Share via

設定 AMSI 與 SharePoint Server 整合

  • 發行項

適用于:no-img-132013 yes-img-16 2016yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

簡介

網路安全性環境基本上已經改變,大規模、複雜的攻擊和訊號指出 人類操作的勒索軟體 正在增加。 與以往相比,讓內部部署基礎結構保持安全且最新狀態非常重要,包括 SharePoint Server。

為了協助客戶保護其環境並回應攻擊的相關威脅,我們引進了 SharePoint Server 與 Windows Antimalware Scan Interface (AMSI) 之間的整合。 AMSI 是一個多功能的標準,可讓應用程式和服務與電腦上任何支援 AMSI 的反惡意程式碼產品整合。

AMSI 整合功能的設計目的是要防止惡意 Web 要求到達 SharePoint 端點。 例如,在安裝安全性弱點的官方修正之前,若要在 SharePoint 端點中惡意探索安全性弱點。

AMSI 與 SharePoint Server 整合

當支援 AMSI 的防毒軟體或反惡意程式碼解決方案與 SharePoint Server 整合時,它可以檢查 HTTP 對伺服器提出的 和 HTTPS 要求,並防止 SharePoint Server 處理危險要求。 任何安裝在伺服器上且具備 AMSI 功能的防毒軟體或反惡意程式碼程式,都會在伺服器開始處理要求時立即執行掃描。

AMSI 整合的目的不是要取代伺服器上已安裝的現有防毒軟體/反惡意程式碼防禦;這是為了提供額外的保護層,以防止對 SharePoint 端點發出的惡意 Web 要求。 客戶仍應在其伺服器上部署與 SharePoint 相容的防毒軟體解決方案,以防止其使用者上傳或下載具有病毒的檔案。

必要條件

啟用 AMSI 整合之前,請在每個 SharePoint Server 上檢查下列必要條件:

  • Windows Server 2016或更高版本
  • SharePoint Server 訂閱版本 22H2 版或更新版本
  • SharePoint Server 2019組建 16.0.10396.20000 或更新版本 (KB 5002358:2023 年 3 月 14 日 SharePoint Server 2019)
  • SharePoint Server 2016 組建 16.0.5391.1000 或更新版本 (KB 5002385:SharePoint Server 2016) 2023 年 4 月 11 日安全性更新
  • Microsoft Defender AV 引擎版本為 1.1.18300.4 或更新版本, (或者,相容且支援 AMSI 的協力廠商防毒軟體/反惡意程式碼提供者)

啟動/停用適用于 SharePoint Server 的 AMSI

從 SharePoint Server 2016/2019 的 2023 年 9 月安全性更新和 SharePoint Server 訂閱版本 版 23H2 功能更新開始,預設會針對 SharePoint Server 內的所有 Web 應用程式啟用 AMSI 與 SharePoint Server 整合。 這項修改旨在增強客戶環境的一般安全性,並降低潛在的安全性缺口。 不過,根據其需求,客戶會保留停用 AMSI 整合功能的選項。

若要起始 2023 年 9 月的安全性更新,客戶只需要安裝更新並執行 SharePoint 產品設定精靈。

注意事項

如果客戶略過安裝 2023 年 9 月的公開更新,則在安裝後續的公開更新時,將會啟用這項變更,其中包含 SharePoint Server 2016/2019 的 2023 年 9 月安全性更新或適用于 SharePoint Server 訂閱版本 的版本 23H2 功能更新。

如果客戶不想在其 SharePoint Server 伺服器陣列內自動啟用 AMSI 整合,他們可以遵循下列步驟:

  1. 安裝 SharePoint Server 2016/2019 的 2023 年 9 月安全性更新或適用于 SharePoint Server 訂閱版本 的版本 23H2 功能更新。
  2. 執行 SharePoint 產品設定精靈。
  3. 請遵循標準步驟,在您的 Web 應用程式中停用 AMSI 整合功能。

如果您遵循這些步驟,SharePoint 將不會在安裝未來的公開更新時嘗試重新啟用此功能。

若要手動停用/啟用每個 Web 應用程式的 AMSI 整合,請執行下列步驟:

