

  5. Zorg ervoor dat gedragscontrole is ingeschakeld. Wanneer manipulatiebeveiliging is ingeschakeld, is gedragscontrole standaard ingeschakeld. Gebruik de standaardconfiguratie van manipulatiebeveiliging ingeschakeld, gedragscontrole ingeschakeld en realtime-bewaking ingeschakeld, tenzij een specifiek probleem wordt geïdentificeerd.

    Zie Ingebouwde beveiliging beschermt tegen ransomware voor meer informatie.

  6. Zorg ervoor dat realtime-beveiliging is ingeschakeld. De huidige aanbeveling voor Defender voor Eindpunt in Windows is om realtime scannen in te schakelen, waarbij manipulatiebeveiliging is ingeschakeld, gedragscontrole is ingeschakeld en realtime-bewaking is ingeschakeld, tenzij een specifiek probleem wordt geïdentificeerd.

    Zie Ingebouwde beveiliging beschermt tegen ransomware voor meer informatie.

  7. Houd er rekening mee hoe scans werken met netwerkshares. Standaard scant het onderdeel Microsoft Defender Antivirus in Windows gedeelde SMB-netwerkbestandssystemen (bijvoorbeeld een Windows-servershare \\server\smb-share of een NetApp-share) wanneer deze bestanden worden geopend via processen.

    Defender voor Eindpunt EDR in Windows scant mogelijk gedeelde SMB-netwerkbestandssystemen. De EDR-sensor scant bepaalde bestanden die zijn geïdentificeerd als interessant voor EDR-analyse tijdens bewerkingen voor het wijzigen, verwijderen en verplaatsen van bestanden.

    Defender voor Eindpunt op Linux scant geen NFS-bestandssystemen tijdens geplande scans.

  8. Problemen met de gezondheid of betrouwbaarheid van uw gevoel oplossen. Gebruik het hulpprogramma Defender for Endpoint Client Analyzer om dergelijke problemen op te lossen. De Defender for Endpoint Client Analyzer kan handig zijn bij het diagnosticeren van problemen met de status of betrouwbaarheid van de sensor op onboardingsapparaten met Windows, Linux of macOS. Download hier de nieuwste versie van Defender for Endpoint Client Analyzer: https://aka.ms/MDEAnalyzer.

  9. Open een ondersteuningsaanvraag als u hulp nodig hebt. Zie Contact opnemen met microsoft Defender voor Eindpunt-ondersteuning.

  10. Als u productie-SAP-VM's gebruikt met Microsoft Defender for Cloud, moet u er rekening mee houden dat Defender voor Cloud de Defender for Endpoint-extensie implementeert op alle VM's. Als een virtuele machine niet is onboarded naar Defender for Endpoint, kan deze worden gebruikt als een aanvalsvector. Als u meer tijd nodig hebt om Defender voor Eindpunt te testen voordat u naar uw productieomgeving gaat, neemt u contact op met de ondersteuning.

Nuttige opdrachten: Microsoft Defender voor Eindpunt met SAP op Windows Server

In de volgende secties wordt beschreven hoe u defender voor eindpuntinstellingen kunt bevestigen of configureren met behulp van PowerShell en de opdrachtprompt:

Microsoft Defender Antivirus-definities handmatig bijwerken

Gebruik Windows Update of voer de volgende opdracht uit:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

U ziet een uitvoer die lijkt op het volgende codefragment:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Een andere optie is om deze opdracht te gebruiken:

PS C:\Program Files\Windows Defender> Update-MpSignature

Zie de volgende resources voor meer informatie over deze opdrachten:

Bepalen of EDR in de blokmodus is ingeschakeld

EDR in de blokmodus biedt extra bescherming tegen schadelijke artefacten wanneer Microsoft Defender Antivirus niet het primaire antivirusproduct is en in de passieve modus wordt uitgevoerd. U kunt bepalen of EDR in de blokmodus is ingeschakeld door de volgende opdracht uit te voeren:

Get-MPComputerStatus|select AMRunningMode

Er zijn twee modi: Normale en Passieve modus. Testen met SAP-systemen is alleen uitgevoerd met AMRunningMode = Normal voor SAP-systemen.

Zie Get-MpComputerStatus voor meer informatie over deze opdracht.

Antivirusuitsluitingen configureren

Voordat u uitsluitingen configureert, moet u ervoor zorgen dat het SAP-basisteam coördineert met uw beveiligingsteam. Uitsluitingen moeten centraal worden geconfigureerd en niet op VM-niveau. Uitsluitingen zoals het gedeelde SAPMNT-bestandssysteem moeten worden uitgesloten via een beleid met behulp van de Intune-beheerportal.

Gebruik de volgende opdracht om uitsluitingen weer te geven:

Get-MpPreference | Select-Object -Property ExclusionPath

Zie Get-MpComputerStatus voor meer informatie over deze opdracht.

Zie de volgende bronnen voor meer informatie over uitsluitingen:

EDR-uitsluitingen configureren

Het wordt niet aanbevolen om bestanden, paden of processen uit te sluiten van EDR, omdat dergelijke uitsluitingen de bescherming tegen moderne bedreigingen zonder bestand vormen. Open zo nodig een ondersteuningsaanvraag bij Microsoft Ondersteuning via de Microsoft Defender-portal waarin uitvoerbare bestanden en/of paden worden opgegeven die moeten worden uitgesloten. Zie Contact opnemen met microsoft Defender voor Eindpunt-ondersteuning.

Defender voor Eindpunt in Windows volledig uitschakelen voor testdoeleinden

Voorzichtigheid

Het wordt niet aanbevolen om beveiligingssoftware uit te schakelen, tenzij er geen alternatief is om een probleem op te lossen of te isoleren.

Defender voor Eindpunt moet worden geconfigureerd met manipulatiebeveiliging ingeschakeld. Als u Defender voor Eindpunt tijdelijk wilt uitschakelen om problemen te isoleren, gebruikt u de probleemoplossingsmodus.

Voer de volgende opdrachten uit om verschillende subonderdelen van de Microsoft Defender Antivirus-oplossing af te sluiten:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Zie Set-MpPreference voor meer informatie over deze opdrachten.

Belangrijk

U kunt EDR-subonderdelen niet uitschakelen op een apparaat. De enige manier om EDR uit te schakelen, is door het apparaat te offboarden.

Voer de volgende opdrachten uit om cloudbeveiliging (Microsoft Advanced Protection Service of MAPS) uit te schakelen:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Zie de volgende resources voor meer informatie over cloudbeveiliging: