Rozszerzenie Microsoft Antimalware dla systemu Windows

  • Artykuł

Omówienie

Nowoczesny krajobraz zagrożeń dla środowisk w chmurze jest dynamiczny, zwiększając presję na subskrybentów chmury IT firmy, aby zachować skuteczną ochronę w celu spełnienia wymagań dotyczących zgodności i zabezpieczeń. Usługa Microsoft Antimalware dla platformy Azure jest bezpłatna i umożliwia ochronę w czasie rzeczywistym. Microsoft Antimalware pomaga identyfikować i usuwać wirusy, programy szpiegujące i inne złośliwe oprogramowanie, z konfigurowalnymi alertami, gdy znane złośliwe lub niechciane oprogramowanie próbuje zainstalować się lub uruchomić w systemach platformy Azure. Rozwiązanie jest oparte na tej samej platformie ochrony przed złośliwym oprogramowaniem co Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune i Windows Defender dla systemu Windows 8.0 i nowszych. Oprogramowanie microsoft Antimalware dla platformy Azure to rozwiązanie z jednym agentem dla aplikacji i środowisk dzierżawy, przeznaczone do uruchamiania w tle bez interwencji człowieka. Ochronę można wdrożyć na podstawie potrzeb obciążeń aplikacji przy użyciu podstawowej, domyślnej lub zaawansowanej konfiguracji niestandardowej, w tym monitorowania ochrony przed złośliwym kodem.

Wymagania wstępne

System operacyjny

Rozwiązanie Microsoft Antimalware dla platformy Azure obejmuje klienta microsoft antimalware oraz usługę, klasyczny model wdrażania oprogramowania chroniącego przed złośliwym kodem, polecenia cmdlet programu PowerShell chroniące przed złośliwym kodem i rozszerzenie Diagnostyka Azure. Rozwiązanie Microsoft Antimalware jest obsługiwane w systemach operacyjnych Windows Server 2008 R2, Windows Server 2012 i Windows Server 2012 R2. Nie jest obsługiwany w systemie operacyjnym Windows Server 2008, a także nie jest obsługiwany w systemie Linux.

Usługa Windows Defender jest wbudowaną funkcją ochrony przed złośliwym kodem w systemie Windows Server 2016. Interfejs windows Defender jest również domyślnie włączony w niektórych jednostkach SKU systemu Windows Server 2016. Rozszerzenie ochrony przed złośliwym kodem maszyny wirtualnej platformy Azure można nadal dodawać do maszyny wirtualnej z systemem Windows Server 2016 lub nowszej platformy Azure przy użyciu usługi Windows Defender. W tym scenariuszu rozszerzenie stosuje wszelkie opcjonalne zasady konfiguracji, które mają być używane przez usługę Windows Defender. Rozszerzenie nie wdraża żadnej innej usługi ochrony przed złośliwym kodem. Aby uzyskać więcej informacji, zobacz sekcję Przykłady artykułu Microsoft Antimalware.

Łączność z Internetem

Oprogramowanie Microsoft Antimalware dla systemu Windows wymaga, aby docelowa maszyna wirtualna jest połączona z Internetem w celu otrzymywania regularnych aktualizacji aparatu i podpisu.

Wdrażanie na podstawie szablonu

Rozszerzenia maszyn wirtualnych platformy Azure można wdrażać za pomocą szablonów usługi Azure Resource Manager. Szablony są idealne podczas wdrażania co najmniej jednej maszyny wirtualnej wymagającej konfiguracji po wdrożeniu, takiej jak dołączanie do usługi Azure Antimalware.

Konfiguracja JSON rozszerzenia maszyny wirtualnej może być zagnieżdżona wewnątrz zasobu maszyny wirtualnej lub umieszczona na poziomie głównym lub najwyższym szablonu JSON usługi Resource Manager. Umieszczanie konfiguracji JSON wpływa na wartość nazwy i typu zasobu. Aby uzyskać więcej informacji, zobacz Ustawianie nazwy i typu dla zasobów podrzędnych.

