Антивредоносное ПО Майкрософт для облачных служб и виртуальных машин Azure

  • Статья

Антивредоносное ПО Майкрософт для Azure предоставляет бесплатную защиту в реальном времени, которая помогает обнаруживать и устранять вирусы, шпионское ПО и другие вредоносные программы. Оно создает предупреждения о попытках установки или запуска известных вредоносных или нежелательных программ в системе Azure.

Решение основано на той же платформе защиты от вредоносных программ, что и Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune и Microsoft Defender для облака. Антивредоносная программа для Azure — это единый агент для приложений и клиентских сред, работающий в фоновом режиме и не требующий вмешательства пользователя. Можно развернуть систему защиты, соответствующую рабочим нагрузкам своих приложений, и использовать базовую конфигурацию защиты (по умолчанию) или расширенную настраиваемую конфигурацию, включающую отслеживание вредоносных программ.

После развертывания антивредоносного ПО Майкрософт и его включения в среде Azure, содержащей ваши приложения, доступны следующие основные функции.

  • Защита в режиме реального времени: мониторинг действий, выполняемых в облачных службах и виртуальных машинах, для обнаружения и блокировки работы вредоносных программ.
  • Запланированное сканирование: периодическое сканирование для обнаружения вредоносных программ, включая уже запущенные.
  • Исправление вредоносных действий: автоматические действия в отношении обнаруженных вредоносных программ, например удаление или помещение в карантин вредоносных файлов, а также удаление из реестра нежелательных записей.
  • Обновления подписей — автоматически устанавливает последние подписи защиты (определения вирусов), чтобы обеспечить актуальность защиты на предопределенной частоте.
  • Обновление модуля защиты от вредоносных программ: автоматическое обновление соответствующего модуля защиты Майкрософт.
  • Обновления платформы защиты от вредоносных программ — автоматически обновляет платформу Защиты от вредоносных программ Майкрософт.
  • Активная защита — сообщает метаданные телеметрии об обнаруженных угрозах и подозрительных ресурсах в Microsoft Azure, чтобы обеспечить быстрый ответ на изменяющийся ландшафт угроз и обеспечивает синхронную доставку подписей в режиме реального времени через систему Microsoft Active Protection (MAPS).
  • Отправка примеров: отправка отчетов и примеров в службу защиты от вредоносных программ Майкрософт для повышения качества обслуживания и устранения неполадок.
  • Исключения — позволяет администраторам приложений и служб настраивать исключения для файлов, процессов и дисков.
  • Сбор событий защиты от вредоносных программ: запись в журнал событий операционной системы данных о работоспособности службы защиты от вредоносных программ, а также сведений о подозрительных действиях и исправлениях. Вся эта информация собирается в учетной записи хранения Azure клиента.

Примечание.

Microsoft Antimalware также можно развернуть с помощью Microsoft Defender для облака. Дополнительные сведения см. в статье Установка Endpoint Protection в Microsoft Defender для облака.

Архитектура

Антивредоносное ПО Майкрософт для Azure включает в себя клиент и службу защиты от вредоносных программ Майкрософт, классическую модель развертывания антивредоносной программы, командлеты PowerShell для антивредоносной программы и расширение системы диагностики Azure. Антивредоносное ПО Майкрософт поддерживается семействами операционных систем Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Он не поддерживается в операционной системе Windows Server 2008, а также не поддерживается в Linux.

Во всех поддерживаемых семействах гостевых операционных систем Azure клиент и служба защиты от вредоносных программ Майкрософт устанавливаются по умолчанию в отключенном состоянии. Клиент и служба Защиты от вредоносных программ Майкрософт по умолчанию не устанавливаются на платформе Виртуальные машины и доступны в качестве необязательной функции с помощью конфигурации портал Azure и виртуальной машины Visual Studio в разделе "Расширения безопасности".

Если вы используете службу приложений Azure в Windows, то в базовой службе, в которой размещено веб-приложение, также включено Microsoft Antimalware. Оно используется для защиты инфраструктуры службы приложений Azure и не затрагивает содержимое клиентов.

