Поделиться через

Антивредоносная программа Майкрософт для облачных служб Azure и виртуальных машин (виртуальных машин)

Антивредоносное ПО Майкрософт для Azure предоставляет бесплатную защиту в реальном времени, которая помогает обнаруживать и устранять вирусы, шпионское ПО и другие вредоносные программы. Оно создает предупреждения о попытках установки или запуска известных вредоносных или нежелательных программ в системе Azure.

Решение основано на той же платформе защиты от вредоносных программ, что и Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune и Microsoft Defender для облака. Антивредоносная программа для Azure — это единый агент для приложений и клиентских сред, работающий в фоновом режиме и не требующий вмешательства пользователя. Защиту можно развернуть на основе потребностей рабочих нагрузок приложений с базовой безопасной по умолчанию или расширенной пользовательской конфигурацией, включая мониторинг антивредоносных программ.

После развертывания антивредоносного ПО Майкрософт и его включения в среде Azure, содержащей ваши приложения, доступны следующие основные функции.

  • Защита в режиме реального времени: мониторинг действий, выполняемых в облачных службах и виртуальных машинах, для обнаружения и блокировки работы вредоносных программ.
  • Запланированное сканирование: периодическое сканирование для обнаружения вредоносных программ, включая уже запущенные.
  • Исправление вредоносных действий: автоматические действия в отношении обнаруженных вредоносных программ, например удаление или помещение в карантин вредоносных файлов, а также удаление из реестра нежелательных записей.
  • Обновления подписей — автоматически устанавливает последние подписи защиты (определения вирусов), чтобы обеспечить актуальность защиты на предопределенной частоте.
  • Обновление модуля защиты от вредоносных программ: автоматическое обновление соответствующего модуля защиты Майкрософт.
  • Обновления платформы защиты от вредоносных программ — автоматически обновляет платформу Защиты от вредоносных программ Майкрософт.
  • Активная защита — сообщает метаданные телеметрии об обнаруженных угрозах и подозрительных ресурсах в Microsoft Azure, чтобы обеспечить быстрый ответ на изменяющийся ландшафт угроз и обеспечивает синхронную доставку подписей в режиме реального времени через систему Microsoft Active Protection (MAPS).
  • Отправка примеров: отправка отчетов и примеров в службу защиты от вредоносных программ Майкрософт для повышения качества обслуживания и устранения неполадок.
  • Исключения — позволяет администраторам приложений и служб настраивать исключения для файлов, процессов и дисков.
  • Сбор событий защиты от вредоносных программ: запись в журнал событий операционной системы данных о работоспособности службы защиты от вредоносных программ, а также сведений о подозрительных действиях и исправлениях. Вся эта информация собирается в учетной записи хранения Azure клиента.

Примечание.

Microsoft Antimalware также можно развернуть с помощью Microsoft Defender для облака. Дополнительные сведения см. в статье Установка Endpoint Protection в Microsoft Defender для облака.

Архитектура

Антивредоносная программа Майкрософт для Azure состоит из нескольких компонентов:

  • Клиент и служба защиты от вредоносных программ Майкрософт
  • Классическая модель развертывания антивредоносных программ
  • Командлеты PowerShell для защиты от вредоносных программ
  • Расширение диагностики Azure

Поддержка платформы и развертывание

Виртуальные машины:

  • Не установлен по умолчанию
  • Доступно в качестве дополнительного расширения безопасности с помощью портала Azure или конфигурации виртуальной машины Visual Studio
  • Поддерживается в Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2
  • Не поддерживается в операционных системах Windows Server 2008 и Linux

Облачные службы:

  • Установка по умолчанию в отключенном состоянии во всех поддерживаемых гостевых операционных системах Azure
  • Требуется явная активация для защиты облачной службы

Служба приложений Azure:

  • Включена в базовой службе, в котором размещаются веб-приложения на основе Windows
  • Ограничена защитой только инфраструктуры службы приложений Azure, а не содержимого клиента
  • Недостаточно для полной безопасности веб-приложения (реализуйте дополнительные средства управления безопасностью, как описано в рекомендациях по безопасности веб-приложений Azure)

Примечание.

