Extensão do Microsoft Antimalware para Windows

  • Artigo

Descrição geral

O cenário moderno de ameaças para ambientes de nuvem é dinâmico, aumentando a pressão sobre os assinantes de nuvem de TI de negócios para manter uma proteção eficaz a fim de atender aos requisitos de conformidade e segurança. O Microsoft Antimalware para Azure é um recurso de proteção gratuito e em tempo real. O Microsoft Antimalware ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados, com alertas configuráveis quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou executar em seus sistemas do Azure. A solução foi desenvolvida na mesma plataforma antimalware do Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune e Windows Defender para Windows 8.0 e superior. O Microsoft Antimalware para Azure é uma solução de agente único para aplicativos e ambientes de locatário, projetada para ser executada em segundo plano sem intervenção humana. Você pode implantar a proteção com base nas necessidades das cargas de trabalho do seu aplicativo, com configuração básica segura por padrão ou personalizada avançada, incluindo monitoramento antimalware.

Pré-requisitos

Sistema operativo

A solução Microsoft Antimalware para Azure inclui o Cliente e Serviço Antimalware da Microsoft, o modelo de implantação clássico do Antimalware, cmdlets do PowerShell Antimalware e a Extensão de Diagnóstico do Azure. A solução Microsoft Antimalware é suportada nas famílias de sistemas operacionais Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Ele não é suportado no sistema operacional Windows Server 2008 e também não é suportado no Linux.

O Windows Defender é o Antimalware interno habilitado no Windows Server 2016. A Interface do Windows Defender também está habilitada por padrão em algumas SKUs do Windows Server 2016. A extensão Azure VM Antimalware ainda pode ser adicionada a uma VM do Azure do Windows Server 2016 e superior com o Windows Defender. Nesse cenário, a extensão aplica todas as políticas de configuração opcionais a serem usadas pelo Windows Defender. A extensão não implanta nenhum outro serviço antimalware. Consulte a seção Exemplos do artigo Microsoft Antimalware para obter mais detalhes.

Ligação à Internet

O Microsoft Antimalware para Windows requer que a máquina virtual de destino esteja conectada à Internet para receber atualizações regulares de mecanismo e assinatura.

Implementação de modelos

As extensões de VM do Azure podem ser implantadas com modelos do Azure Resource Manager. Os modelos são ideais ao implantar uma ou mais máquinas virtuais que exigem configuração pós-implantação, como integração ao Azure Antimalware.

A configuração JSON para uma extensão de máquina virtual pode ser aninhada dentro do recurso de máquina virtual ou colocada no nível raiz ou superior de um modelo JSON do Gerenciador de Recursos. O posicionamento da configuração JSON afeta o valor do nome e do tipo de recurso. Para obter mais informações, consulte Definir nome e tipo para recursos filho.

O exemplo a seguir pressupõe que a extensão VM esteja aninhada dentro do recurso de máquina virtual. Ao aninhar o recurso de extensão, o JSON é colocado no "resources": [] objeto da máquina virtual.

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Você deve incluir, no mínimo, o seguinte conteúdo para habilitar a extensão Microsoft Antimalware:

{ "AntimalwareEnabled": true }

Exemplo de configuração JSON do Microsoft Antimalware:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareAtivado

  • parâmetro obrigatório

  • Valores: verdadeiro/falso

    • true = Ativar
    • false = Erro, pois false não é um valor suportado

RealtimeProtectionEnabled

  • Valores: true/false, default é true

    • true = Ativar
    • false = Desativar

ScheduledScanSettings

  • isEnabled = verdadeiro/falso

  • dia = 0-8 (0-diário, 1-domingo, 2-segunda-feira, ...., 7-sábado, 8-deficientes)

  • tempo = 0-1440 (medido em minutos após a meia-noite - 60-1AM>, 120 -> 2AM, ... )

  • scanType = Rápido/Completo, o padrão é Rápido

  • Se isEnabled = true for a única configuração fornecida, os seguintes padrões serão definidos: day=7 (sábado), time=120 (2 AM), scanType="Quick"

Exclusões

  • Várias exclusões na mesma lista são especificadas usando delimitadores de ponto-e-vírgula
  • Se nenhuma exclusão for especificada, as exclusões existentes, se houver, serão substituídas por espaços em branco no sistema

Implementação do PowerShell

Dependendo do seu tipo de implantação, use os comandos correspondentes para implantar a extensão de máquina virtual do Azure Antimalware em uma máquina virtual existente.

Solução de problemas e suporte

Resolver problemas

Os registos da extensão do Microsoft Antimalware estão disponíveis em – %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Ou PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Códigos de erro e seus significados

Código de erro Significado Ação possível
-2147156224 MSI está ocupado com instalação diferente Tente executar a instalação mais tarde
-2147156221 Instalação do MSE já em execução Executar apenas uma instância de cada vez
-2147156208 Pouco espaço em < disco 200 MB Exclua arquivos não utilizados e tente instalar novamente
-2147156187 Última instalação, atualização, atualização ou desinstalação solicitada reinicialização Reinicialize e tente instalar novamente
-2147156121 O programa de configuração tentou remover o produto concorrente. Mas a desinstalação do produto concorrente falhou Tente remover o produto concorrente manualmente, reinicie e tente instalar novamente
-2147156116 Falha na validação do arquivo de política Certifique-se de passar um arquivo XML de política válido para a configuração
-2147156095 A Instalação não pôde iniciar o serviço Antimalware Verifique se todos os binários estão assinados corretamente e se o arquivo de licenciamento correto está instalado
-2147023293 Ocorreu um erro fatal durante a instalação. Na maioria dos casos, sim. Epp.msi, não é possível registrar\iniciar\parar serviço AM ou driver de minifiltro Os logs MSI do EPP.msi são necessários aqui para investigação futura
-2147023277 Não foi possível abrir o pacote de instalação Verifique se o pacote existe e está acessível ou entre em contato com o fornecedor do aplicativo para verificar se este é um pacote válido do Windows Installer
-2147156109 O Windows Defender é necessário como pré-requisito
-2147205073 O emissor websso não é suportado
-2147024893 O sistema não consegue encontrar o caminho especificado
-2146885619 Não é uma mensagem criptográfica ou a mensagem criptográfica não está formatada corretamente
-1073741819 A instrução em 0x%p fez referência à memória em 0x%p. A memória não pôde ser %s
1 Função incorreta

Suporte

Se precisar de mais ajuda em qualquer ponto deste artigo, você pode entrar em contato com os especialistas do Azure nos fóruns Azure e Stack Overflow. Como alternativa, você pode registrar um incidente de suporte do Azure. Vá para o site de suporte do Azure e selecione Obter suporte. Para obter informações sobre como usar o Suporte do Azure, leia as Perguntas frequentes de suporte do Microsoft Azure.