Примечание.

антивирусная программа в Microsoft Defender встроенное антивредоносное ПО в Windows Server 2016 и выше. Расширение защиты от вредоносных программ виртуальной машины Azure по-прежнему можно добавить в виртуальную машину Windows Server 2016 и выше с антивирусная программа в Microsoft Defender. В этом сценарии расширение применяет любые необязательные политики конфигурации, которые будут использоваться антивирусная программа в Microsoft Defender расширение не развертывает другие службы защиты от вредоносных программ. Дополнительные сведения см. в разделе "Примеры " этой статьи.

Рабочий процесс антивредоносной программы (Майкрософт)

Администратор служб Azure может включить антивредоносное ПО со стандартной или настраиваемой конфигурацией для запущенных в Azure виртуальных машин и облачных служб следующим образом.

  • Виртуальные машины . В портал Azure в разделе "Расширения безопасности"
  • Виртуальные машины. Использование конфигурации виртуальных машин Visual Studio в сервере Обозреватель
  • Виртуальные машины и Облачные службы — использование классической модели развертывания антивредоносных программ
  • Виртуальные машины и Облачные службы — использование командлетов PowerShell для защиты от вредоносных программ

Командлеты портал Azure или PowerShell помещают файл пакета расширения защиты от вредоносных программ в систему Azure в предопределенном расположении. Гостевой агент Azure (агент структуры) запускает расширение антивредоносного ПО и применяет соответствующие параметры конфигурации, указанные в качестве входных данных. Это действие включает службу защиты от вредоносных программ со стандартными или настраиваемыми параметрами конфигурации. Если настраиваемые параметры конфигурации не указаны, в службе защиты от вредоносных программ будут использоваться стандартные параметры. Дополнительные сведения см. в разделе "Примеры " этой статьи.

После запуска клиент антивредоносного ПО Майкрософт загружает из Интернета в систему Azure последние версии модуля защиты от вредоносных программ и определения подписей. Служба Microsoft Antimalware записывает события, связанные с работой служб, в системный журнал событий ОС в раздел источника событий Microsoft Antimalware. События включают состояние работоспособности клиента антивредоносного ПО, состояние защиты и исправлений, новые и старые параметры конфигурации, обновления модулей и определений подписей и пр.

Вы можете включить мониторинг антивредоносных программ для облачной службы или виртуальной машины, чтобы события журнала событий защиты от вредоносных программ были записаны, как они создаются в учетной записи хранения Azure. Служба защиты от вредоносных программ использует расширение диагностики Azure, чтобы собирать в системе Azure данные о событиях антивредоносного ПО, записывая их в таблицы в пользовательской учетной записи хранения Azure.

Рабочий процесс развертывания, включая шаги по настройке параметров, которые поддерживают вышеуказанные сценарии, описан в разделе Сценарии развертывания антивредоносного ПО этой статьи.

Microsoft Antimalware in Azure

Примечание.

Для развертывания масштабируемых наборов виртуальных машин с расширением Microsoft Antimalware можно использовать PowerShell или интерфейсы API и шаблоны Azure Resource Manager. Чтобы установить расширение на уже работающую виртуальную машину, используйте пример сценария Python vmssextn.py. Этот сценарий добавляет в набор масштабирования существующую конфигурацию расширения, а затем добавляет расширение в список существующих расширений в наборах масштабирования виртуальных машин.

Стандартная и настраиваемая конфигурации антивредоносного ПО

Параметры конфигурации по умолчанию применяются для включения защиты от вредоносных программ для Azure Облачные службы или Виртуальные машины, если вы не предоставляете пользовательские параметры конфигурации. Стандартные параметры конфигурации предварительно оптимизированы для работы в среде Azure. При необходимости стандартные параметры конфигурации можно настроить в соответствии с требованиями к развертыванию службы или приложения Azure, а также использовать их в других сценариях развертывания.