антивирусная программа в Microsoft Defender встроенное антивредоносное ПО в Windows Server 2016 и выше. Расширение защиты от вредоносных программ виртуальной машины Azure по-прежнему можно добавить в виртуальную машину Windows Server 2016 и выше с антивирусная программа в Microsoft Defender. В этом сценарии расширение применяет любые необязательные политики конфигурации для использования антивирусной программой Microsoft Defender. Расширение не развертывает другие службы защиты от вредоносных программ. Дополнительные сведения о антивирусной программе Microsoft Defender см. в примерах кода, чтобы включить и настроить антивредоносное поверх Майкрософт для Azure.

Рабочий процесс антивредоносной программы (Майкрософт)

Администратор служб Azure может включить антивредоносное ПО со стандартной или настраиваемой конфигурацией для запущенных в Azure виртуальных машин и облачных служб следующим образом.

  • Виртуальные машины . В портал Azure в разделе "Расширения безопасности"
  • Виртуальные машины. Использование конфигурации виртуальных машин Visual Studio в обозревателе серверов
  • Виртуальные машины и Облачные службы — использование классической модели развертывания антивредоносных программ
  • Виртуальные машины и Облачные службы — использование командлетов PowerShell для защиты от вредоносных программ

Командлеты портал Azure или PowerShell помещают файл пакета расширения защиты от вредоносных программ в систему Azure в предопределенном расположении. Гостевой агент Azure (агент структуры) запускает расширение антивредоносного ПО и применяет соответствующие параметры конфигурации, указанные в качестве входных данных. Это действие включает службу защиты от вредоносных программ со стандартными или настраиваемыми параметрами конфигурации. Если настраиваемые параметры конфигурации не указаны, в службе защиты от вредоносных программ будут использоваться стандартные параметры. Дополнительные сведения о настройке защиты от вредоносных программ см. в примерах кода, чтобы включить и настроить антивредоносное ПО Майкрософт для Azure.

После инициализации клиент Microsoft Antimalware автоматически получает последние определения защиты и подписи из Интернета и применяет их к вашей системе Azure. Служба регистрирует все действия в журнал событий операционной системы в источнике событий Microsoft Antimalware. Эти журналы содержат сведения о следующих параметрах:

  • Состояние работоспособности клиента
  • Действия по защите и исправлению
  • Изменения конфигурации
  • Обновления определений обработчика и подписи
  • Другие операционные события

Вы можете включить мониторинг антивредоносных программ для облачной службы или виртуальной машины, чтобы события журнала событий защиты от вредоносных программ были записаны, как они создаются в учетной записи хранения Azure. Служба защиты от вредоносных программ использует расширение диагностики Azure, чтобы собирать в системе Azure данные о событиях антивредоносного ПО, записывая их в таблицы в пользовательской учетной записи хранения Azure.

Рабочий процесс развертывания, включая шаги по настройке параметров, которые поддерживают вышеуказанные сценарии, описан в разделе Сценарии развертывания антивредоносного ПО этой статьи.

Антивредоносное ПО Майкрософт в Azure

Примечание.

Для развертывания масштабируемых наборов виртуальных машин с расширением Microsoft Antimalware можно использовать PowerShell или интерфейсы API и шаблоны Azure Resource Manager. Чтобы установить расширение на уже работающую виртуальную машину, используйте пример сценария Python vmssextn.py. Этот скрипт получает существующую конфигурацию расширения в масштабируемом наборе и добавляет расширение в список существующих расширений в масштабируемых наборах виртуальных машин Azure.

Стандартная и настраиваемая конфигурации антивредоносного ПО

Параметры конфигурации по умолчанию применяются для включения защиты от вредоносных программ для Azure Облачные службы или Виртуальные машины, если вы не предоставляете пользовательские параметры конфигурации. Параметры конфигурации по умолчанию предварительно настроены для запуска в среде Azure. При необходимости стандартные параметры конфигурации можно настроить в соответствии с требованиями к развертыванию службы или приложения Azure, а также использовать их в других сценариях развертывания.

