Extension Microsoft Antimalware pour Windows
Vue d’ensemble
Les menaces qui pèsent sur les environnements cloud étant extrêmement dynamiques, la pression est de plus en plus forte sur les services informatiques des entreprises gérant les abonnements au cloud pour qu’ils maintiennent une protection efficace afin de répondre aux impératifs de conformité et de sécurité. Microsoft Antimalware pour Azure est une fonctionnalité de protection en temps réel gratuite. Microsoft Antimalware permet d’identifier et de supprimer les virus, les logiciels espions et autres logiciels malveillants, en émettant des alertes configurables qui vous avertissent quand un logiciel malveillant ou indésirable connu tente de s’installer ou de s’exécuter sur vos systèmes Azure. La solution s’appuie sur la même plateforme anti-programme malveillant que Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune et Windows Defender pour Windows 8.0 et ultérieur. Microsoft Antimalware pour Azure est une solution d’agent unique pour les applications et les environnements client, conçue pour s’exécuter en arrière-plan sans intervention humaine. Vous pouvez déployer la protection en fonction des besoins de vos charges de travail d’application, avec une configuration de base sécurisée par défaut ou une configuration personnalisée avancée, y compris pour la surveillance anti-programmes malveillants.
Conditions préalables requises
Système d’exploitation
La solution Microsoft Antimalware pour Azure inclut le client et le service Microsoft Antimalware, le modèle de déploiement classique Antimalware, les applets de commande Antimalware PowerShell et l’extension de diagnostics Azure. La solution Microsoft Antimalware est prise en charge sur Windows Server 2008 R2, Windows Server 2012 et les familles de systèmes d’exploitation Windows Server 2012 R2. Cette solution n’est pas prise en charge sur le système d’exploitation Windows Server 2008, ni sur Linux.
Windows Defender est le logiciel anti-programme malveillant intégré activé dans Windows Server 2016. L’interface de Windows Defender est également activée par défaut sur certaines références SKU de Windows Server 2016. Vous pouvez toujours ajouter l’extension Antimalware pour machines virtuelles Azure à une machine virtuelle Azure Windows Server 2016 ou version ultérieure avec Windows Defender. Dans ce scénario, l’extension applique les stratégies de configuration facultatives à utiliser par Windows Defender. L’extension ne déploie aucun autre service antiprogramme malveillant. Pour plus d’informations, consultez la section Exemples de l’article sur Microsoft Antimalware.
Connectivité Internet
La machine virtuelle cible doit être connectée à internet afin que Microsoft Antimalware pour Windows reçoive régulièrement des mises à jour pour le moteur et les signatures.
Déploiement de modèle
Les extensions de machines virtuelles Azure peuvent être déployées avec des modèles Azure Resource Manager. Les modèles sont idéaux lorsque vous déployez une ou plusieurs machines virtuelles nécessitant une configuration post-déploiement, comme l’intégration au logiciel anti-programme malveillant d’Azure.
La configuration JSON pour une extension de machine virtuelle peut être imbriquée à l’intérieur de la ressource de machine virtuelle ou placée à la racine ou au niveau supérieur d’un modèle de Resource Manager JSON. Le positionnement de la configuration JSON affecte la valeur du nom de la ressource et son type. Pour plus d’informations, consultez Définition du nom et du type des ressources enfants.
L’exemple suivant suppose que l’extension de machine virtuelle est imbriquée dans la ressource de machine virtuelle. Lors de l’imbrication de la ressource d’extension, le JSON est placé dans l’objet "resources": []
de la machine virtuelle.
