共用方式為

使用 SAP 在 Windows Server 上Microsoft適用於端點的 Defender

  • 發行項

適用於:

如果您的組織使用 SAP,請務必瞭解適用於端點的 Microsoft Defender 和 SAP 應用程式中的 防病毒軟體EDR 之間的相容性和支援。 本文可協助您瞭解 SAP 針對適用於端點的 Defender 等端點保護安全性解決方案所提供的支援,以及它們如何與 SAP 應用程式互動。

本文說明如何在 Windows Server 上搭配使用適用於端點的 Microsoft Defender 與 SAP 應用程式,例如 NetWeaver 和 S4 Hana,以及 SAP 獨立引擎,例如 LiveCache。 在本文中,我們著重於適用於端點的 Defender 中的防病毒軟體和 EDR 功能。 如需適用於端點的所有 Defender 功能概觀,請 參閱 Microsoft Defender for Endpoint

本文不涵蓋 SAP 用戶端軟體,例如 SAPGUI 或 Microsoft Windows 用戶端裝置上的 Defender 防病毒軟體。

企業安全性和 SAP 基礎小組

企業安全性是專家角色,本文中所述的活動應規劃為企業安全性小組與 SAP 基礎小組之間的聯合活動。 企業安全性小組必須與 SAP 基礎小組協調,並共同設計適用於端點的 Defender 設定,並分析任何排除專案。

取得適用於端點的Defender概觀

適用於端點的 Defender 是 Microsoft Defender XDR 的元件,可與您的 SIEM/SOAR 解決方案整合。

開始使用 SAP 在 Windows Server 上規劃或部署適用於端點的 Defender 之前,請花點時間取得適用於端點的 Defender 概觀。 下列影片提供概觀:

如需適用於端點的 Defender 和 Microsoft 安全性供應專案的詳細資訊,請參閱下列資源:

適用於端點的 Defender 包含超出本文範圍的功能。 在本文中,我們著重於兩個主要領域:

  • 新一代保護 (,其中包含防病毒軟體保護) 。 新一代保護 是防病毒軟體產品,就像 Windows 環境的其他防病毒軟體解決方案一樣。
  • 端點偵測和回應 (EDR) 。 EDR 功能 會偵測可疑的活動和系統呼叫,並針對略過防病毒軟體保護的威脅提供額外的保護層。

Microsoft和其他安全性軟體廠商追蹤威脅並提供趨勢資訊。 如需詳細資訊,請參閱網路威脅、病毒和惡意代碼 - Microsoft資訊安全情報。

注意事項

如需 Linux 上適用於 SAP 的 Microsoft Defender 的相關信息,請參 閱適用於 SAP 的 Linux 上適用於端點的 Microsoft Defender 的部署指引。 Linux 上適用於端點的 Defender 與 Windows 版本明顯不同。

適用於端點的Defender和其他安全性解決方案上的SAP支援聲明

SAP 提供傳統檔案掃描防病毒軟體解決方案的基本檔。 傳統檔案掃描防病毒軟體解決方案會比較檔案簽章與已知威脅的資料庫。 識別出受感染的檔案時,防病毒軟體通常會發出警示並隔離檔案。 檔案掃描防病毒軟體解決方案的機制和行為相當已知且可預測;因此,SAP 支援可以為與檔案掃描防病毒軟體互動的 SAP 應用程式提供基本層級的支援。

檔案型威脅現在是惡意軟體的一個可能媒介。 不在陸地的無檔案惡意代碼和惡意代碼、變化速度比傳統解決方案更快的高多型威脅,以及可適應攻擊者在遭入侵裝置上所發現之攻擊的人類操作攻擊。 傳統的防病毒軟體安全性解決方案不足以阻止這類攻擊。 人工智慧 (AI) 和裝置學習 (ML) 支援的功能,例如行為封鎖和內含專案。 適用於端點的Defender等安全性軟體具有進階威脅防護功能,可減輕新式威脅。

適用於端點的 Defender 會持續監視作業系統呼叫,例如檔案讀取、檔案寫入、建立套接字和其他處理層級作業。 適用於端點的 Defender EDR 感測器會在本機 NTFS 檔案系統上取得商機鎖定,因此不太可能影響應用程式。 在遠端網路檔案系統上無法使用機會鎖定。 在極少數情況下,鎖定可能會導致一般非特定錯誤,例如 SAP 應用程式中的 拒絕存取

