配置 AMSI 与 SharePoint Server 的集成
适用范围:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
简介
网络安全格局已根本改变,大规模、复杂的攻击和 人类操作勒索软件 正在上升的信号就证明了这一点。 保持本地基础结构的安全和最新(包括 SharePoint Server)比以往任何时候都更加重要。
为了帮助客户保护其环境并响应来自攻击的相关威胁,我们引入了 SharePoint Server 与 Windows 反恶意软件扫描接口 之间的集成, (AMSI) 。 AMSI 是一种通用标准,允许应用程序和服务与计算机上存在的任何支持 AMSI 的反恶意软件产品集成。
AMSI 集成功能旨在防止恶意 Web 请求访问 SharePoint 终结点。 例如,在安装安全漏洞的官方修补程序之前利用 SharePoint 终结点中的安全漏洞。
AMSI 与 SharePoint Server 的集成
当支持 AMSI 的防病毒或反恶意软件解决方案与 SharePoint Server 集成时,它可以检查 HTTP
和 HTTPS
向服务器发出的请求,并防止 SharePoint Server 处理危险请求。 服务器上安装的任何支持 AMSI 的防病毒或反恶意软件程序在服务器开始处理请求后立即执行扫描。
AMSI 集成的目的不是替换服务器上已安装的现有防病毒/反恶意软件防御;它旨在提供一层额外的保护,防止对 SharePoint 终结点发出的恶意 Web 请求。 客户仍应在其服务器上部署与 SharePoint 兼容的防病毒解决方案,以防止其用户上传或下载带有病毒的文件。
先决条件
在启用 AMSI 集成之前,请检查每个 SharePoint Server 上的以下先决条件:
- Windows Server 2016 或更高版本
- SharePoint Server 订阅版本 22H2 或更高版本
- SharePoint Server 2019 内部版本 16.0.10396.20000 或更高版本 (KB 5002358:2023 年 3 月 14 日 SharePoint Server 2019)
- SharePoint Server 2016 内部版本 16.0.5391.1000 或更高版本 (KB 5002385:2023 年 4 月 11 日 SharePoint Server 2016)
- Microsoft Defender 的 AV 引擎版本为 1.1.18300.4 或更高版本 (,或者,支持 AMSI 的兼容第三方防病毒/反恶意软件提供程序)
激活/停用适用于 SharePoint Server 的 AMSI
从 SharePoint Server 2016/2019 的 2023 年 9 月安全更新和 SharePoint Server 订阅版版本 23H2 功能更新开始,默认情况下,将针对 SharePoint Server 中的所有 Web 应用程序启用 AMSI 与 SharePoint Server 的集成。 此修改旨在增强客户环境的一般安全性,并缓解潜在的安全漏洞。 但是,根据客户要求,客户保留停用 AMSI 集成功能的选项。
若要启动 2023 年 9 月安全更新,客户只需安装更新并运行 SharePoint 产品配置向导。
注意
如果客户跳过安装 2023 年 9 月公共更新,则会在安装后续公共更新时激活此更改,其中包括 SharePoint Server 2016/2019 年 9 月安全更新或 SharePoint Server 订阅版版本 23H2 功能更新。
如果客户不希望在其 SharePoint Server 场中自动启用 AMSI 集成,可以执行以下步骤:
- 安装 SharePoint Server 2016/2019 的 2023 年 9 月安全更新或 SharePoint Server 订阅版的版本 23H2 功能更新。
- 运行 SharePoint 产品配置向导。
- 按照标准步骤在 Web 应用程序中禁用 AMSI 集成功能。
如果按照以下步骤操作,SharePoint 不会在安装将来的公共更新时尝试重新启用该功能。
若要手动停用/激活每个 Web 应用程序的 AMSI 集成,请执行以下步骤:
- 打开 SharePoint 管理中心,然后选择“ 应用程序管理”。
- 在 “Web 应用程序”下,选择“ 管理 Web 应用程序”。
- 选择要为其启用 AMSI 集成的 Web 应用程序,然后在工具栏中选择“ 管理功能 ”。
- 在 SharePoint Server 反恶意软件扫描 屏幕上,选择“ 停用 ”以关闭 AMSI 集成,或选择“ 激活 ”以打开 AMSI 集成。