{
"type": "Microsoft.Compute/virtualMachines/extensions",
"name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
"apiVersion": "2019-07-01",
"location": "[resourceGroup().location]",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
],
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "IaaSAntimalware",
"typeHandlerVersion": "1.3",
"autoUpgradeMinorVersion": true,
"settings": {
"AntimalwareEnabled": "true",
"Exclusions": {
"Extensions": ".ext1;.ext2",
"Paths": "c:\excluded-path-1;c:\excluded-path-2",
"Processes": "excludedproc1.exe;excludedproc2.exe"
},
"RealtimeProtectionEnabled": "true",
"ScheduledScanSettings": {
"isEnabled": "true",
"scanType": "Quick",
"day": "7",
"time": "120"
}
},
"protectedSettings": null
}
}
Vous devez inclure au minimum le contenu suivant pour activer l’extension de Microsoft Antimalware :
{ "AntimalwareEnabled": true }
Exemple de configuration JSON de Microsoft Antimalware :
{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },
"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}
AntimalwareEnabled
paramètre obligatoire
Valeurs : true/false
- true = Activée
- false = Error, car false n’est pas une valeur prise en charge
RealtimeProtectionEnabled
Valeurs : true/false, true étant la valeur par défaut
- true = Activée
- false = Désactivée
ScheduledScanSettings
isEnabled = true/false
day = 0 à 8 (0 = quotidien, 1 = dimanche, 2 = lundi, …, 7 = samedi, 8 = désactivé)
time = 0-1440 (measured in minutes after midnight - 60->1AM, 120 -> 2AM, ... )
scanType = Quick/Full (rapide/complète), la valeur par défaut est Quick
Si isEnabled = true est le seul paramètre fourni, les valeurs par défaut suivantes sont définies : day = 7 (samedi), time = 120 (2 h), scanType = "Quick".
Exclusions
- Plusieurs exclusions dans la même liste sont spécifiées en utilisant des délimiteurs point-virgule.
- Si aucune exclusion n’est spécifiée, les exclusions existantes, s’il y en a, sont remplacées par des blancs sur le système.
Déploiement PowerShell
Dépend du type de déploiement ; utilisez les commandes correspondantes pour déployer l’extension de logiciel anti-programme malveillant pour machine virtuelle Azure sur une machine virtuelle existante.
Dépannage et support technique
Dépanner
Les journaux d’activité de l’extension Microsoft Antimalware sont disponibles à l’emplacement suivant : %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware (PaaSAntimalware)\1.5.5.x ou (version #) \CommandExecution.log
Codes d’erreur et signification
Code d'erreur | Signification | Action possible |
---|---|---|
-2147156224 | MSI est occupé avec une autre installation | Essayez d’exécuter l’installation plus tard |
-2147156221 | Le programme d’installation de MSE est déjà en cours d’exécution | Exécutez une seule instance à la fois |
-2147156208 | Espace disque insuffisant < 200 Mo | Supprimez les fichiers inutilisés et réessayez l’installation |
-2147156187 | Un redémarrage a été demandé par la dernière installation, mise à niveau, mise à jour ou désinstallation | Redémarrez et réessayez d’installer |
-2147156121 | Le programme d’installation a tenté de supprimer le produit concurrent. La désinstallation du produit concurrent a cependant échoué | Essayez de supprimer le produit concurrent manuellement, redémarrez et réessayez l’installation |
-2147156116 | Échec de validation du fichier de stratégie | Assurez-vous que vous passez un fichier XML de stratégie valide au programme d’installation |
-2147156095 | Impossible de démarrer le service anti-programme malveillant | Vérifiez que tous les fichiers binaires sont correctement signés et que le fichier de licence approprié est installé |
-2147023293 | Une erreur irrécupérable s’est produite pendant l’installation. Elle survient dans la plupart des cas. EPP.msi, impossible d’inscrire\de démarrer\d’arrêter le service antiprogramme malveillant ou le pilote de minifiltre | Les journaux d’activité MSI à partir de EPP.msi sont nécessaires ici pour un examen ultérieur |
-2147023277 | Impossible d’ouvrir le package d’installation | Vérifiez que le package existe et qu’il est accessible, sinon contactez le fournisseur de l’application pour vérifier qu’il s’agit d’un package Windows Installer valide |
-2147156109 | Windows Defender est obligatoire en tant que prérequis | |
-2147205073 | L’émetteur websso n’est pas pris en charge | |
-2147024893 | Le système ne trouve pas le chemin spécifié | |
-2146885619 | Il ne s’agit pas d’un message chiffré, ou le message chiffré n’est pas mis en forme correctement | |
-1073741819 | L’instruction à 0x%p emploie l’adresse mémoire 0x%p. La mémoire ne peut pas être %s | |
1 | Fonction incorrecte |
Support
Si vous avez besoin d’aide supplémentaire à tout moment dans cet article, vous pouvez contacter les experts Azure sur les forums Azure et Stack Overflow. Vous pouvez également signaler un incident au support Azure. Accédez au site du support Azure, puis choisissez Sélectionnez un plan de support. Pour plus d’informations sur l’utilisation du support Azure, lisez le FAQ du support Microsoft Azure.