適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware

  • 發行項

適用於 Azure 的 Microsoft Antimalware 是一項免費的即時保護,可協助識別和移除病毒、間諜軟體和其他惡意軟體。 其可在已知惡意或垃圾軟體嘗試自行安裝在 Azure 系統或在 Azure 系統上執行時產生警示。

此解決方案建置在與 Microsoft Security Essentials (MSE)、Microsoft Forefront Endpoint Protection、Microsoft System Center Endpoint Protection、Microsoft Intune 和 適用於雲端的 Microsoft Defender 相同的反惡意代碼平臺上。 適用於 Azure 的 Microsoft Antimalware 是應用程式和租用戶環境的單一代理程式解決方案,其設計目的是在背景中執行,而不需要人為介入。 您可以根據應用程式工作負載的需求來部署保護,使用基本安全預設或進階自定義設定,包括反惡意代碼監視。

當您為應用程式部署並啟用適用於 Azure 的 Microsoft Antimalware 時,有下列核心功能可供使用:

  • 實時保護 - 監視 雲端服務 和 虛擬機器 中的活動,以偵測及封鎖惡意代碼執行。
  • 排程掃描 - 定期掃描以偵測惡意代碼,包括主動執行的程式。
  • 惡意代碼補救 - 自動對偵測到的惡意代碼採取動作,例如刪除或隔離惡意檔案,以及清除惡意登錄專案。
  • 簽章更新 - 自動安裝最新的保護簽章(病毒定義),以確保在預先決定的頻率上保護是最新的。
  • 反惡意代碼引擎更新 - 自動更新 Microsoft Antimalware 引擎。
  • 反惡意代碼平臺更新 - 自動更新 Microsoft Antimalware 平臺。
  • 主動保護 - 向 Microsoft Azure 報告偵測到的威脅和可疑資源的遙測元數據,以確保快速響應不斷演變的威脅環境,並透過 Microsoft Active Protection System (MAPS) 啟用即時同步簽章傳遞。
  • 範例報告 - 提供和報告 Microsoft Antimalware 服務的範例,以協助精簡服務並啟用疑難解答。
  • 排除專案 - 允許應用程式和服務系統管理員設定檔案、進程和磁碟驅動器的排除專案。
  • Antimalware 事件收集 - 記錄操作系統事件記錄檔中採取的反惡意代碼服務健康情況、可疑活動和補救動作,並將其收集到客戶的 Azure 儲存體 帳戶中。

注意

您也可以使用 適用於雲端的 Microsoft Defender 部署 Microsoft Antimalware。 如需詳細資訊,請參閱在 適用於雲端的 Microsoft Defender 中安裝 Endpoint Protection。

架構

適用於 Azure 的 Microsoft Antimalware 包含 Microsoft Antimalware 用戶端和服務、Antimalware 傳統部署模型、Antimalware PowerShell Cmdlet,以及 Azure 診斷 擴充功能。 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 操作系統系列支援 Microsoft Antimalware。 Windows Server 2008 操作系統不支援,Linux 也不支援。

Microsoft Antimalware 用戶端和服務預設會在 雲端服務 平臺中所有支援的 Azure 客體作業系統系列中,以停用狀態安裝。 Microsoft Antimalware 用戶端和服務預設不會安裝在 虛擬機器 平臺中,而且可透過安全性延伸模組下的 Azure 入口網站 和 Visual Studio 虛擬機設定,作為選用功能。

在 Windows 上使用 Azure App 服務 時,裝載 Web 應用程式的基礎服務已啟用 Microsoft Antimalware。 這是用來保護 Azure App 服務 基礎結構,而且不會在客戶內容上執行。

注意

Microsoft Defender 防毒軟體 是 Windows Server 2016 和更新版本中啟用的內建 Antimalware。 Azure VM Antimalware 擴充功能仍可新增至具有 Microsoft Defender 防毒軟體 的 Windows Server 2016 和更新版本 Azure VM。 在此案例中,擴充功能會套用任何選用的組態原則,Microsoft Defender 防毒軟體 延伸模組不會部署任何其他反惡意代碼服務。 如需詳細資訊,請參閱 本文的<範例 >一節以取得詳細數據。