SAP 無法提供任何層級的 EDR/XDR 軟體支援 ,例如 Microsoft Defender XDR適用於端點的 Defender。 這類解決方案中的機制具有調適性;因此,它們是不可預測的。 此外,問題可能無法重現。 在執行進階安全性解決方案的系統上發現問題時,SAP 建議停用安全性軟體,然後嘗試重現問題。 接著可以向安全性軟體廠商提出支援案例。

如需 SAP 支援原則的詳細資訊, 請參閱 3356389 - 防病毒軟體或其他影響 SAP 作業的安全性軟體

以下是您可以視需要使用的 SAP 文章清單:

Windows Server 上的 SAP 應用程式:前 10 大建議

  1. 限制對 SAP 伺服器的存取、封鎖網路埠,以及採取所有其他常見的安全性保護措施。 第一個步驟是不可或缺的。 威脅環境已從檔案型病毒發展為無檔案複雜且複雜的威脅。 封鎖 埠和限制 VM 登入/存取 等動作 不再被視為足以 完全減輕新式威脅。

  2. 在部署至生產系統之前,請先將適用於端點的 Defender 部署至非生產系統。 將適用於端點的 Defender 直接部署到生產系統而不進行測試是高風險的,而且可能會導致停機。 如果您無法延遲將適用於端點的 Defender 部署到生產系統,請考慮暫時停用 竄改保護實時保護

  3. 請記住,Windows Server 預設會啟用即時保護。 如果發現可能與適用於端點的 Defender 相關的問題,建議您設定 排除 專案和/或透過 Microsoft Defender 入口網站 開啟支援案例

  4. 讓 SAP 基礎小組與您的安全性小組在適用於端點的 Defender 部署上共同作業。 這兩個小組必須共同建立階段式部署、測試和監視計劃。

  5. 使用 PerfMon (Windows) 等工具,在部署和啟用適用於端點的 Defender 之前建立效能基準。 比較啟用適用於端點的Defender前後的效能使用率。 請參閱 perfmon

  6. 部署適用於端點的 Defender 最新版本,並使用最新版本的 Windows,最好是 Windows Server 2019 或更新版本。 請參閱 適用於端點的 Microsoft Defender 的最低需求

  7. 設定 Microsoft Defender 防病毒軟體的特定排除專案。 包括:

    • DBMS 資料檔、記錄檔和暫存盤,包括包含備份檔的磁碟
    • SAPMNT 目錄的整個內容
    • SAPLOC 目錄的整個內容
    • TRANS 目錄的整個內容
    • 獨立引擎的整個目錄內容,例如 TREX

    進階使用者可以考慮使用 關係型檔案和資料夾排除專案

    如需 DBMS 排除專案的詳細資訊,請使用下列資源:

  8. 確認適用於端點的 Defender 設定。 Microsoft SAP 應用程式的 Defender 防病毒軟體在大部分情況下都應該有下列設定:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. 使用 Intune適用於端點的 Defender 安全性設定管理 等工具來設定適用於端點的 Defender。 這類工具可協助確保適用於端點的Defender已正確且統一地部署。

    若要使用適用於端點的Defender安全性設定管理,請在 Microsoft Defender 入口網站中,移至 [ 端點>設定管理>端點] 安全策略,然後選取 [ 建立新原則]。 如需詳細資訊,請 參閱在適用於端點的 Microsoft Defender 中管理端點安全策略

  10. 使用適用於端點的Defender最新版本。 Windows 上適用於端點的 Defender 正在實作數個新功能,這些功能已使用 SAP 系統進行測試。 這些新功能可減少封鎖和降低CPU耗用量。 如需新功能的詳細資訊,請參閱 適用於端點的 Microsoft Defender 的新功能

部署方法

SAP 和 Microsoft 不建議將適用於 Windows 端點的 Defender 直接同時部署到所有開發、QAS 和生產系統,以及/或不需仔細測試和監視。 以不受控制的方式部署適用於端點的 Defender 和其他類似軟體,但未進行適當測試的客戶,因此會發生系統停機。

