Configurar a integração amsi com o SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
Introdução
O panorama da cibersegurança mudou fundamentalmente, como evidenciado por ataques complexos e em larga escala, e sinais de que o ransomware operado pelo homem está a aumentar. Mais do que nunca, é fundamental manter a sua infraestrutura no local segura e atualizada, incluindo os SharePoint Servers.
Para ajudar os clientes a proteger os seus ambientes e a responder a ameaças associadas dos ataques, estamos a introduzir a integração entre o SharePoint Server e a Interface de Análise Antimalware do Windows (AMSI). O AMSI é um padrão versátil que permite que as aplicações e serviços se integrem em qualquer produto antimalware compatível com AMSI presente num computador.
A funcionalidade de integração do AMSI foi concebida para impedir que pedidos Web maliciosos cheguem aos pontos finais do SharePoint. Por exemplo, para explorar uma vulnerabilidade de segurança num ponto final do SharePoint antes da instalação da correção oficial da vulnerabilidade de segurança.
Integração do AMSI com o SharePoint Server
Quando uma solução antivírus ou antimalware compatível com AMSI é integrada no SharePoint Server, pode examinar HTTP
e HTTPS
fazer pedidos ao servidor e impedir o SharePoint Server de processar pedidos perigosos. Qualquer programa antivírus ou antimalware compatível com AMSI instalado no servidor efetua a análise assim que o servidor começar a processar o pedido.
O objetivo da integração do AMSI não é substituir as defesas antivírus/antimalware já instaladas no servidor; é fornecer uma camada adicional de proteção contra pedidos Web maliciosos feitos para pontos finais do SharePoint. Os clientes ainda devem implementar soluções antivírus compatíveis com o SharePoint nos respetivos servidores para impedir que os seus utilizadores carreguem ou transfiram ficheiros com vírus.
Pré-requisitos
Antes de ativar a integração do AMSI, verifique os seguintes pré-requisitos em cada SharePoint Server:
- Windows Server 2016 ou superior
- SharePoint Server Subscription Edition Versão 22H2 ou superior
- Compilação 16.0.10396.20000 ou superior do SharePoint Server 2019 (KB 5002358: 14 de março de 2023 atualização de segurança para o SharePoint Server 2019)
- Compilação 16.0.5391.1000 ou superior do SharePoint Server 2016 (KB 5002385: atualização de segurança de 11 de abril de 2023 para o SharePoint Server 2016)
- Microsoft Defender com versão do motor AV em 1.1.18300.4 ou superior (em alternativa, um fornecedor antivírus/antimalware compatível com AMSI)
Ativar/Desativar o AMSI para o SharePoint Server
A partir das atualizações de segurança de setembro de 2023 para o SharePoint Server 2016/2019 e a atualização de funcionalidades da Versão 23H2 para o SharePoint Server Subscription Edition, a integração do AMSI com o SharePoint Server fica ativada por predefinição para todas as aplicações Web no SharePoint Server. Esta modificação visa melhorar a segurança geral dos ambientes dos clientes e mitigar potenciais falhas de segurança. No entanto, com base nos seus requisitos, os clientes mantêm a opção de desativar a funcionalidade de integração do AMSI.
Para iniciar as atualizações de segurança de setembro de 2023, os clientes só precisam de instalar a atualização e executar o Assistente de Configuração de Produtos SharePoint.
Observação
Se os clientes ignorarem a instalação da atualização pública de setembro de 2023, esta alteração será ativada após a instalação da atualização pública subsequente que inclui as atualizações de segurança de setembro de 2023 para o SharePoint Server 2016/2019 ou a atualização de funcionalidades versão 23H2 para o SharePoint Server Subscription Edition.
Se os clientes preferirem não ter a integração AMSI ativada automaticamente nos respetivos farms do SharePoint Server, podem seguir estes passos:
- Instale as atualizações de segurança de setembro de 2023 para o SharePoint Server 2016/2019 ou a atualização de funcionalidades versão 23H2 para o SharePoint Server Subscription Edition.
- Execute o Assistente de Configuração de Produtos SharePoint.
- Siga os passos padrão para desativar a funcionalidade de integração AMSI nas suas aplicações Web.
Se seguir estes passos, o SharePoint não tentará reativar a funcionalidade durante a instalação de futuras atualizações públicas.
Para desativar/ativar manualmente a integração do AMSI por aplicação Web, execute os seguintes passos:
- Abra a Administração Central do SharePoint e selecione Gestão de Aplicações.
- Em Aplicações Web, selecione Gerir aplicações Web.
