适用于 Azure 云服务和虚拟机的 Azure 反恶意软件

适用于 Azure 的 Azure 反恶意软件是一种免费实时保护,可帮助识别并删除病毒、间谍软件和其他恶意软件。 当已知恶意软件或不需要的软件试图在 Azure 系统上安装自己或运行时,该服务会生成警报。

该解决方案构建于 Azure Security Essentials [MSE]、Azure Forefront Endpoint Protection、Azure System Center Endpoint Protection、Windows Intune 和 Windows Defender 所用的同一个反恶意软件平台基础之上。 适用于 Azure 的 Azure 反恶意软件是一个针对应用程序和租户环境所提供的单一代理解决方案,可在在后台运行而无需人工干预。 可以根据应用程序工作负荷的需求,选择默认的基本安全性或高级的自定义配置(包括反恶意软件监视)来部署保护。

为应用程序部署并启用适用于 Azure 的 Azure 反恶意软件后,便可以使用以下几项核心功能:

  • 实时保护 - 监视云服务和虚拟机上的活动,以检测和阻止恶意软件的执行。
  • 计划的扫描 - 定期扫描以检测恶意软件(包括主动运行的程序)。
  • 恶意软件消除 - 自动针对检测到的恶意软件采取措施,例如删除或隔离恶意文件以及清除恶意注册表项。
  • 签名更新 - 自动安装最新的保护签名(病毒定义)以确保按预定的频率保持最新保护状态。
  • 反恶意软件引擎更新 - 自动更新 Azure 反恶意软件引擎。
  • 反恶意软件平台更新 – 自动更新 Azure 反恶意软件平台。
  • 主动保护 - 将检测到的威胁和可疑资源的遥测元数据报告给 Azure,以确保针对不断演变的威胁局势做出快速响应,并通过 Azure Active Protection System (MAPS) 启用实时同步签名传送。
  • 示例报告 - 将示例提供并报告给 Azure 反恶意软件服务,帮助改善服务并实现故障排除。
  • 排除项 - 允许应用程序和服务管理员配置文件、进程和驱动器的排除项。
  • 恶意软件事件收集 -在操作系统事件日志中记录反恶意软件服务的运行状况、可疑活动及采取的补救措施,并将这些数据收集到客户的 Azure 存储帐户。

体系结构

适用于 Azure 的 Azure 反恶意软件包含 Azure 反恶意软件客户端和服务、反恶意软件经典部署模型、反恶意软件 PowerShell cmdlet 和 Azure 诊断扩展。 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 操作系统系列支持 Azure 反恶意软件。 Windows Server 2008 操作系统不支持此解决方案,Linux 中也不支持此解决方案。

默认情况下,Azure 反恶意软件客户端和服务以禁用状态安装在云服务平台中所有受支持的 Azure 来宾操作系统系列上。 默认情况下,Azure 反恶意软件客户端和服务未安装在虚拟机平台中,而是通过 Azure 门户和 Visual Studio 虚拟机配置中的“安全扩展”作为一个可选功能来提供。

使用 Azure 应用服务时,托管 Web 应用的基础服务在 Web 应用上启用了 Azure 反恶意软件。 它用于保护 Azure 应用服务基础结构,不会对客户内容运行。

Note

Windows Defender 是 Windows Server 2016 中启用的内置反恶意软件。 一些 Windows Server 2016 SKU 上也默认启用了 Windows Defender 界面,有关详细信息,请参阅此处。 Azure VM 反恶意软件扩展仍可添加到带 Windows Defender 的 Windows Server 2016 Azure VM,但在此情况下,该扩展会应用 Windows Defender 要使用的任何可选配置策略,该扩展不会部署任何其他反恶意软件服务。 可在此处阅读有关此更新的详细信息。

Azure 反恶意软件工作流

Azure 服务管理员可以使用以下选项,针对虚拟机和云服务通过默认或自定义配置来启用 Azure 的反恶意软件:

  • 虚拟机 – 在Azure 门户中的“安全扩展”下
  • 虚拟机 – 在服务器资源管理器中使用 Visual Studio 虚拟机配置
  • 虚拟机和云服务 – 使用反恶意软件经典部署模型
  • 虚拟机和云服务 – 使用反恶意软件 PowerShell cmdlet

Azure 门户或 PowerShell cmdlet 将反恶意软件扩展包文件推送到 Azure 系统中的预定固定位置。 Azure 来宾代理(或结构代理)启动反恶意软件扩展,并将提供的反恶意软件配置设置应用为输入。 此步骤以默认或自定义配置设置来启用反恶意软件服务。 若未提供任何自定义配置,则以默认配置设置来启用反恶意软件服务。 有关详细信息,请参阅适用于 Azure 的 Microsoft 反恶意软件 - 代码示例中的“反恶意软件配置”部分。

运行后,Azure 反恶意软件客户端将从 Internet 下载最新的保护引擎和签名定义,并将其加载到 Azure 系统上。 Azure 反恶意软件服务会将服务相关的事件写入“Microsoft 反恶意软件”事件源下的系统 OS 事件日志中。 事件包括反恶意软件客户端运行状况、保护和补救状态、新的和旧的配置设置、引擎更新和签名定义及其他信息。