或者,可以通过运行以下 PowerShell 命令来停用 Web 应用程序的 AMSI 集成:
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
或者通过运行以下 PowerShell 命令激活 Web 应用程序的 AMSI 集成:
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
测试和验证 AMSI 与 SharePoint Server 的集成
可以测试反恶意软件扫描接口 (AMSI) 功能,以验证它是否正常工作。 这涉及到向 SharePoint Server 发送请求,其中包含一个Microsoft Defender 识别的特殊测试字符串用于测试目的。 此测试字符串并不危险,但 Microsoft Defender 会将其视为恶意字符串,以便你可以确认它遇到恶意请求时的行为方式。
如果在 SharePoint Server 中启用了 AMSI 集成,并且使用 Microsoft Defender 作为其恶意软件检测引擎,则此测试字符串的存在会导致请求被 AMSI 阻止,而不是由 SharePoint 处理。
测试字符串类似于 EICAR 测试文件 ,但稍有不同,以避免 URL 编码混淆。
可以通过在对 SharePoint Server 的请求中将测试字符串添加为查询字符串或 HTTP 标头来测试 AMSI 集成。
使用查询字符串测试 AMSI 集成
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
例如:向 $eicar-standard-防病毒-test-fileh+h* 发送请求https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7
使用 HTTP 标头测试 AMSI 集成
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
例如:发送如下所示的请求。
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defender 检测到以下攻击:
Exploit:Script/SharePointEicar.A
注意
如果使用的是 Microsoft Defender 以外的恶意软件检测引擎,则应咨询恶意软件检测引擎供应商,以确定测试其与 SharePoint Server 中的 AMSI 功能集成的最佳方式。
其他参考
使用 Microsoft Defender 作为主要 AMSI 解决方案的性能影响
默认情况下, Microsoft Defender 防病毒 (MDAV) (支持 AMSI 的解决方案)会自动启用并安装在运行 Windows 10、Windows Server 2016 及更高版本的终结点和设备上。 如果尚未安装防病毒/反恶意软件应用程序,SharePoint Server AMSI 集成将适用于 MDAV。 如果安装并启用其他防病毒/反恶意软件应用程序,则 MDAV 将自动关闭。 如果卸载其他应用,MDAV 将自动重新打开,SharePoint Server 集成将与 MDAV 配合使用。
在 SharePoint Server 上使用 MDAV 的好处包括:
- MDAV 提取与恶意内容匹配的签名。 如果Microsoft了解了可以阻止的攻击,则可以部署新的 MDAV 签名来阻止攻击影响 SharePoint。
- 使用现有技术添加恶意内容的签名。
- 利用Microsoft恶意软件研究团队的专业知识来添加签名。
- 使用 MDAV 已应用于添加其他签名的最佳做法。
可能会对 Web 应用程序产生性能影响,因为 AMSI 扫描使用 CPU 资源。 使用 MDAV 进行测试时,AMSI 扫描不会观察到明显的性能影响,并且不会对现有已记录的 SharePoint Server 防病毒排除项进行更改。 每个防病毒提供程序都开发自己的定义,以利用 AMSI 技术。 因此,保护级别仍取决于更新特定解决方案以检测最新威胁的速度。
通过命令行Microsoft Defender 版本
注意
如果使用 Microsoft Defender,则可以使用命令行并确保使用最新版本更新签名。
- 以管理员身份启动
Command Prompt
。 - 导航到
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>
。 - 运行
mpcmdrun.exe -SignatureUpdate
。
这些步骤确定当前引擎版本、检查更新的定义和报告。
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>