Rozszerzenie Microsoft Antimalware dla systemu Windows

Omówienie

Nowoczesny krajobraz zagrożeń dla środowisk w chmurze jest dynamiczny, co zwiększa presję na subskrybentów chmury IT firmy w celu zapewnienia skutecznej ochrony w celu spełnienia wymagań dotyczących zgodności i zabezpieczeń. Microsoft Antimalware dla platformy Azure to bezpłatna funkcja ochrony w czasie rzeczywistym. Microsoft Antimalware pomaga identyfikować i usuwać wirusy, programy szpiegujące i inne złośliwe oprogramowanie z konfigurowalnymi alertami, gdy znane złośliwe lub niechciane oprogramowanie próbuje zainstalować się lub uruchomić w systemach platformy Azure. Rozwiązanie jest oparte na tej samej platformie ochrony przed złośliwym oprogramowaniem co Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune i Windows Defender dla Windows 8.0 i nowszych. Microsoft Antimalware dla platformy Azure to rozwiązanie z jednym agentem dla aplikacji i środowisk dzierżawy przeznaczone do uruchamiania w tle bez interwencji człowieka. Ochronę można wdrożyć na podstawie potrzeb obciążeń aplikacji z podstawową domyślnie lub zaawansowaną konfiguracją niestandardową, w tym monitorowaniem oprogramowania chroniącego przed złośliwym kodem.

Wymagania wstępne

System operacyjny

Microsoft Antimalware dla rozwiązania platformy Azure obejmuje klienta Microsoft Antimalware i usługę, klasyczny model wdrażania oprogramowania chroniącego przed złośliwym kodem, polecenia cmdlet programu PowerShell chroniące przed złośliwym kodem i rozszerzenie Diagnostyka Azure. Rozwiązanie Microsoft Antimalware jest obsługiwane w systemach Operacyjnych Windows Server 2008 R2, Windows Server 2012 i Windows Server 2012 R2. Nie jest obsługiwany w systemie operacyjnym Windows Server 2008, a także nie jest obsługiwany w systemie Linux.

Windows Defender jest wbudowanym oprogramowaniem chroniącym przed złośliwym kodem w Windows Server 2016. Interfejs Windows Defender jest również domyślnie włączony w niektórych jednostkach SKU Windows Server 2016. Rozszerzenie azure VM Antimalware można nadal dodawać do Windows Server 2016 i nowszej maszyny wirtualnej platformy Azure z Windows Defender. W tym scenariuszu rozszerzenie stosuje wszelkie opcjonalne zasady konfiguracji, które mają być używane przez Windows Defender. Rozszerzenie nie wdraża żadnej innej usługi ochrony przed złośliwym kodem. Aby uzyskać więcej informacji, zobacz sekcję Przykłady artykułu Microsoft Antimalware.

Łączność z Internetem

Microsoft Antimalware dla systemu Windows wymaga, aby docelowa maszyna wirtualna łączyła się z Internetem w celu otrzymywania regularnych aktualizacji aparatu i sygnatur.

Wdrażanie na podstawie szablonu

Rozszerzenia maszyn wirtualnych platformy Azure można wdrażać za pomocą szablonów usługi Azure Resource Manager. Szablony są idealne podczas wdrażania co najmniej jednej maszyny wirtualnej wymagającej konfiguracji po wdrożeniu, takiej jak dołączanie do usługi Azure Antimalware.

Konfigurację JSON rozszerzenia maszyny wirtualnej można zagnieżdżać wewnątrz zasobu maszyny wirtualnej lub umieścić na poziomie głównym lub najwyższym szablonu JSON Resource Manager. Umieszczanie konfiguracji JSON wpływa na wartość nazwy i typu zasobu. Aby uzyskać więcej informacji, zobacz Ustawianie nazwy i typu dla zasobów podrzędnych.

W poniższym przykładzie przyjęto założenie, że rozszerzenie maszyny wirtualnej jest zagnieżdżone wewnątrz zasobu maszyny wirtualnej. Podczas zagnieżdżania zasobu rozszerzenia kod JSON jest umieszczany w "resources": [] obiekcie maszyny wirtualnej.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Aby włączyć rozszerzenie Microsoft Antimalware, należy uwzględnić co najmniej następującą zawartość:

{ "AntimalwareEnabled": true }

Microsoft Antimalware przykład konfiguracji JSON:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

Oprogramowanie chroniące przed złośliwym kodemEnabled

• parametr wymagany

• Wartości: prawda/fałsz

  • true = Włącz
  • false = Błąd, ponieważ wartość false nie jest obsługiwaną wartością