  1. 啟 SharePoint 管理中心,然後選取 [ 應用程式管理]
  2. 在 [ Web 應用程式]底下,選 取 [管理 Web 應用程式]
  3. 選取您要啟用 AMSI 整合的 Web 應用程式,然後選取工具列中的 [ 管理功能 ]。
  4. [SharePoint Server 反惡意程式碼掃描 ] 畫面上,選取 [ 停用 ] 以關閉 AMSI 整合,或選取 [ 啟用 ] 以切換 AMSI 整合。

或者,您可以執行下列 PowerShell 命令來停用 Web 應用程式的 AMSI 整合:

Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

或者,執行下列 PowerShell 命令來啟用 Web 應用程式的 AMSI 整合:

Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

測試並確認 AMSI 與 SharePoint Server 整合

您可以測試反惡意程式碼掃描介面 (AMSI) 功能,以確認其運作正常。 這牽涉到使用Microsoft Defender辨識的特殊測試字串將要求傳送至 SharePoint Server,以供測試之用。 此測試字串並不危險,但Microsoft Defender將其視為惡意,因此您可以確認它在遇到惡意要求時的行為。

如果在 SharePoint Server 中啟用 AMSI 整合,並使用 Microsoft Defender 作為其惡意程式碼偵測引擎,此測試字串的存在會導致要求遭到 AMSI 封鎖,而不是由 SharePoint 處理。

測試字串類似于 EICAR 測試檔案 ,但稍有不同,以避免 URL 編碼混淆。

您可以在 SharePoint Server 的要求中將測試字串新增為查詢字串或 HTTP 標頭,以測試 AMSI 整合。

使用查詢字串來測試 AMSI 整合

amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

例如:將要求傳送至 https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7 $eicar-standard-antivirus-test-fileh+h*

使用 HTTP 標頭來測試 AMSI 整合

amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

例如:傳送如下所示的要求。

GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Microsoft Defender偵測到下列惡意探索:

Exploit:Script/SharePointEicar.A

注意事項

如果您使用 Microsoft Defender 以外的惡意程式碼偵測引擎,則應該洽詢惡意程式碼偵測引擎廠商,以判斷測試其與 SharePoint Server 中 AMSI 功能整合的最佳方式。

其他參考

使用 Microsoft Defender 作為主要 AMSI 解決方案的效能效果

根據預設,Microsoft Defender支援AMSI 的解決方案 MDAV (MDAV) 會自動啟用並安裝在執行 Windows 10、Windows Server 2016 及更新版本的端點和裝置上。 如果您尚未安裝防毒軟體/反惡意程式碼應用程式,SharePoint Server AMSI 整合將會與 MDAV 搭配運作。 如果您安裝並啟用另一個防毒軟體/反惡意程式碼應用程式,MDAV 將會自動關閉。 如果您卸載另一個應用程式,MDAV 會自動重新開啟,而 SharePoint Server 整合將使用 MDAV。

在 SharePoint Server 上使用 MDAV 的優點包括:

  • MDAV 會擷取符合惡意內容的簽章。 如果 Microsoft 瞭解可封鎖的惡意探索,則可以部署新的 MDAV 簽章,以防止惡意探索影響 SharePoint。
  • 使用現有的技術來新增惡意內容的簽章。
  • 使用 Microsoft 惡意程式碼研究小組的專業知識來新增簽章。
  • 使用 MDAV 已適用于新增其他簽章的最佳做法。

因為 AMSI 掃描會使用 CPU 資源,所以可能會對 Web 應用程式造成效能影響。 使用 MDAV 測試時,從 AMSI 掃描觀察到的效能不會有不同影響,而且不會對現有記載的 SharePoint Server 防毒軟體排除專案進行任何變更。 每個防毒軟體提供者都會開發自己的定義,以利用 AMSI 技術。 因此,您的保護層級仍取決於更新特定解決方案以偵測最新威脅的速度。

透過命令列Microsoft Defender版本

注意事項

如果您使用 Microsoft Defender,您可以使用命令列,並確保使用最新版本更新簽章。

  1. 以系統管理員身分啟動 Command Prompt
  2. 瀏覽至 %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>
  3. 執行 mpcmdrun.exe -SignatureUpdate

這些步驟會決定您目前的引擎版本、檢查更新的定義,以及報告。

Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4 
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>