В следующей таблице приведены параметры конфигурации, доступные для службы защиты от вредоносных программ. Параметры конфигурации по умолчанию отмечены в столбце с меткой "По умолчанию".

Таблица 1

Сценарии развертывания антивредоносного ПО

В этом разделе рассматриваются сценарии включения и настройки антивредоносного ПО, включая мониторинг облачных служб и виртуальных машин Azure.

Виртуальные машины: включение и настройка антивредоносной программы

Развертывание при создании виртуальной машины с использованием портала Azure

Выполните следующие действия, чтобы включить и настроить антивредоносное ПО Майкрософт для Azure Виртуальные машины с помощью портал Azure при подготовке виртуальной машины:

  1. Войдите на портал Azure.
  2. Чтобы создать виртуальную машину, перейдите на вкладку Виртуальные машины, выберите Добавить, а затем — Windows Server.
  3. Выберите версию Windows Server, которую вы хотите использовать.
  4. Нажмите кнопку создания. Создать виртуальную машину
  5. Укажите название, имя пользователя, пароль и создайте новую группу ресурсов или выберите существующую.
  6. Нажмите OK.
  7. Выберите размер виртуальной машины.
  8. В следующем разделе установите подходящие параметры и щелкните раздел Расширения.
  9. Щелкните Добавить расширение.
  10. В разделе Новый ресурс выберите Антивредоносное ПО Майкрософт.
  11. Нажмите кнопку Создать
  12. В разделе Установить расширение можно настроить исключения файлов, расположений и процессов, а также другие параметры сканирования. Выберите OK.
  13. Выберите OK.
  14. В разделе Параметры нажмите кнопку ОК.
  15. В окне Создать нажмите кнопку ОК.

См. этот пример шаблона Azure Resource Manager для развертывания расширения анти вредоносного ПО для виртуальной машины Windows.

Развертывание с помощью страницы конфигурации виртуальной машины в Visual Studio

Чтобы включить и настроить службу защиты от вредоносных программ Майкрософт с помощью Visual Studio, выполните следующие шаги.

  1. Подключитесь к Microsoft Azure в Visual Studio.

  2. Выберите виртуальную машину, развернув узел Виртуальные машины в обозревателе сервера.

    Конфигурация виртуальной машины в Visual Studio

  3. Щелкните правой кнопкой мыши элемент Настройка, чтобы открыть страницу конфигурации виртуальной машины.

  4. Выберите расширение Microsoft Antimalware из раскрывающегося списка в разделе "Установленные расширения " и выберите "Добавить " для настройки с конфигурацией защиты от вредоносных программ по умолчанию. Установленные расширения

  5. Чтобы настроить конфигурацию защиты от вредоносных программ по умолчанию, выберите (выделите) расширение защиты от вредоносных программ в списке установленных расширений и выберите "Настроить".

  6. Замените конфигурацию защиты от вредоносных программ по умолчанию настраиваемой конфигурацией в поддерживаемом формате JSON в текстовом поле общедоступной конфигурации и нажмите кнопку "ОК".

  7. Нажмите кнопку "Обновить ", чтобы отправить обновления конфигурации на виртуальную машину.

    Расширение конфигурации виртуальной машины

Примечание.

Конфигурация виртуальных машин Visual Studio поддерживает конфигурацию антивредоносного ПО только в формате JSON. Дополнительные сведения о примерах конфигураций см. в примерах кода, чтобы включить и настроить антивредоносное ПО Майкрософт для Azure.

Развертывание с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно включить и настроить антивредоносное ПО Майкрософт для виртуальных машин Azure.

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Чтобы включить и настроить Microsoft Antimalware для виртуальной машины, используйте командлет Set-AzureVMMicrosoftAntimalwareExtension.

Примечание.

Конфигурация виртуальных машин Azure поддерживает конфигурацию антивредоносного ПО только в формате JSON. Дополнительные сведения о примерах конфигураций см. в примерах кода, чтобы включить и настроить антивредоносное ПО Майкрософт для Azure.

