适用于 Windows 的 Microsoft 反恶意软件扩展

概述

现代云环境的威胁局势多变,企业 IT 云订阅者为了遵循法规和达到安全要求,在维护有效保护机制方面承受着许多压力。 适用于 Azure 的 Microsoft Antimalware 是免费的实时保护功能。 当已知恶意软件或不需要的软件试图在 Azure 系统上安装自身或运行时,Microsoft Antimalware 可使用可配置的警报帮助识别和删除病毒、间谍软件和其他恶意软件。 该解决方案构建于 Microsoft Security Essentials (MSE)、Microsoft Forefront Endpoint Protection、Microsoft System Center Endpoint Protection、Windows Intune 和适用于 Windows 8.0 及更高版本的 Windows Defender 所用的同一个反恶意软件平台基础之上。 适用于 Azure 的 Microsoft 反恶意软件是一个针对应用程序和租户环境所提供的单一代理解决方案,可在在后台运行而无需人工干预。 可以根据应用程序工作负荷的需求,选择默认的基本安全性或高级的自定义配置(包括反恶意软件监视)来部署保护。

先决条件

操作系统

适用于 Azure 的 Microsoft 反恶意软件解决方案包含 Microsoft 反恶意软件客户端和服务、反恶意软件经典部署模型、反恶意软件 PowerShell cmdlet 和 Azure 诊断扩展。 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 操作系统系列支持 Microsoft 反恶意软件解决方案。 Windows Server 2008 操作系统不支持此解决方案,Linux 也不支持此解决方案。

Windows Defender 是 Windows Server 2016 中启用的内置反恶意软件。 一些 Windows Server 2016 SKU 上也默认启用了 Windows Defender 界面。 Azure VM 反恶意软件扩展仍可通过 Windows Defender 添加到 Windows Server 2016 及更高版本的 Azure VM。 在这种情况下,扩展会应用任何可供 Windows Defender 使用的可选配置策略。 该扩展不部署任何其他反恶意软件服务。 有关更多详细信息,请参阅 Microsoft Antimalware 文章的示例部分。

Internet 连接

适用于 Windows 的 Microsoft 反恶意软件要求目标虚拟机已连接到 Internet,以便定期接收引擎及签名更新。

模板部署

可使用 Azure Resource Manager 模板部署 Azure VM 扩展。 部署需要部署后配置(例如,载入 Azure 反恶意软件)的一个或多个虚拟机时,模板是理想选择。

虚拟机扩展的 JSON 配置可以嵌套在虚拟机资源内,或放置在资源管理器 JSON 模板的根级别或顶级别。 JSON 的位置会影响资源名称和类型的值。 有关详细信息,请参阅设置子资源的名称和类型

以下示例假定 VM 扩展嵌套在虚拟机资源内。 嵌套扩展资源时,JSON 放置在虚拟机的 "resources": [] 对象中。

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

必须至少包含以下内容才能启用Microsoft Antimalware 扩展:

{ "AntimalwareEnabled": true }

Microsoft Antimalware JSON 配置示例:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

  • 必需参数

  • 值:true/false

    • true = 启用
    • false = 出错,因为 false 不是支持的值

RealtimeProtectionEnabled

  • 值:true/false,默认值为 true

    • true = 启用
    • false = 禁用

ScheduledScanSettings

  • isEnabled = true/false

  • day = 0-8(0-每天、1-星期日、2-星期一、....、7-星期六、8-禁用)

  • time = 0-1440(以午夜后的分钟数计算 - 60->凌晨 1 点、120 -> 凌晨 2 点、...)

  • scanType = Quick/Full,默认值为 Quick

  • 如果 isEnabled = true 是唯一提供的设置,则设置以下默认值:day=7 (Saturday),time=120 (2 AM),scanType="Quick"

排除项

  • 使用分号分隔符指定同一列表中的多个排除项
  • 如果未指定排除项,则系统上的空白将覆盖现有排除项(如果有)

PowerShell 部署

根据部署的类型,使用相应的命令将 Azure 反恶意软件虚拟机扩展部署到现有虚拟机。

故障排除和支持

故障排除

%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log 中提供了 Microsoft 反恶意软件扩展日志

错误代码及其含义

错误代码 含义 可能的操作
-2147156224 MSI 正忙于处理其他安装 稍后尝试运行安装
-2147156221 MSE 安装程序正在运行 一次只运行一个实例
-2147156208 磁盘空间不足 < 200 MB 删除未使用的文件,然后重试安装
-2147156187 上次安装、升级、更新或卸载请求重启 重启,然后重试安装
-2147156121 安装程序尝试删除竞争对手产品。 但竞争对手产品卸载失败 尝试手动删除竞争对手产品,然后重启并重试安装
-2147156116 策略文件验证失败 确保向安装文件传递有效的策略 XML 文件
-2147156095 安装程序无法启动反恶意软件服务 验证是否对所有二进制文件进行了正确签名,以及是否已安装正确的许可文件
-2147023293 安装期间出错。 在大多数情况下,会出现错误。 Epp.msi 无法注册\启动\停止 AM 服务或迷你筛选器驱动程序 此处需要 EPP.msi 中的 MSI 日志以便进一步调查
-2147023277 无法打开安装包 验证该安装包是否存在且可访问,或者与应用程序供应商联系,验证该包是否是有效的 Windows Installer 包
-2147156109 Windows Defender 是必备组件
-2147205073 不支持 websso 颁发者
-2147024893 系统找不到指定路径
-2146885619 不是加密消息或加密消息的格式不正确
-1073741819 0x%p 处的指令引用了 0x%p 处的内存。 内存不能为 %s
1 函数不正确

支持

如果对本文中的任何观点存在疑问,可以联系 Azure 支持上的 Azure 专家。 或者,你也可以提出 Azure 支持事件。 请转到 Azure 支持站点提交请求。 有关使用 Azure 支持的信息,请阅读 Azure 支持常见问题