Microsoft 反惡意代碼工作流程

Azure 服務管理員可以使用下列選項,為您的 虛擬機器 和 雲端服務 啟用 Azure 的反惡意代碼軟體預設或自定義組態:

  • 虛擬機器 - 在 Azure 入口網站 中,於 [安全性延伸模組] 底下
  • 虛擬機器 - 在 [伺服器總管] 中使用 Visual Studio 虛擬機設定
  • 虛擬機器 和 雲端服務 - 使用反惡意代碼傳統部署模型
  • 虛擬機器 和 雲端服務 - 使用反惡意代碼 PowerShell Cmdlet

Azure 入口網站 或 PowerShell Cmdlet 會將 Antimalware 擴充功能套件檔案推送至預先決定固定位置的 Azure 系統。 Azure 客體代理程式 (或網狀架構代理程式) 會啟動 Antimalware 擴充功能,並套用提供作為輸入的 Antimalware 組態設定。 此步驟會啟用具有預設或自定義組態設定的 Antimalware 服務。 如果未提供任何自定義組態,則會使用預設組態設定來啟用反惡意代碼服務。 如需詳細資訊,請參閱 本文的範例 一節以取得詳細資訊。

執行之後,Microsoft Antimalware 用戶端會從因特網下載最新的保護引擎和簽章定義,並在 Azure 系統上載入它們。 Microsoft Antimalware 服務會將服務相關事件寫入 「Microsoft Antimalware」事件來源底下的系統 OS 事件記錄檔。 事件包括反惡意代碼用戶端健全狀況狀態、保護和補救狀態、新舊組態設定、引擎更新和簽章定義,以及其他。

您可以啟用雲端服務或虛擬機的 Antimalware 監視,讓反惡意代碼事件記錄檔事件在產生至 Azure 記憶體帳戶時寫入。 Antimalware 服務會使用 Azure 診斷 擴充功能,將反惡意代碼事件從 Azure 系統收集到客戶 Azure 儲存體 帳戶中的數據表。

此檔的反惡意代碼部署案例一節記載了上述案例支援的設定步驟和選項的部署工作流程。

Microsoft Antimalware in Azure

注意

不過,您可以使用 PowerShell/API 和 Azure Resource Manager 範本,使用 Microsoft Anti-Malware 擴充功能來部署 虛擬機器擴展集。 若要在執行中的虛擬機上安裝擴充功能,您可以使用範例 Python 腳本 vmssextn.py。 此腳本會取得擴展集上現有的擴充功能組態,並將擴充功能新增至 VM 擴展集上現有的擴充功能清單。

預設和自定義反惡意代碼組態

當您未提供自定義組態設定時,會套用預設組態設定來啟用 Azure 雲端服務 或 虛擬機器 的反惡意代碼軟體。 默認組態設定已預先優化,以在 Azure 環境中執行。 您可以選擇性地自定義 Azure 應用程式或服務部署所需的這些預設組態設定,並將其套用至其他部署案例。

下表摘要說明 Antimalware 服務可用的組態設定。 默認組態設定會標示在標示為 「Default」 的資料行底下。

Table 1

反惡意代碼部署案例

本節將討論啟用和設定反惡意代碼軟體的案例,包括監視 Azure 雲端服務 和 虛擬機器。

虛擬機 - 啟用和設定反惡意代碼軟體

使用 Azure 入口網站 建立 VM 時部署

請遵循下列步驟,在布建虛擬機時,使用 Azure 入口網站 來啟用及設定適用於 Azure 虛擬機器 的 Microsoft Antimalware:

  1. 登入 Azure 入口網站
  2. 若要建立新的虛擬機,請流覽至 [虛擬機],選取 [新增],然後選擇 [ Windows Server]。
  3. 選取您想要使用的 Windows 伺服器版本。
  4. 選取建立Create virtual machine
  5. 提供 [名稱]、[用戶名稱]、[密碼],然後建立新的資源群組,或選擇現有的資源群組。
  6. 選取 [確定]
  7. 選擇 VM 大小。
  8. 在下一節中,針對您的需求做出適當的選擇,請選取 [ 延伸模組 ] 區段。
  9. 選取 [新增擴充功能]
  10. 在 [新增資源] 下,選擇 [Microsoft Antimalware]。
  11. 選取 [建立]
  12. 在 [ 安裝擴充功能] 區段檔案中,可以設定位置和進程排除專案,以及其他掃描選項。 選擇 [ 確定]。
  13. 選擇 [ 確定]。
  14. 回到 [設定] 區段,選擇 [確定]。
  15. 在 [ 建立] 畫面中,選擇 [ 確定]。

請參閱此 Azure Resource Manager 範本 ,以部署適用於 Windows 的 Antimalware VM 擴充功能。

使用 Visual Studio 虛擬機設定進行部署

若要使用 Visual Studio 啟用及設定 Microsoft Antimalware 服務:

  1. 連線 Visual Studio 中的 Microsoft Azure。

  2. 在 [伺服器總管] 的 [虛擬機器] 節點中選擇您的虛擬機

    Virtual Machine configuration in Visual Studio

  3. 以滑鼠右鍵按兩下 [設定 ] 以檢視 [虛擬機設定] 頁面

  4. 從 [已安裝的擴充功能] 下拉式清單中選取 [Microsoft Antimalware 擴充功能],然後按兩下 [新增] 以使用預設反惡意代碼組態進行設定。 Installed extensions

  5. 若要自定義預設的 Antimalware 組態,請在已安裝的擴充功能清單中選取 [反白顯示] 反惡意代碼擴充功能,然後按兩下 [ 設定]。

  6. 在 [公用組態] 文本框中,以您支援的 JSON 格式 自定義組態取代預設的 Antimalware 組態 ,然後按兩下 [確定]。

  7. 按兩下 [ 更新] 按鈕,將設定更新推送至虛擬機。

    Virtual Machine configuration extension

注意

Antimalware 的 Visual Studio 虛擬機器 組態僅支援 JSON 格式設定。 如需詳細資訊,請參閱 本文的<範例 >一節以取得詳細數據。

使用 PowerShell Cmdlet 進行部署

Azure 應用程式或服務可以使用 PowerShell Cmdlet 來啟用及設定適用於 Azure 虛擬機器 的 Microsoft Antimalware。

若要使用 PowerShell Cmdlet 來啟用及設定 Microsoft Antimalware:

  1. 設定 PowerShell 環境 - 請參閱下列檔: https://github.com/Azure/azure-powershell
  2. 使用 Set-AzureVMMicrosoftAntimalwareExtension Cmdlet 為您的虛擬機啟用和設定 Microsoft Antimalware。

注意

Antimalware 的 Azure 虛擬機器 組態僅支援 JSON 格式設定。 如需詳細資訊,請參閱 本文的<範例 >一節以取得詳細數據。

使用 PowerShell Cmdlet 啟用及設定反惡意程式碼軟體

Azure 應用程式或服務可以使用 PowerShell Cmdlet 來啟用及設定適用於 Azure 雲端服務 的 Microsoft Antimalware。 Microsoft Antimalware 會以 雲端服務 平臺的停用狀態安裝,且 Azure 應用程式需要採取動作才能啟用它。

若要使用 PowerShell Cmdlet 來啟用及設定 Microsoft Antimalware:

  1. 設定 PowerShell 環境 - 請參閱下列檔: https://github.com/Azure/azure-powershell
  2. 使用 Set-AzureServiceExtension Cmdlet 為您的雲端服務啟用和設定 Microsoft Antimalware。

如需詳細資訊,請參閱 本文的<範例 >一節以取得詳細數據。

雲端服務 和 虛擬機器 - 使用 PowerShell Cmdlet 進行設定

Azure 應用程式或服務可以使用 PowerShell Cmdlet 擷取 雲端服務 和 虛擬機器 的 Microsoft Antimalware 組態。

若要使用 PowerShell Cmdlet 擷取 Microsoft Antimalware 組態:

  1. 設定 PowerShell 環境 - 請參閱下列檔: https://github.com/Azure/azure-powershell
  2. 針對 虛擬機器:使用 Get-AzureVMMicrosoftAntimalwareExtension Cmdlet 來取得反惡意代碼組態。
  3. 針對 雲端服務:使用 Get-AzureServiceExtension Cmdlet 來取得 Antimalware 組態。

範例

使用 PowerShell Cmdlet 移除反惡意代碼組態

Azure 應用程式或服務可以從與雲端服務或虛擬機相關聯的 Azure Antimalware 和診斷服務延伸模組中移除反惡意代碼組態和任何相關聯的反惡意代碼監視組態。

若要使用 PowerShell Cmdlet 移除 Microsoft Antimalware:

  1. 設定 PowerShell 環境 - 請參閱下列檔: https://github.com/Azure/azure-powershell
  2. 針對 虛擬機器:使用 Remove-AzureVMMicrosoftAntimalwareExtension Cmdlet。
  3. 針對 雲端服務:使用 Remove-AzureServiceExtension Cmdlet。

若要 使用 Azure 預覽入口網站為虛擬機啟用 反惡意代碼事件收集:

  1. 在 [虛擬機] 刀鋒視窗中按兩下 [監視] 鏡頭的任何部分
  2. 按兩下 [計量] 刀鋒視窗上的 [診斷] 命令
  3. 選取 [ 狀態 開啟],並檢查 Windows 事件系統的選項
  4. . 您可以選擇取消核取清單中所有其他選項,或讓這些選項符合您的應用程式服務需求。
  5. 反惡意代碼事件類別「錯誤」、「警告」、「資訊」等,會擷取在您的 Azure 儲存體 帳戶中。

反惡意代碼事件會從 Windows 事件系統記錄收集到您的 Azure 儲存體 帳戶。 您可以選取適當的記憶體帳戶,設定虛擬機 儲存體 帳戶以收集反惡意代碼事件。

Metrics and diagnostics

使用適用於 Azure Resource Manager VM 的 PowerShell Cmdlet 來啟用和設定 Antimalware

若要使用 PowerShell Cmdlet 為 Azure Resource Manager VM 啟用和設定 Microsoft Antimalware:

  1. 使用 GitHub 上的本 文件 設定 PowerShell 環境。
  2. 使用 Set-AzureRmVMExtension Cmdlet 為您的 VM 啟用和設定 Microsoft Antimalware。

下列程式代碼範例可供使用:

使用 PowerShell Cmdlet 啟用和設定 Azure 雲端服務擴充支援 (CS-ES) 的反惡意程式碼軟體

若要使用 PowerShell Cmdlet 來啟用及設定 Microsoft Antimalware:

  1. 設定 PowerShell 環境 - 請參閱下列檔: https://github.com/Azure/azure-powershell
  2. 使用 New-AzCloudServiceExtensionObject Cmdlet 為您的雲端服務 VM 啟用和設定 Microsoft Antimalware。

下列程式代碼範例可供使用:

使用已啟用 Azure Arc 之伺服器的 PowerShell Cmdlet 啟用和設定 Antimalware

若要使用 PowerShell Cmdlet 為已啟用 Azure Arc 的伺服器啟用和設定 Microsoft Antimalware:

  1. 使用 GitHub 上的本 文件 設定 PowerShell 環境。
  2. 使用 New-Az 連線 edMachineExtension Cmdlet 為已啟用 Arc 的伺服器啟用和設定 Microsoft Antimalware。

下列程式代碼範例可供使用:

下一步

請參閱 程式代碼範例 ,以啟用及設定適用於 Azure Resource Manager (ARM) 虛擬機的 Microsoft Antimalware。