適用於 Windows 端點的 Defender 和任何其他軟體或組態變更應該先部署到開發系統、在 QAS 中驗證,然後才部署到生產環境。

使用適用於 端點的 Defender 安全性設定管理 等工具,將適用於端點的 Defender 部署到整個 SAP 環境而不進行測試,可能會導致停機。

以下是要檢查的項目清單:

  1. 部署已啟用 竄改保護 的適用於端點的 Defender。 如果發生問題,請啟用 疑難解答模式、停用 竄改保護、停用 實時保護,以及設定 排程掃描

  2. 請遵循您的 DBMS 廠商建議,排除 DBMS 檔案和可執行檔

  3. 分析 SAPMNT、SAP TRANS_DIR、多任務緩衝處理和作業記錄檔目錄。 如果有超過 100,000 個檔案,請考慮封存以減少檔案數目。

  4. 確認用於 SAPMNT 之共用文件系統的效能限制和配額。 SMB 共用來源可以是 NetApp 設備、Windows Server 共用磁碟或 Azure 檔案服務 SMB。

  5. 設定排除專案,讓所有 SAP 應用程式伺服器不會同時掃描 SAPMNT 共用,因為它可能會多載您的共用記憶體伺服器。

  6. 一般而言,是專用非 SAP 檔伺服器上的主機介面檔案。 介面檔案可辨識為攻擊媒介。 應該在此專用檔伺服器上啟用即時保護。 SAP 伺服器絕對不應該當做介面檔案的文件伺服器使用。

    注意事項

    某些大型 SAP 系統有超過 20 部 SAP 應用程式伺服器,每個伺服器都連線到相同的 SAPMNT SMB 共用。 同時掃描相同 SMB 伺服器的 20 部應用程式伺服器可能會多載 SMB 伺服器。 建議您將 SAPMNT 排除在一般掃描之外。

Windows Server 上適用於端點的 Defender 與 SAP 的重要組態設定

  1. 取得適用於端點的 Microsoft Defender 概觀。 特別是,請檢閱 新一代保護EDR 的相關信息。

    注意事項

    Defender 一詞有時用來參考整套產品和解決方案。 請參閱什麼是Microsoft Defender XDR?。 在本文中,我們著重於適用於端點的 Defender 中的防病毒軟體和 EDR 功能。

  2. 檢查 Microsoft Defender 防病毒軟體的狀態。 開啟命令提示字元,然後執行下列 PowerShell 命令:

    Get-MpComputerStatus,如下所示:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    的預期輸出:Get-MpComputerStatus

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference,如下所示:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    的預期輸出:Get-MpPreference

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. 檢查 EDR 的狀態。 開啟命令提示字元,然後執行下列命令:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    您應該看到類似下列代碼段的輸出:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    您要看到的值為 Status: RunningStartType: Automatic

    如需輸出的詳細資訊,請參 閱使用事件查看器檢閱事件和錯誤

  4. 請確定 Microsoft Defender 防病毒軟體為最新狀態。 確保防病毒軟體保護為最新狀態的最佳方式是使用 Windows Update。 如果您遇到問題或收到錯誤,請連絡安全性小組。

    如需更新的詳細資訊,請參閱 Microsoft Defender 防病毒軟體安全情報和產品更新。

  5. 請確定已開啟行為監視。 啟用竄改保護時,預設會開啟行為監視。 除非發現特定問題,否則請使用啟用竄改保護、啟用行為監視和啟用即時監視的預設組態。

    如需詳細資訊,請參閱 內建保護有助於防範勒索軟體

  6. 請確定 已啟用即時保護。 Windows 上適用於端點的 Defender 目前建議啟用即時掃描,並啟用竄改保護、啟用行為監視,以及啟用即時監視,除非發現特定問題。

    如需詳細資訊,請參閱 內建保護有助於防範勒索軟體

  7. 請記住掃描如何使用網路共用。 根據預設,Windows 上的 Microsoft Defender 防病毒軟體元件會掃描 SMB 共用網路文件系統 (例如,當進程存取這些檔案時,Windows 伺服器共用 \\server\smb-share 或 NetApp 共用) 。

