Extensão de Antimalware da Microsoft para Windows

Visão geral

O panorama atual de ameaças a ambientes de nuvem é dinâmico, aumentando a pressão sobre assinantes de nuvem de TI comercial para manter uma proteção eficaz e atender aos requisitos de conformidade e segurança na nuvem. O Microsoft Antimalware para o Azure é uma funcionalidade gratuita de proteção em tempo real. O Microsoft Antimalware ajuda a identificar e remover vírus, spywares e outros softwares mal-intencionados, com alertas configuráveis quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou ser executados nos sistemas do Azure. A solução baseia-se na mesma plataforma de antimalware do MSE (Microsoft Security Essentials), do Microsoft Forefront Endpoint Protection, do Microsoft System Center Endpoint Protection, do Windows Intune e do Windows Defender para Windows 8.0 e posterior. O Antimalware da Microsoft para Azure é uma solução de agente único para aplicativos e ambientes de locatário, projetado para ser executado em segundo plano sem intervenção humana. Você pode implantar a proteção baseada nas necessidades de suas cargas de trabalho do aplicativo, com configuração básica padronizada ou personalizada avançada, incluindo monitoramento de antimalware.

Pré-requisitos

Sistema operacional

A solução Microsoft Antimalware para Azure inclui o Cliente e o Serviço Microsoft Antimalware, o modelo de implantação clássico do Antimalware, cmdlets do PowerShell do Antimalware e a Extensão Diagnóstico do Azure. A solução Microsoft Antimalware tem suporte no Windows Server 2008 R2, no Windows Server 2012 e nas famílias de sistemas operacionais Windows Server 2012 R2. Ele não tem suporte no sistema operacional Windows Server 2008 e nem no Linux.

O Windows Defender é o Antimalware interno habilitado no Windows Server 2016. A Interface do Windows Defender também é habilitada por padrão em alguns SKUs do Windows Server 2016. A extensão Antimalware da VM do Azure ainda pode ser adicionada a uma VM do Azure do Windows Server 2016 e posterior com o Microsoft Defender. Nesse cenário, a extensão aplica as políticas de configuração opcionais a serem usadas pelo Windows Defender. A extensão não implanta nenhum outro serviço antimalware. Consulte a seção Exemplos do artigo Microsoft Antimalware para obter mais detalhes.

Conectividade com a Internet

O Antimalware da Microsoft para o Windows exige que a máquina virtual de destino esteja conectada à internet para receber o mecanismo e as atualizações regulares de assinatura.

Implantação de modelo

Extensões de VM do Azure podem ser implantadas com modelos do Azure Resource Manager. Modelos são ideais ao implantar uma ou mais máquinas virtuais que exigem configuração pós-implantação, tal como integração ao Azure Antimalware.

A configuração do JSON para uma extensão da máquina virtual pode ser aninhado dentro do recurso de máquina virtual ou localizado no nível de raiz ou superior de um modelo JSON do Resource Manager. O posicionamento da configuração do JSON afeta o valor do tipo e nome do recurso. Para obter mais informações, consulte Definir o nome e o tipo de recursos filho.

O exemplo a seguir pressupõe que a extensão de VM está aninhada dentro do recurso de máquina virtual. Ao aninhar o recurso de extensão, o JSON é colocado no objeto "resources": [] da máquina virtual.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Você deve incluir, no mínimo, o seguinte conteúdo para habilitar a extensão de Microsoft Antimalware:

{ "AntimalwareEnabled": true }

Exemplo de configuração JSON do Microsoft Antimalware:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

• parâmetro obrigatório

• Valores: true/false

  • true = habilitar
  • false = erro, pois false não é um valor compatível

RealtimeProtectionEnabled

• Valores: true/false, o padrão é true

  • true = habilitar
  • false = desabilitar

ScheduledScanSettings

• isEnabled = true/false

• day = 0-8 (0-daily, 1-Sunday, 2-Monday, ...., 7-Saturday, 8-Disabled)

• time = 0-1440 (medido em minutos após a meia-noite – 60->1AM, 120 -> 2AM, … )

• scanType = Quick/Full, o padrão é Quick

• Se isEnabled = true for a única configuração fornecida, os seguintes padrões serão definidos: day=7 (Saturday), time=120 (2 AM), scanType="Quick"

Exclusões

• Várias exclusões na mesma lista são especificadas usando delimitadores de ponto e vírgula
• Se nenhuma exclusão for especificada, as exclusões existentes, se houver, serão substituídas por em branco no sistema

Implantação do PowerShell

Depende do tipo de implantação, use comandos correspondentes para implantar a extensão de máquina virtual do Azure Antimalware para uma máquina virtual existente.

• Máquina Virtual baseada no Azure Resource Manager

• Clusters do Azure Service Fabric

• Servidores habilitados para Azure Arc

Solução de problemas e suporte

Solucionar problemas

Logs de extensão do Microsoft Antimalware estão disponíveis em - %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Códigos de erro e seus significados

Código do erro	Significado	Ação possível
-2147156224	MSI está ocupado com uma instalação diferente	Tente executar a instalação mais tarde
-2147156221	A instalação do MSE já está em execução	Executar apenas uma instância de cada vez
-2147156208	Pouco espaço em disco < 200 MB	Excluir arquivos não utilizados e tentar novamente a instalação
-2147156187	Última instalação, atualização, atualizar ou desinstalar reinicialização solicitada	Reiniciar e tentar novamente a instalação
-2147156121	A instalação tentou remover o produto concorrente. Mas o produto concorrente falhou na desinstalação	Tente remover o produto concorrente manualmente, reinicialize e repita a instalação
-2147156116	Falha na validação do arquivo de Política	Verifique se você passa um arquivo XML de política válido para a instalação
-2147156095	A instalação não pôde iniciar o serviço de Antimalware	Verifique se todos os binários são assinados corretamente e licenciamento de arquivo correto estão instalados
-2147023293	Um erro fatal ocorreu durante a instalação. Em muitos casos, ocorrerá. Epp.msi, não é possível registrar\iniciar\interromper o serviço de AM ou o mini driver de filtro	Logs do MSI de EPP.msi são necessários aqui para investigação futura
-2147023277	Não foi possível abrir o pacote de instalação	Verifique se o pacote existe, e é acessível, ou contate o fornecedor do aplicativo para verificar se este é um pacote válido do Windows Installer
-2147156109	O Windows Defender é exigido como pré-requisito
-2147205073	Não há suporte para o emissor websso
-2147024893	O sistema não pode localizar o caminho especificado
-2146885619	Mensagem não criptográfica ou a mensagem criptográfica não está formatada corretamente
-1073741819	A instrução em 0x%p memória referenciada em 0x%p. A memória não pôde ser %s
1	Função Incorreta

Suporte

Caso precise de mais ajuda a qualquer momento neste artigo, entre em contato com os especialistas do Azure nos fóruns do Azure e do Stack Overflow. Como alternativa, você pode registrar um incidente de suporte do Azure. Vá para o site de suporte do Azure e selecione Obter suporte. Para saber mais sobre como usar o suporte do Azure, leia as Perguntas frequentes sobre o suporte do Microsoft Azure.