可以为云服务或虚拟机启用反恶意软件监视,以便将生成的反恶意软件事件日志事件写入 Azure 存储帐户。 反恶意软件服务使用 Azure 诊断扩展将 Azure 系统中的反恶意软件事件收集到客户 Azure 存储帐户中的表内。

本文档的 反恶意软件部署方案 部分介绍了上述方案支持的部署工作流,包括配置步骤和选项。

Azure 中的 Microsoft Antimalware

Note

但是,可以使用 Powershell/API 和 Azure 资源管理器模板,将虚拟机规模集与 Azure 反恶意软件扩展部署在一起。 若要在已运行的虚拟机上安装扩展,可以使用示例 python 脚本 vmssextn.py。 此脚本获取规模集上的现有扩展配置,并向 VM 规模集上的现有扩展的列表添加扩展。

默认和自定义的反恶意软件配置

如果未提供自定义配置设置,会应用默认的配置设置以启用适用于 Azure 云服务或虚拟机的反恶意软件。 默认配置设置已预先经过优化,可在 Azure 环境中运行。 或者,可以根据 Azure 应用程序或服务部署的需要自定义这些默认配置设置,并将其应用到其他部署方案。

Note

默认情况下,Azure 资源管理器上的 Azure 反恶意软件用户界面处于禁用状态,无法通过 cleanuppolicy.xml 文件绕过此错误消息。 有关如何创建自定义策略的信息,请阅读部署后在 Azure 资源管理器 VM 上启用 Azure 反恶意软件用户界面

下表汇总了反恶意软件服务可用的配置设置。标有“默认”的列下面标记了默认的配置设置。

表 1

反恶意软件部署方案

本部分介绍启用和配置反恶意软件的方案,包括监视 Azure 云服务和虚拟机。

虚拟机 - 启用和配置反恶意软件

使用 Azure 门户创建 VM 时进行部署

若要在预配虚拟机时使用 Azure 门户来启用和配置适用于 Azure 虚拟机的 Azure 反恶意软件,请执行以下步骤:

  1. 通过 https://portal.azure.cn 登录到 Azure 门户。
  2. 若要创建新的虚拟机,请导航到“虚拟机”,选择“添加”,然后选择“Windows Server”。
  3. 选择要使用的 Windows Server 版本。
  4. 选择“创建” 。 创建虚拟机
  5. 提供“名称”、“用户名”和“密码”,然后创建新资源组或选择现有的资源组。
  6. 选择“确定”。
  7. 选择 VM 大小。
  8. 在下一部分,根据需要做出相应的选择,然后选择“扩展”部分。
  9. 选择“添加扩展”
  10. 在“新建资源”下,选择“Microsoft 反恶意软件”。
  11. 选择“创建”
  12. 在“安装扩展”部分,可以配置文件、位置和进程排除项,及其他扫描选项。 选择“确定”。
  13. 选择“确定”。
  14. 返回“设置”部分,选择“确定”。
  15. 在“创建”屏幕中选择“确定”。

使用 Visual Studio 虚拟机配置进行部署

若要使用 Visual Studio 启用和配置 Microsoft 反恶意软件服务,请执行以下操作:

  1. 在 Visual Studio 中连接到 Microsoft Azure。

  2. 在“服务器资源管理器”的“虚拟机”节点中选择自己的虚拟机。

    Visual Studio 中的虚拟机配置

  3. 右键单击“配置”查看虚拟机配置页

  4. 从“已安装的扩展”下的下拉列表中选择“Microsoft 反恶意软件”扩展,并单击“添加”以使用默认反恶意软件配置进行配置。 已安装的扩展

  5. 若要自定义默认反恶意软件配置,请在“已安装的扩展”列表中选择(突出显示)“反恶意软件”扩展,并单击“配置”。

  6. 将“公共配置”文本框中的默认反恶意软件配置替换为受支持的 JSON 格式的自定义配置,然后单击“确定”。

  7. 单击“更新”按钮,将配置更新推送到虚拟机。

    虚拟机配置扩展

Note

反恶意软件的 Visual Studio 虚拟机配置仅支持 JSON 格式配置。 适用于 Azure 的 Microsoft 反恶意软件 - 代码示例中包含了反恶意软件 JSON 配置设置模板,其中显示了支持的反恶意软件配置设置。

使用 PowerShell cmdlet 进行部署

Azure 应用程序或服务可以使用 PowerShell cmdlet 来启用和配置适用于 Azure 虚拟机的 Azure 反恶意软件。

若要使用反恶意软件 PowerShell cmdlet 来启用和配置 Azure 反恶意软件,请执行以下操作:

  1. 设置 PowerShell 环境 - 请参考 https://github.com/Azure/azure-powershell 处的文档
  2. 使用 Set-AzureVMMicrosoftAntimalwareExtension Antimalware cmdlet 来启用和配置适用于虚拟机的 Microsoft 反恶意软件。