    適用於 Windows 上適用於端點 EDR 的 Defender 可能會掃描 SMB 共用網路文件系統。 EDR 感測器會掃描在檔案修改、刪除和移動作業期間,識別為 EDR 分析感興趣的特定檔案。

    Linux 上適用於端點的 Defender 不會在 排程掃描期間掃描 NFS 檔系統。

  8. 針對感知健康情況或可靠性問題進行疑難解答。 若要針對這類問題進行疑難解答,請使用 適用於端點的 Defender 用戶端分析器工具。 在執行 Windows、Linux 或 macOS 的上線裝置上診斷感測器健康情況或可靠性問題時,適用於端點的 Defender 用戶端分析器會很有用。 在這裡取得適用於端點的Defender用戶端分析器的最新版本: https://aka.ms/MDEAnalyzer

  9. 如果您需要協助,請開啟支援案例。 請 參閱連絡 Microsoft Defender for Endpoint 支援

  10. 如果您使用生產 SAP VM 搭配 適用於雲端的 Microsoft Defender,請記住,適用於雲端的 Defender 會將適用於端點的 Defender 擴充功能部署到所有 VM。 如果 VM 未上線至適用於端點的 Defender,則可作為攻擊媒介。 如果您需要更多時間在刪除生產環境之前測試適用於端點的 Defender,請 連絡支持人員

實用命令:Microsoft適用於端點的Defender與 Windows Server 上的 SAP

下列各節說明如何使用 PowerShell 和命令提示字元來確認或設定適用於端點的 Defender 設定:

手動更新 Microsoft Defender 防病毒軟體定義

使用 Windows Update,或執行下列命令:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

您應該看到類似下列代碼段的輸出:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

另一個選項是使用此指令:

PS C:\Program Files\Windows Defender> Update-MpSignature

如需這些命令的詳細資訊,請參閱下列資源:

判斷區塊模式中的 EDR 是否已開啟

當 Microsoft Defender 防病毒軟體不是主要的防病毒軟體產品,且在被動模式中執行時,封鎖模式中的 EDR 可提供額外的保護來防範惡意構件。 您可以執行下列命令,判斷區塊模式中的 EDR 是否已啟用:

Get-MPComputerStatus|select AMRunningMode

有兩種模式:一般模式和被動模式。 使用 SAP 系統的測試僅 AMRunningMode = Normal 針對 SAP 系統完成。

如需此命令的詳細資訊,請參閱 Get-MpComputerStatus

設定防病毒軟體排除專案

設定排除專案之前,請確定 SAP 基礎小組與您的安全性小組協調。 排除項目應該集中設定,而不是在 VM 層級設定。 您應該使用 Intune 管理入口網站,透過原則排除共用 SAPMNT 文件系統等排除專案。

若要檢視排除專案,請使用下列命令:

Get-MpPreference | Select-Object -Property ExclusionPath

如需此命令的詳細資訊,請參閱 Get-MpComputerStatus

如需排除專案的詳細資訊,請參閱下列資源:

設定 EDR 排除專案

不建議從 EDR 中排除檔案、路徑或進程,因為這類排除專案可保護新式非檔案型威脅。 如有必要,請透過 Microsoft Defender 入口網站開啟支援案例,其中包含Microsoft支援,並指定要排除的可執行檔和/或路徑。 請 參閱連絡 Microsoft Defender for Endpoint 支援

針對測試目的,在 Windows 上完全停用適用於端點的 Defender

注意

除非沒有解決問題或隔離問題的替代方案,否則不建議停用安全性軟體。

適用於端點的Defender應設定為已開啟 竄改保護 。 若要暫時停用適用於端點的 Defender 來隔離問題,請使用 疑難解答模式

若要關閉 Microsoft Defender 防病毒軟體解決方案的各種子元件,請執行下列命令:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

如需這些命令的詳細資訊,請參閱 Set-MpPreference

重要事項

您無法關閉裝置上的 EDR 子元件。 關閉 EDR 的唯一方法是將 裝置離線

若要關閉進階保護服務或 MAPS) (Microsoft 雲端式保護 ,請執行下列命令:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

如需雲端式保護的詳細資訊,請參閱下列資源: