Tillägget Microsoft Antimalware för Windows
Översikt
Det moderna hotlandskapet för molnmiljöer är dynamiskt, vilket ökar trycket på företagets IT-molnprenumeranter att upprätthålla ett effektivt skydd för att uppfylla efterlevnads- och säkerhetskrav. Microsoft Antimalware för Azure är en kostnadsfri funktion för realtidsskydd. Microsoft Antimalware hjälper till att identifiera och ta bort virus, spionprogram och annan skadlig programvara, med konfigurerbara aviseringar när känd skadlig eller oönskad programvara försöker installera sig själv eller köras på dina Azure-system. Lösningen bygger på samma plattform för program mot skadlig kod som Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune och Windows Defender för Windows 8.0 och senare. Microsoft Antimalware för Azure är en lösning med en enda agent för program och klientmiljöer som är utformad för att köras i bakgrunden utan mänsklig inblandning. Du kan distribuera skydd baserat på behoven hos dina programarbetsbelastningar, med antingen grundläggande säker som standard eller avancerad anpassad konfiguration, inklusive övervakning av program mot skadlig kod.
Förutsättningar
Operativsystem
Den Microsoft Antimalware för Azure-lösningen innehåller Microsoft Antimalware-klienten och tjänsten, den klassiska distributionsmodellen antimalware, PowerShell-cmdletar för program mot skadlig kod och Azure Diagnostics-tillägget. Den Microsoft Antimalware lösningen stöds i operativsystemfamiljerna Windows Server 2008 R2, Windows Server 2012 och Windows Server 2012 R2. Det stöds inte i operativsystemet Windows Server 2008 och stöds inte heller i Linux.
Windows Defender är det inbyggda program mot skadlig kod aktiverat i Windows Server 2016. Windows Defender-gränssnittet är också aktiverat som standard på vissa Windows Server 2016 SKU:er. Azure VM Antimalware-tillägget kan fortfarande läggas till i en Windows Server 2016 och senare för virtuella Azure-datorer med Windows Defender. I det här scenariot tillämpar tillägget valfria konfigurationsprinciper som ska användas av Windows Defender. Tillägget distribuerar inte någon annan tjänst för program mot skadlig kod. Mer information finns i avsnittet Exempel i Microsoft Antimalware artikeln.
Internetanslutning
Den Microsoft Antimalware för Windows kräver att den virtuella måldatorn är ansluten till Internet för att ta emot regelbundna motor- och signaturuppdateringar.
Malldistribution
Azure VM-tillägg kan distribueras med Azure Resource Manager-mallar. Mallar är idealiska när du distribuerar en eller flera virtuella datorer som kräver konfiguration efter distributionen, till exempel registrering till Azure Antimalware.
JSON-konfigurationen för ett tillägg för virtuella datorer kan kapslas i den virtuella datorresursen eller placeras på rot- eller översta nivån i en Resource Manager JSON-mall. Placeringen av JSON-konfigurationen påverkar värdet för resursnamnet och typen. Mer information finns i Ange namn och typ för underordnade resurser.
I följande exempel förutsätter vi att VM-tillägget är kapslat i den virtuella datorresursen. När tilläggsresursen kapslas placeras JSON i den "resources": [] virtuella datorns objekt.
{
"type": "Microsoft.Compute/virtualMachines/extensions",
"name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
"apiVersion": "2019-07-01",
"location": "[resourceGroup().location]",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
],
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "IaaSAntimalware",
"typeHandlerVersion": "1.3",
"autoUpgradeMinorVersion": true,
"settings": {
"AntimalwareEnabled": "true",
"Exclusions": {
"Extensions": ".ext1;.ext2",
"Paths": "c:\excluded-path-1;c:\excluded-path-2",
"Processes": "excludedproc1.exe;excludedproc2.exe"
},
"RealtimeProtectionEnabled": "true",
"ScheduledScanSettings": {
"isEnabled": "true",
"scanType": "Quick",
"day": "7",
"time": "120"
}
},
"protectedSettings": null
}
}
Du måste minst inkludera följande innehåll för att aktivera tillägget Microsoft Antimalware:
{ "AntimalwareEnabled": true }
Microsoft Antimalware JSON-konfigurationsexempel:
{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },
"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}
Program mot skadlig kodAktivera
obligatorisk parameter
Värden: true/false
- true = Aktivera
- false = Fel ut, eftersom false inte är ett värde som stöds
RealtimeProtectionEnabled
Värden: sant/falskt, standardvärdet är sant
- true = Aktivera
- false = Inaktivera
ScheduledScanSettings
isEnabled = true/false
day = 0-8 (0-daily, 1-Sunday, 2-Monday, ...., 7-Saturday, 8-Disabled)
time = 0-1440 (mätt i minuter efter midnatt - 60-1AM>, 120 -> 2AM, ... )
scanType = Snabb/Fullständig, standardvärdet är Snabb
Om isEnabled = true är den enda inställningen anges följande standardvärden: day=7 (lördag), time=120 (2 AM), scanType="Quick"
Undantag
- Flera undantag i samma lista anges med semikolonavgränsare
- Om inga undantag anges skrivs befintliga undantag, om några, över av tom i systemet
PowerShell-distribution
Beroende på din typ av distribution använder du motsvarande kommandon för att distribuera tillägget för virtuella Azure Antimalware-datorer till en befintlig virtuell dator.
Felsökning och support
Felsöka
Microsoft Antimalware-tilläggsloggar finns på – %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Felkoder och deras betydelser
| Felkod | Innebörd | Möjlig åtgärd |
|---|---|---|
| -2147156224 | MSI är upptaget med olika installationer | Prova att köra installationen senare |
| -2147156221 | MSE-installationen körs redan | Kör bara en instans i taget |
| -2147156208 | Lågt diskutrymme < 200 MB | Ta bort oanvända filer och försök installera igen |
| -2147156187 | Senaste installation, uppgradering, uppdatering eller avinstallation begärd omstart | Starta om och försök installera igen |
| -2147156121 | Installationsprogrammet försökte ta bort konkurrentprodukten. Men avinstallationen av konkurrentprodukten misslyckades | Försök att ta bort konkurrentprodukten manuellt, starta om och försök installera igen |
| -2147156116 | Verifieringen av principfilen misslyckades | Kontrollera att du skickar en giltig PRINCIP-XML-fil till installationen |
| -2147156095 | Det gick inte att starta tjänsten Antimalware | Kontrollera att alla binärfiler är korrekt signerade och att rätt licensieringsfil är installerad |
| -2147023293 | Ett allvarligt fel uppstod under installationen. I de flesta fall kommer det att göra det. Epp.msi, kan inte registrera\starta\stoppa AM-tjänsten eller minifilterdrivrutinen | MSI-loggar från EPP.msi krävs här för framtida undersökning |
| -2147023277 | Det gick inte att öppna installationspaketet | Kontrollera att paketet finns och är tillgängligt eller kontakta programleverantören för att kontrollera att det här är ett giltigt Windows Installer-paket |
| -2147156109 | Windows Defender krävs som en förutsättning | |
| -2147205073 | Websso-utfärdaren stöds inte | |
| -2147024893 | Det går inte att hitta den angivna sökvägen | |
| -2146885619 | Inte ett kryptografiskt meddelande eller så är det kryptografiska meddelandet inte korrekt formaterat | |
| -1073741819 | Instruktionen vid 0x%p refererade till minnet vid 0x%p. Minnet kunde inte vara %s | |
| 1 | Felaktig funktion |
Support
Om du behöver mer hjälp när som helst i den här artikeln kan du kontakta Azure-experterna på Azure- och Stack Overflow-forumen. Du kan också skapa en Azure Support incident. Gå till webbplatsen Azure Support och välj Få support. Information om hur du använder Azure Support finns i Vanliga frågor och svar om Microsoft Azure Support.