В следующей таблице приведены параметры конфигурации, доступные для службы защиты от вредоносных программ. Параметры конфигурации по умолчанию отмечены в столбце с меткой "По умолчанию".

Table 1

Сценарии развертывания антивредоносного ПО

В этом разделе рассматриваются сценарии включения и настройки антивредоносного ПО, включая мониторинг облачных служб и виртуальных машин Azure.

Виртуальные машины: включение и настройка антивредоносной программы

Развертывание при создании виртуальной машины с использованием портала Azure

Выполните следующие действия, чтобы включить и настроить антивредоносное ПО Майкрософт для Azure Виртуальные машины с помощью портал Azure при подготовке виртуальной машины:

  1. Войдите на портал Azure.
  2. Чтобы создать виртуальную машину, перейдите на вкладку Виртуальные машины, выберите Добавить, а затем — Windows Server.
  3. Выберите версию Windows Server, которую вы хотите использовать.
  4. Выберите Создать. Create virtual machine
  5. Укажите название, имя пользователя, пароль и создайте новую группу ресурсов или выберите существующую.
  6. Выберите ОК
  7. Выберите размер виртуальной машины.
  8. В следующем разделе установите подходящие параметры и щелкните раздел Расширения.
  9. Щелкните Добавить расширение.
  10. В разделе Новый ресурс выберите Антивредоносное ПО Майкрософт.
  11. Нажмите кнопку Создать
  12. В разделе Установить расширение можно настроить исключения файлов, расположений и процессов, а также другие параметры сканирования. Нажмите кнопку ОК.
  13. Нажмите кнопку ОК.
  14. В разделе Параметры нажмите кнопку ОК.
  15. В окне Создать нажмите кнопку ОК.

См. этот пример шаблона Azure Resource Manager для развертывания расширения анти вредоносного ПО для виртуальной машины Windows.

Развертывание с помощью страницы конфигурации виртуальной машины в Visual Studio

Чтобы включить и настроить службу защиты от вредоносных программ Майкрософт с помощью Visual Studio, выполните следующие шаги.

  1. Подключитесь к Microsoft Azure в Visual Studio.

  2. Выберите виртуальную машину, развернув узел Виртуальные машины в обозревателе сервера.

    Virtual Machine configuration in Visual Studio

  3. Щелкните правой кнопкой мыши элемент Настройка, чтобы открыть страницу конфигурации виртуальной машины.

  4. В раскрывающемся списке в разделе Установленные расширения выберите расширение Антивредоносное ПО Майкрософт, а затем нажмите кнопку Добавить, чтобы включить стандартную конфигурацию защиты от вредоносных программ. Installed extensions

  5. Чтобы настроить стандартные параметры конфигурации антивредоносного ПО, выберите расширение антивредоносного ПО в списке установленных расширений (выделено на рис.) и нажмите кнопку Настроить.

  6. В текстовом поле Общедоступная конфигурация замените стандартную конфигурацию антивредоносного ПО настраиваемой конфигурацией в поддерживаемом формате JSON, а затем нажмите кнопку "ОК".

  7. Нажмите кнопку Обновить, чтобы отправить обновленную конфигурацию на свою виртуальную машину.

    Virtual Machine configuration extension

Примечание.

Конфигурация виртуальных машин Visual Studio поддерживает конфигурацию антивредоносного ПО только в формате JSON. Дополнительные сведения см. в разделе "Примеры " этой статьи.

Развертывание с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно включить и настроить антивредоносное ПО Майкрософт для виртуальных машин Azure.

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Чтобы включить и настроить Microsoft Antimalware для виртуальной машины, используйте командлет Set-AzureVMMicrosoftAntimalwareExtension.

Примечание.

Конфигурация виртуальных машин Azure поддерживает конфигурацию антивредоносного ПО только в формате JSON. Дополнительные сведения см. в разделе "Примеры " этой статьи.

Включение и настройка защиты от вредоносных программ с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно включить и настроить антивредоносное ПО Майкрософт для облачных служб Azure. Антивредоносная программа Майкрософт устанавливается в отключенном состоянии на платформе Облачные службы и требует действия приложения Azure для его включения.

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Чтобы включить и настроить Microsoft Antimalware для облачной службы, используйте командлет Set-AzureServiceExtension.

Дополнительные сведения см. в разделе "Примеры " этой статьи.

Облачные службы и виртуальные машины: настройка конфигурации с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно получить конфигурацию антивредоносного ПО Майкрософт для облачных служб и виртуальных машин.

Чтобы получить конфигурацию антивредоносного ПО с помощью командлетов PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Для Виртуальных машин: получите конфигурацию антивредоносного ПО, выполнив командлет AzureVMMicrosoftAntimalwareExtension.
  3. Для Облачных служб: получите конфигурацию антивредоносного ПО, используя выполнив командлет Get-AzureServiceExtension.

Примеры

Удаление конфигурации антивредоносного ПО с помощью командлетов PowerShell

С помощью приложения или службы Azure можно удалить конфигурацию антивредоносной программы и связанную конфигурацию отслеживания вредоносных программ из соответствующих расширений антивредоносной программы и службы диагностики Azure, связанных с облачной службой или виртуальной машиной.

Чтобы удалить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Для Виртуальных машин: используйте командлет Remove-AzureVMMicrosoftAntimalwareExtension.
  3. Для Облачных служб: используйте командлет Remove-AzureServiceExtension.

Чтобы включить сбор событий антивредоносного ПО для виртуальной машины на портале предварительной версии Azure, выполните следующие шаги:

  1. Щелкните любую часть линзы мониторинга в колонке виртуальной машины.
  2. Выберите команду «Диагностика» в колонке «Метрика».
  3. Переведите переключатель Состояние в положение "ВКЛ." и установите флажок для параметра "Журналы системы событий Windows".
  4. . Вы можете снять флажки для остальных параметров в списке или оставить их, если это необходимо для работы службы приложений.
  5. События антивредоносного ПО, относящиеся к категориям "Ошибка", "Предупреждение", "Информация" и т. д., будут регистрироваться в вашей учетной записи хранения Azure.

Теперь события антивредоносного ПО будут собираться из системных журналов событий Windows в вашу учетную запись хранения Azure. Вы можете настроить учетную запись хранения для сбора событий антивредоносного ПО на виртуальной машине, выбрав соответствующую учетную запись хранения.

Metrics and diagnostics

Включение и настройка антивредоносного ПО с помощью командлетов PowerShell для виртуальных машин Azure Resource Manager

Чтобы включить и настроить антивредоносную программу Майкрософт для виртуальных машин Azure Resource Manager с помощью командлетов PowerShell:

  1. Настройте среду PowerShell с помощью этой документации на сайте GitHub.
  2. Чтобы включить и настроить Microsoft Antimalware для виртуальной машины, используйте командлет Set-AzureRmVMExtension.

Доступны следующие примеры кода:

Включение и настройка Antimalware для расширенной поддержки облачных служб Azure (CS-ES) с помощью командлетов PowerShell

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Чтобы включить и настроить Microsoft Antimalware для виртуальной машины облачной службы, используйте командлет New-AzCloudServiceExtensionObject.

Доступен следующий пример кода:

Включение и настройка антивредоносного ПО с помощью командлетов PowerShell для виртуальных машин с поддержкой Azure Arc

Вы можете включить и настроить Microsoft Antimalware для серверов с поддержкой Azure Arc с помощью командлетов PowerShell.

  1. Настройте среду PowerShell с помощью этой документации на сайте GitHub.
  2. Чтобы включить и настроить Microsoft Antimalware для серверов с поддержкой Azure Arc, используйте командлет New-AzConnectedMachineExtension.

Доступны следующие примеры кода:

Следующие шаги

См. примеры кода для включения и настройки Microsoft Antimalware для виртуальных машин Azure Resource Manager (ARM).