Включение и настройка защиты от вредоносных программ с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно включить и настроить антивредоносное ПО Майкрософт для облачных служб Azure. Антивредоносная программа Майкрософт устанавливается в отключенном состоянии на платформе Облачные службы и требует действия приложения Azure для его включения.

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Чтобы включить и настроить Microsoft Antimalware для облачной службы, используйте командлет Set-AzureServiceExtension.

Дополнительные сведения о примерах команд PowerShell см. в примерах кода, чтобы включить и настроить антивредоносное ПО Майкрософт для Azure.

Облачные службы и виртуальные машины: настройка конфигурации с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно получить конфигурацию антивредоносного ПО Майкрософт для облачных служб и виртуальных машин.

Чтобы получить конфигурацию антивредоносного ПО с помощью командлетов PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Для Виртуальных машин: получите конфигурацию антивредоносного ПО, выполнив командлет AzureVMMicrosoftAntimalwareExtension.
  3. Для Облачных служб: получите конфигурацию антивредоносного ПО, используя выполнив командлет Get-AzureServiceExtension.

Примеры

Удаление конфигурации антивредоносного ПО с помощью командлетов PowerShell

Приложение или служба Azure может полностью удалить защиту от вредоносных программ Майкрософт, удаляя соответствующие расширения из облачных служб или виртуальных машин. Этот процесс удаляет как защиту от вредоносных программ, так и связанные параметры мониторинга, полностью отменяя защиту от вредоносных программ и сбор событий для указанных ресурсов.

Чтобы удалить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Для Виртуальных машин: используйте командлет Remove-AzureVMMicrosoftAntimalwareExtension.
  3. Для Облачных служб: используйте командлет Remove-AzureServiceExtension.

Чтобы включить сбор событий антивредоносного ПО для виртуальной машины на портале предварительной версии Azure, выполните следующие шаги:

  1. Выберите любую часть раздела "Мониторинг" на странице сведений о виртуальной машине.
  2. Выберите команду диагностики в разделе "Метрики".
  3. Выберите status ON и проверьте параметр для системы событий Windows.
  4. Вы можете снять флажки для остальных параметров в списке или оставить их, если это необходимо для работы службы приложений.
  5. События антивредоносного ПО, относящиеся к категориям "Ошибка", "Предупреждение", "Информация" и т. д., будут регистрироваться в вашей учетной записи хранения Azure.

Теперь события антивредоносного ПО будут собираться из системных журналов событий Windows в вашу учетную запись хранения Azure. Вы можете настроить учетную запись хранения для сбора событий антивредоносного ПО на виртуальной машине, выбрав соответствующую учетную запись хранения.

Метрики и диагностика

Включение и настройка антивредоносного ПО с помощью командлетов PowerShell для виртуальных машин Azure Resource Manager

Чтобы включить и настроить антивредоносную программу Майкрософт для виртуальных машин Azure Resource Manager с помощью командлетов PowerShell:

  1. Настройте среду PowerShell с помощью этой документации на сайте GitHub.
  2. Используйте командлет Set-AzVMExtension, чтобы включить и настроить антивредоносное ПО Майкрософт для виртуальной машины.

Доступны следующие примеры кода:

Включение и настройка Antimalware для расширенной поддержки облачных служб Azure (CS-ES) с помощью командлетов PowerShell

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

  1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
  2. Чтобы включить и настроить Microsoft Antimalware для виртуальной машины облачной службы, используйте командлет New-AzCloudServiceExtensionObject.

Доступен следующий пример кода:

Включение и настройка антивредоносного ПО с помощью командлетов PowerShell для виртуальных машин с поддержкой Azure Arc

Вы можете включить и настроить Microsoft Antimalware для серверов с поддержкой Azure Arc с помощью командлетов PowerShell.

  1. Настройте среду PowerShell с помощью этой документации на сайте GitHub.
  2. Чтобы включить и настроить Microsoft Antimalware для серверов с поддержкой Azure Arc, используйте командлет New-AzConnectedMachineExtension.

Доступны следующие примеры кода:

Следующие шаги