Note

反恶意软件的 Azure 虚拟机配置仅支持 JSON 格式配置。 适用于 Azure 的 Microsoft 反恶意软件 - 代码示例中包含了反恶意软件 JSON 配置设置模板,其中显示了支持的反恶意软件配置设置。

使用 PowerShell cmdlet 来启用和配置反恶意软件

Azure 应用程序或服务可以使用 PowerShell cmdlet 来启用和配置适用于 Azure 云服务的 Microsoft 反恶意软件。 请注意,Microsoft 反恶意软件以禁用状态安装在云服务平台中,需要 Azure 应用程序执行某个操作来启用它。

若要使用 PowerShell cmdlet 来启用和配置 Microsoft 反恶意软件,请执行以下操作:

  1. 设置 PowerShell 环境 - 请参考 https://github.com/Azure/azure-powershell 处的文档
  2. 使用 Set-AzureServiceAntimalwareExtension Antimalware cmdlet 来启用和配置适用于云服务的 Microsoft 反恶意软件。

适用于 Azure 的 Microsoft 反恶意软件 - 代码示例中包含了反恶意软件 XML 配置设置模板,其中显示了支持的反恶意软件配置设置。

云服务和虚拟机 - 使用 PowerShell cmdlet 进行配置

Azure 应用程序或服务可以使用 PowerShell cmdlet 来检索适用于云服务和虚拟机的 Microsoft 反恶意软件配置。

若要使用 PowerShell cmdlet 来检索 Microsoft 反恶意软件配置,请执行以下操作:

  1. 设置 PowerShell 环境 - 请参考 https://github.com/Azure/azure-powershell 处的文档
  2. 对于虚拟机:使用 Get-AzureVMMicrosoftAntimalwareExtension Antimalware cmdlet 来获取反恶意软件配置。
  3. 对于云服务:使用 Get-AzureServiceAntimalwareConfig Antimalware cmdlet 来获取反恶意软件配置。

使用 PowerShell cmdlet 删除 Microsoft 反恶意软件配置

Azure 应用程序或服务可从相关的 Azure 反恶意软件以及与云服务或虚拟机关联的诊断服务扩展中,删除反恶意软件配置和任何关联的反恶意软件监视。

若要使用 PowerShell cmdlet 删除 Microsoft 反恶意软件,请执行以下操作:

  1. 设置 PowerShell 环境 - 请参考 https://github.com/Azure/azure-powershell 处的文档
  2. 对于虚拟机:使用 Remove-AzureVMMicrosoftAntimalwareExtension Antimalware cmdlet
  3. 对于云服务: 使用 Remove-AzureServiceAntimalwareExtension Antimalware cmdlet

若要使用 Azure 预览门户来启用适用于虚拟机的反恶意软件事件收集,请执行以下操作:

  1. 在“虚拟机”边栏选项卡中单击“监视”透镜的任何部位
  2. 在“度量值”边栏选项卡中单击“诊断”命令
  3. 为“状态”选择“打开”,并选中 Windows 事件系统日志的对应选项
  4. 上获取。 可以取消选中列表中的所有其他选项,或者根据应用程序服务的需要将它们保持启用状态。
  5. 将在 Azure 存储帐户中捕获“错误”、“警告”、“信息”等反恶意软件事件类别。

反恶意软件事件将从 Windows 事件系统日志收集到 Azure 存储帐户中。 可以通过选择相应的存储帐户,为虚拟机配置存储帐户以收集反恶意软件事件。

度量值和诊断

Note

有关 Azure 反恶意软件的诊断日志记录的详细信息,请参阅启用 Azure 反恶意软件的诊断日志记录

使用 PowerShell cmdlet 来启用和配置反恶意软件监视

可以通过反恶意软件 PowerShell cmdlet,使用 Azure 诊断来为云服务或虚拟机启用 Microsoft 反恶意软件事件收集。 可以配置 Azure 诊断扩展,以将事件从系统事件日志源“Microsoft 反恶意软件”捕获到 Azure 存储帐户。 将在 Azure 存储帐户中捕获“错误”、“警告”、“信息”等反恶意软件事件类别。

若要使用 PowerShell cmdlet 在 Azure 存储帐户中启用反恶意软件事件收集,请执行以下操作:

  1. 设置 PowerShell 环境 - 请参考 https://github.com/Azure/azure-powershell
  2. 对于虚拟机 - 使用带有 Monitoring ON 选项的 Set-AzureVMMicrosoftAntimalwareExtension Antimalware cmdlet
  3. 对于云服务 - 使用带有 Monitoring ON 选项的 Set-AzureServiceAntimalwareExtension Antimalware cmdlet

可以通过在为了启用反恶意软件监视而配置的 Azure 存储帐户中查看 WADWindowsEventLogsTable 表,来查看反恶意软件原始事件。 这样便可以验证反恶意软件事件收集是否正常运行,包括深入了解反恶意软件服务的运行状况。 有关详细信息,包括有关如何从存储帐户提取反恶意软件事件的示例代码,请参阅适用于 Azure 的 Microsoft 反恶意软件 - 代码示例