Extensão do Microsoft Antimalware para Windows

Descrição Geral

O cenário de ameaças moderno para ambientes de cloud é dinâmico, aumentando a pressão sobre os subscritores da cloud de TI empresariais para manter uma proteção eficaz para cumprir os requisitos de conformidade e segurança. Microsoft Antimalware para o Azure é uma capacidade de proteção gratuita e em tempo real. Microsoft Antimalware ajuda a identificar e remover vírus, spyware e outro software malicioso, com alertas configuráveis quando software malicioso ou indesejável conhecido tenta instalar-se ou executar nos seus sistemas do Azure. A solução baseia-se na mesma plataforma antimalware que o Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune e Windows Defender para Windows 8.0 e superior. Microsoft Antimalware para o Azure é uma solução de agente único para aplicações e ambientes de inquilino, concebida para ser executada em segundo plano sem intervenção humana. Pode implementar proteção com base nas necessidades das cargas de trabalho da aplicação, com configuração personalizada básica segura por predefinição ou avançada, incluindo monitorização antimalware.

Pré-requisitos

Sistema operativo

A solução Microsoft Antimalware para o Azure inclui o Microsoft Antimalware Client e o Service, o modelo de implementação clássica antimalware, os cmdlets do PowerShell Antimalware e a Extensão Diagnóstico do Azure. A solução Microsoft Antimalware é suportada nas famílias do sistema operativo Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Não é suportado no sistema operativo Windows Server 2008 e também não é suportado no Linux.

Windows Defender é o Antimalware incorporado ativado no Windows Server 2016. A Interface de Windows Defender também está ativada por predefinição em alguns SKUs Windows Server 2016. A extensão Antimalware da VM do Azure ainda pode ser adicionada a um Windows Server 2016 e acima da VM do Azure com Windows Defender. Neste cenário, a extensão aplica todas as políticas de configuração opcionais a utilizar pelo Windows Defender. A extensão não implementa nenhum outro serviço antimalware. Veja a secção Exemplos do artigo Microsoft Antimalware para obter mais detalhes.

Conectividade Internet

O Microsoft Antimalware para Windows requer que a máquina virtual de destino esteja ligada à Internet para receber atualizações regulares do motor e da assinatura.

Implementação de modelos

As extensões de VM do Azure podem ser implementadas com modelos de Resource Manager do Azure. Os modelos são ideais ao implementar uma ou mais máquinas virtuais que requerem a configuração pós-implementação, como a inclusão no Antimalware do Azure.

A configuração JSON para uma extensão de máquina virtual pode ser aninhada no recurso da máquina virtual ou colocada no nível raiz ou superior de um modelo JSON Resource Manager. A colocação da configuração JSON afeta o valor do nome e do tipo do recurso. Para obter mais informações, veja Definir nome e tipo para recursos subordinados.

O exemplo seguinte pressupõe que a extensão da VM está aninhada no recurso da máquina virtual. Ao aninhar o recurso de extensão, o JSON é colocado no "resources": [] objeto da máquina virtual.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Tem de incluir, no mínimo, o seguinte conteúdo para ativar a extensão Microsoft Antimalware:

{ "AntimalwareEnabled": true }

Microsoft Antimalware exemplo de configuração JSON:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

• parâmetro necessário

• Valores: true/false

  • true = Ativar
  • false = Erro, uma vez que falso não é um valor suportado

RealtimeProtectionEnabled

• Valores: verdadeiro/falso, a predefinição é verdadeira

  • true = Ativar
  • false = Desativar

ScheduledScanSettings

• isEnabled = true/false

• day = 0-8 (0-daily, 1-Sunday, 2-Monday, ...., 7-Saturday, 8-Disabled)

• time = 0-1440 (medido em minutos após a meia-noite - 60-1>:00, 120 -> 2:00, ... )

• scanType = Rápido/Completo, a predefinição é Rápida

• Se isEnabled = true for a única definição fornecida, as seguintes predefinições são definidas: day=7 (sábado), time=120 (2 AM), scanType="Quick"

Exclusões

• São especificadas múltiplas exclusões na mesma lista através de delimitadores ponto e vírgula
• Se não forem especificadas exclusões, as exclusões existentes, se existirem, são substituídas em branco no sistema

Implementação do PowerShell

Depende do seu tipo de implementação, utilize os comandos correspondentes para implementar a extensão da máquina virtual antimalware do Azure numa máquina virtual existente.

• Máquina Virtual baseada em Resource Manager do Azure

• Azure Service Fabric Clusters

• Servidores preparados para o Azure Arc

Resolução de problemas e suporte

Resolução de problemas

Os registos da extensão do Microsoft Antimalware estão disponíveis em – %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Ou PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Códigos de erro e respetivos significados

Código de erro	Significado	Ação possível
-2147156224	O MSI está ocupado com uma instalação diferente	Experimente executar a instalação mais tarde
-2147156221	A configuração do MSE já está em execução	Executar apenas uma instância de cada vez
-2147156208	Espaço em disco < baixo de 200 MB	Eliminar ficheiros não utilizados e repetir a instalação
-2147156187	Última instalação, atualização, atualização ou desinstalação do reinício pedido	Reiniciar e repetir a instalação
-2147156121	A configuração tentou remover o produto concorrente. Mas a desinstalação do produto concorrente falhou	Tente remover manualmente o produto concorrente, reiniciar e repetir a instalação
-2147156116	Falha na validação do ficheiro de política	Certifique-se de que transmite um ficheiro XML de política válido para configuração
-2147156095	A configuração não conseguiu iniciar o serviço Antimalware	Verifique se todos os binários estão assinados corretamente e se o ficheiro de licenciamento correto está instalado
-2147023293	Ocorreu um erro fatal durante a instalação. Na maioria dos casos, irá. Epp.msi, não é possível registar\iniciar\parar o serviço AM ou o controlador de minifiltro	Os registos MSI de EPP.msi são necessários aqui para investigação futura
-2147023277	Não foi possível abrir o pacote de instalação	Verifique se o pacote existe e está acessível ou contacte o fornecedor da aplicação para verificar se se trata de um pacote do Windows Installer válido
-2147156109	Windows Defender é necessário como pré-requisito
-2147205073	O emissor de websso não é suportado
-2147024893	O sistema não consegue encontrar o caminho especificado
-2146885619	Não é uma mensagem criptográfica ou a mensagem criptográfica não está formatada corretamente
-1073741819	A instrução em 0x%p referenciava a memória a 0x%p. A memória não podia ser %s
1	Função Incorreta

Suporte

Se precisar de mais ajuda em qualquer altura deste artigo, pode contactar os especialistas do Azure nos fóruns do Azure e do Stack Overflow. Em alternativa, pode arquivar um incidente de suporte do Azure. Aceda ao site suporte do Azure e selecione Obter suporte. Para obter informações sobre como utilizar o Suporte do Azure, leia as FAQ do Microsoft suporte do Azure.