Расширение антивредоносного ПО Майкрософт для Windows

Обзор

Современный ландшафт угроз для облачных сред является динамичным, что повышает нагрузку на подписчиков бизнес-ИТ-облака, чтобы обеспечить эффективную защиту в соответствии с требованиями к безопасности. Microsoft Antimalware для Azure предоставляет бесплатную защиту в режиме реального времени. Microsoft Antimalware помогает выявлять и удалять вирусы, шпионские программы и другие вредоносные программы с помощью настраиваемых оповещений, когда известное вредоносное или нежелательное программное обеспечение пытается установить себя или запустить в системах Azure. Это решение создано на той же платформе для средств защиты от вредоносных программ, что и Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune и Защитник Windows для Windows 8.0 и более поздних версий. Антивредоносное ПО для Azure — это единый агент для приложений и клиентских сред, работающий в фоновом режиме без стороннего вмешательства. Вы можете развернуть систему защиты, соответствующую рабочим нагрузкам своих приложений, и использовать базовую конфигурацию защиты (по умолчанию) или расширенную настраиваемую конфигурацию, включающую отслеживание вредоносных программ.

Предварительные требования

Операционная система

Антивредоносное ПО Майкрософт для Azure включает в себя клиент и службу защиты от вредоносных программ Майкрософт, классическую модель развертывания антивредоносной программы, командлеты PowerShell для антивредоносной программы и расширение системы диагностики Azure. Антивредоносное ПО Майкрософт поддерживается семействами операционных систем Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Он не поддерживается в операционной системе Windows Server 2008, а также не поддерживается в Linux.

Защитник Windows — это встроенное антивредоносное ПО, включенное в Windows Server 2016. Интерфейс Защитник Windows также включен по умолчанию для некоторых номеров SKU Windows Server 2016. Расширение защиты от вредоносных программ виртуальной машины Azure по-прежнему можно добавить в Windows Server 2016 и выше виртуальной машины Azure с Защитник Windows. В этом сценарии расширение применяет любые необязательные политики конфигурации, которые будут использоваться Защитник Windows. Расширение не развертывает другие службы защиты от вредоносных программ. Дополнительные сведения см. в разделе Примеры статьи Microsoft Antimalware.

Подключение к Интернету

Расширение антивредоносного ПО Майкрософт для Windows требует, чтобы целевая виртуальная машина была подключена к Интернету для получения регулярных обновлений модуля и сигнатур.

Развертывание шаблона

Расширения виртуальной машины Azure можно развернуть с помощью шаблонов Azure Resource Manager. Шаблоны идеально подходят для развертывания одной или нескольких виртуальных машин, требующих настройки после развертывания, например подключения к антивредоносному ПО Azure.

Конфигурацию JSON для расширения виртуальной машины можно вложить в ресурс виртуальной машины или поместить в корень или на верхний уровень JSON-файла шаблона Resource Manager. Размещение конфигурации JSON влияет на значения имени и типа ресурса. Дополнительные сведения см. в разделе Указание имени и типа дочернего ресурса в шаблоне Resource Manager.

В следующем примере предполагается, что расширение виртуальной машины вложено в ресурс виртуальной машины. При вложении ресурса расширения JSON помещается в объект "resources": [] виртуальной машины.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Чтобы включить расширение Microsoft Antimalware, необходимо добавить, как минимум, следующее содержимое:

{ "AntimalwareEnabled": true }

Пример конфигурации в формате JSON для Microsoft Antimalware:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

• Обязательный параметр.

• Значения: true или false.

  • True — включить.
  • false = ошибка, так как значение false не поддерживается

RealtimeProtectionEnabled

• Значения: true или false, значение по умолчанию — true.

  • True — включить.
  • False — отключить.

ScheduledScanSettings

• isEnabled: true или false.

• day: 0–8 (0 — ежедневно, 1 — воскресенье, 2 — понедельник… 7 — суббота, 8 — отключить).

• time: 0–1440 (измеряется в минутах после полуночи: 120 — 01:00, 60 — 02:00 и т. д.)

• scanType: Quick или Full, значение по умолчанию — Quick.

• Если указан только параметр isEnabled = true, устанавливаются следующие значения по умолчанию: day=7 (суббота), time=120 (02:00), scanType="Quick".

Исключения

• Несколько исключений в одном списке разделяются точкой с запятой.
• Если исключения отсутствуют, то имеющиеся исключения, если таковые имеются, будут перезаписаны пробелами в системе.

Развертывание с помощью PowerShell

Для развертывания расширения антивредоносного ПО на существующей виртуальной машине следует учитывать тип развертывания и использовать соответствующие команды.

• Виртуальная машина на основе Azure Resource Manager

• Кластеры Azure Service Fabric

• Серверы с поддержкой Azure Arc

Устранение неполадок и поддержка

Диагностика

Журналы расширения антивредоносного ПО Майкрософт можно найти в следующем расположении: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(или PaaSAntimalware)\1.5.5.x(номер версии)\CommandExecution.log

Коды ошибок и их описание

Код ошибки	Значение	Возможное действие
–2147156224	MSI занят другой установкой.	Попробуйте выполнить установку позднее.
–2147156221	Программа установки MSE уже выполняется.	Следует запускать только один экземпляр одновременно.
–2147156208	Недостаточно места на диске — менее 200 МБ	Удалите неиспользуемые файлы и повторите попытку установки.
–2147156187	Последняя операция установки, обновления или удаления запросила перезагрузку.	Перезагрузите компьютер и повторите попытку установки.
–2147156121	Программой установки предпринята попытка удаления продукта конкурента. Однако произошел сбой удаления продукта конкурента.	Попробуйте вручную удалить продукт конкурента, перезагрузите компьютер и повторите попытку установки.
–2147156116	Проверка файла политики не пройдена.	Передайте в программу установки допустимый XML-файл политики.
–2147156095	Программе установки не удалось запустить службу защиты от вредоносных программ.	Проверьте, что все двоичные файлы подписаны должным образом и установлен правильный файл лицензирования.
–2147023293	Во время установки произошла неустранимая ошибка. Она будет возникать в большинстве случаев. Epp.msi, не удается зарегистрировать\start\stop AM service или драйвер мини-фильтра	Для дальнейшего исследования требуются журналы MSI из EPP.msi.
–2147023277	Не удалось открыть установочный пакет	Проверьте, что пакет существует и доступен или обратитесь к поставщику приложения, чтобы убедиться, что это допустимый пакет установщика Windows.
–2147156109	Защитник Windows является необходимым компонентом
–2147205073	Издатель websso не поддерживается
–2147024893	Системе не удается найти указанный путь
–2146885619	Не является криптографическим сообщением, или криптографическое сообщение не отформатировано правильно
–1073741819	Инструкция по адресу "0x%p" обратилась к памяти по адресу "0x%p". Память не может быть %s
1	Неверная функция

Поддержка

Если вам нужна дополнительная помощь в любой момент этой статьи, вы можете обратиться к экспертам По Azure на форумах Azure и Stack Overflow. Кроме того, можно зарегистрировать обращение в службу поддержки Azure. Перейдите на сайт поддержки Azure и выберите "Получить поддержку". Дополнительные сведения об использовании службы поддержки Azure см. в статье Часто задаваемые вопросы о поддержке Microsoft Azure.