W poniższym przykładzie założono, że rozszerzenie maszyny wirtualnej jest zagnieżdżone wewnątrz zasobu maszyny wirtualnej. Podczas zagnieżdżania zasobu rozszerzenia kod JSON jest umieszczany w "resources": [] obiekcie maszyny wirtualnej.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Aby włączyć rozszerzenie firmy Microsoft chroniące przed złośliwym kodem, należy uwzględnić co najmniej następującą zawartość:

{ "AntimalwareEnabled": true }

Przykład konfiguracji JSON programu Microsoft Antimalware:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

Oprogramowanie chroniące przed złośliwym kodemEnabled

  • parametr wymagany

  • Wartości: prawda/fałsz

    • true = Włącz
    • false = Błąd, ponieważ wartość false nie jest obsługiwaną wartością

RealtimeProtectionEnabled

  • Wartości: prawda/fałsz, wartość domyślna to true

    • true = Włącz
    • false = Wyłącz

ScheduledScanSettings

  • isEnabled = true/false

  • dzień = 0-8 (0-codziennie, 1-niedziela, 2-poniedziałek, ...., 7-sobota, 8-wyłączone)

  • czas = 0-1440 (mierzony w minutach po północy - 60-1:00, 120-2>>:00, ... )

  • scanType = Quick/Full, wartość domyślna to Quick

  • Jeśli isEnabled = true jest jedynym podanym ustawieniem, następujące wartości domyślne są ustawione: day=7 (sobota), time=120 (2 AM), scanType="Quick"

Wykluczenia

  • Wiele wykluczeń na tej samej liście jest określonych przy użyciu ograniczników średników
  • Jeśli nie określono żadnych wykluczeń, istniejące wykluczenia, jeśli istnieją, zostaną zastąpione przez puste w systemie

Wdrażanie przy użyciu programu PowerShell

Zależy od typu wdrożenia, użyj odpowiednich poleceń, aby wdrożyć rozszerzenie maszyny wirtualnej usługi Azure Antimalware na istniejącej maszynie wirtualnej.

Rozwiązywanie problemów i pomoc techniczna

Rozwiązywanie problemów

Dzienniki rozszerzenia Microsoft Antimalware są dostępne w ścieżce — %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Kody błędów i ich znaczenie

Kod błędu Znaczenie Możliwe działanie
-2147156224 Tożsamość usługi zarządzanej jest zajęta przez inną instalację Spróbuj uruchomić instalację później
-2147156221 Konfiguracja środowiska MSE jest już uruchomiona Uruchamianie tylko jednego wystąpienia naraz
-2147156208 Mała ilość miejsca < na dysku 200 MB Usuń nieużywane pliki i ponów próbę instalacji
-2147156187 Ostatnia instalacja, uaktualnienie, aktualizacja lub odinstalowanie zażądano ponownego uruchomienia Uruchom ponownie i ponów próbę instalacji
-2147156121 Instalator próbował usunąć produkt konkurenta. Ale odinstalowanie produktu konkurenta nie powiodło się Spróbuj ręcznie usunąć produkt konkurenta, ponownie uruchomić i ponowić próbę instalacji
-2147156116 Sprawdzanie poprawności pliku zasad nie powiodło się Upewnij się, że do konfiguracji przekazano prawidłowy plik XML zasad
-2147156095 Instalator nie może uruchomić usługi ochrony przed złośliwym kodem Sprawdź, czy wszystkie pliki binarne są poprawnie podpisane i czy jest zainstalowany odpowiedni plik licencjonowania
-2147023293 Podczas instalacji wystąpił błąd krytyczny. W większości przypadków będzie to możliwe. Epp.msi, nie można zarejestrować\start\stop usługi AM lub mini sterownika filtru Dzienniki MSI z EPP.msi są wymagane w celu przeprowadzenia przyszłego badania
-2147023277 Nie można otworzyć pakietu instalacyjnego Sprawdź, czy pakiet istnieje i jest dostępny, lub skontaktuj się z dostawcą aplikacji, aby sprawdzić, czy jest to prawidłowy pakiet Instalatora Windows
-2147156109 Usługa Windows Defender jest wymagana jako wymaganie wstępne
-2147205073 Wystawca logowania jednokrotnego w sieci Web nie jest obsługiwany
-2147024893 System nie może odnaleźć określonej ścieżki
-2146885619 Nie jest to komunikat kryptograficzny lub komunikat kryptograficzny nie jest poprawnie sformatowany
-1073741819 Instrukcja o 0x%p odwołuje się do pamięci o 0x%p. Pamięć nie może być następująca: %s
1 Niepoprawna funkcja

Pomoc techniczna

Jeśli potrzebujesz więcej pomocy w dowolnym momencie tego artykułu, możesz skontaktować się z ekspertami platformy Azure na forach platformy Azure i Stack Overflow. Alternatywnie możesz zgłosić zdarzenie pomoc techniczna platformy Azure. Przejdź do witryny pomoc techniczna platformy Azure i wybierz pozycję Uzyskaj pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi Microsoft pomoc techniczna platformy Azure.