- Selecione a aplicação Web para a qual pretende ativar a integração do AMSI e selecione Gerir Funcionalidades na barra de ferramentas.
- No ecrã Análise Antimalware do SharePoint Server , selecione Desativar para desativar a integração do AMSI ou selecione Ativar para ativar a integração do AMSI.
Em alternativa, pode desativar a integração do AMSI para uma aplicação Web ao executar o seguinte comando do PowerShell:
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Em alternativa, ative a integração do AMSI para uma aplicação Web ao executar o seguinte comando do PowerShell:
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Testar e verificar a integração do AMSI com o SharePoint Server
Pode testar a funcionalidade de Interface de Análise Antimalware (AMSI) para verificar se está a funcionar corretamente. Isto envolve enviar um pedido para o SharePoint Server com uma cadeia de teste especial que o Microsoft Defender reconhece ser para fins de teste. Esta cadeia de teste não é perigosa, mas o Microsoft Defender trata-a como se fosse maliciosa para que possa confirmar como se comporta quando encontra pedidos maliciosos.
Se a integração do AMSI estiver ativada no SharePoint Server e estiver a utilizar o Microsoft Defender como motor de deteção de software maligno, a presença desta cadeia de teste faz com que o pedido seja bloqueado pela AMSI em vez de ser processado pelo SharePoint.
A cadeia de teste é semelhante ao ficheiro de teste EICAR , mas difere ligeiramente para evitar confusões na codificação de URL.
Pode testar a integração do AMSI ao adicionar a cadeia de teste como uma cadeia de consulta ou um cabeçalho HTTP no seu pedido ao SharePoint Server.
Utilizar uma cadeia de consulta para testar a integração do AMSI
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Por exemplo: enviar um pedido para https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Utilizar um cabeçalho HTTP para testar a integração do AMSI
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Por exemplo: envie um pedido semelhante ao seguinte.
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
O Microsoft Defender deteta-o como a seguinte exploração:
Exploit:Script/SharePointEicar.A
Observação
Se estiver a utilizar um motor de deteção de software maligno que não seja o Microsoft Defender, deve contactar o fornecedor do motor de deteção de software maligno para determinar a melhor forma de testar a integração com a funcionalidade AMSI no SharePoint Server.
Outras referências
Efeitos de desempenho da utilização do Microsoft Defender como a solução principal de AMSI
Por predefinição, o Antivírus do Microsoft Defender (MDAV), uma solução compatível com AMSI, é automaticamente ativado e instalado em pontos finais e dispositivos com o Windows 10, Windows Server 2016 e posterior. Se não tiver instalado uma aplicação antivírus/antimalware, a integração amSI do SharePoint Server funcionará com o MDAV. Se instalar e ativar outra aplicação antivírus/antimalware, o MDAV será desativado automaticamente. Se desinstalar a outra aplicação, o MDAV será ativado automaticamente e a integração do SharePoint Server funcionará com o MDAV.
As vantagens da utilização do MDAV no SharePoint Server incluem:
- O MDAV obtém assinaturas que correspondem a conteúdo malicioso. Se a Microsoft souber mais sobre uma exploração que pode ser bloqueada, pode implementar uma nova assinatura MDAV para impedir que a exploração afete o SharePoint.
- Utilizar a tecnologia existente para adicionar assinaturas para o conteúdo malicioso.
- Utilizar os conhecimentos da equipa de pesquisa de software maligno da Microsoft para adicionar assinaturas.
- Utilizar as melhores práticas que o MDAV já aplica para adicionar outras assinaturas.
Pode haver um impacto no desempenho na aplicação Web porque a análise de AMSI utiliza recursos da CPU. Não é observado nenhum impacto de desempenho distinto na análise de AMSI quando testado com MDAV e não existem alterações a fazer às exclusões antivírus do SharePoint Server documentadas existentes. Cada fornecedor de antivírus desenvolve as suas próprias definições que utilizam tecnologia AMSI. Por conseguinte, o seu nível de proteção permanece dependente da rapidez com que a sua solução específica pode ser atualizada para detetar as ameaças mais recentes.
Versão do Microsoft Defender através da linha de comandos
Observação
Se estiver a utilizar o Microsoft Defender, pode utilizar a linha de comandos e garantir que atualiza as assinaturas com a versão mais recente.
- Inicie
Command Prompt
como Administrador. - Navegue até
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>
. - Execute
mpcmdrun.exe -SignatureUpdate
.
Estes passos determinam a versão atual do motor, verificam se existem definições atualizadas e relatórios.
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>