RealtimeProtectionEnabled

• Wartości: true/false, wartość domyślna to true

  • true = Włącz
  • false = Wyłącz

ScheduledScanSettings

• isEnabled = true/false

• dzień = 0-8 (0-codziennie, 1-niedziela, 2-poniedziałek, ..., 7-sobota, 8-wyłączone)

• czas = 0-1440 (mierzony w minutach po północy - 60-1>:00, 120 -> 2:00, ... )

• scanType = Szybki/pełny, wartość domyślna to Szybkie

• Jeśli isEnabled = true jest jedynym podanym ustawieniem, następujące wartości domyślne są ustawione: day=7 (sobota), time=120 (2 AM), scanType="Quick"

Wykluczenia

• Wiele wykluczeń na tej samej liście jest określonych przy użyciu ograniczników średników
• Jeśli nie określono żadnych wykluczeń, istniejące wykluczenia, jeśli istnieją, są zastępowane przez puste w systemie

Wdrażanie przy użyciu programu PowerShell

Zależy od typu wdrożenia, użyj odpowiednich poleceń, aby wdrożyć rozszerzenie maszyny wirtualnej usługi Azure Antimalware na istniejącej maszynie wirtualnej.

• Maszyna wirtualna oparta na usłudze Azure Resource Manager

• Klastry usługi Azure Service Fabric

• Serwery z obsługą usługi Azure Arc

Rozwiązywanie problemów i pomoc techniczna

Rozwiązywanie problemów

Dzienniki rozszerzenia Microsoft Antimalware są dostępne w ścieżce — %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Kody błędów i ich znaczenie

Kod błędu	Znaczenie	Możliwe działanie
-2147156224	Tożsamość usługi zarządzanej jest zajęta przez inną instalację	Spróbuj uruchomić instalację później
-2147156221	Konfiguracja środowiska MSE jest już uruchomiona	Uruchamianie tylko jednego wystąpienia naraz
-2147156208	Mała ilość miejsca < na dysku 200 MB	Usuń nieużywane pliki i ponów próbę instalacji
-2147156187	Ostatnia instalacja, uaktualnienie, aktualizacja lub odinstalowanie zażądano ponownego uruchomienia	Uruchom ponownie i ponów próbę instalacji
-2147156121	Instalator próbował usunąć produkt konkurenta. Ale odinstalowanie produktu konkurenta nie powiodło się	Spróbuj usunąć produkt konkurenta ręcznie, ponownie uruchomić i ponowić próbę instalacji
-2147156116	Sprawdzanie poprawności pliku zasad nie powiodło się	Upewnij się, że przekazano prawidłowy plik XML zasad w celu skonfigurowania
-2147156095	Instalator nie może uruchomić usługi ochrony przed złośliwym kodem	Sprawdź, czy wszystkie pliki binarne są poprawnie podpisane i czy zainstalowano odpowiedni plik licencjonowania
-2147023293	Podczas instalacji wystąpił błąd krytyczny. W większości przypadków będzie to możliwe. Epp.msi, nie można zarejestrować\start\stop usługi AM lub mini sterownika filtru	Dzienniki msi z EPP.msi są wymagane w tym miejscu do przyszłego badania
-2147023277	Nie można otworzyć pakietu instalacyjnego	Sprawdź, czy pakiet istnieje i jest dostępny, lub skontaktuj się z dostawcą aplikacji, aby sprawdzić, czy jest to prawidłowy pakiet Instalatora Windows
-2147156109	Windows Defender jest wymagane jako wymaganie wstępne
-2147205073	Wystawca logowania jednokrotnego w sieci Web nie jest obsługiwany
-2147024893	System nie może odnaleźć określonej ścieżki
-2146885619	Nie jest to komunikat kryptograficzny lub komunikat kryptograficzny nie jest poprawnie sformatowany
-1073741819	Instrukcja 0x%p przywołyła pamięć o 0x%p. Pamięć nie może być następująca: %s
1	Niepoprawna funkcja

Pomoc techniczna

Jeśli potrzebujesz więcej pomocy w dowolnym momencie tego artykułu, możesz skontaktować się z ekspertami platformy Azure na forach platformy Azure i Stack Overflow. Alternatywnie można zgłosić zdarzenie pomoc techniczna platformy Azure. Przejdź do witryny pomoc techniczna platformy Azure i wybierz pozycję Uzyskaj pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, zapoznaj się z często zadawanymi pytaniami dotyczącymi platformy Microsoft pomoc techniczna platformy Azure.