Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если ваша организация использует SAP, важно понимать совместимость и поддержку возможностей антивирусной программы и обнаружения конечных точек и реагирования (EDR) в Microsoft Defender для конечной точки и приложениях SAP. Из этой статьи вы узнаете о поддержке решений для защиты конечных точек, таких как Defender для конечной точки, и о том, как они взаимодействуют с приложениями SAP.
В этой статье описывается, как использовать Defender для конечной точки на Windows Server вместе с приложениями SAP, такими как NetWeaver и S4 Hana, а также автономными подсистемами SAP, такими как LiveCache. В этой статье мы рассмотрим возможности антивирусной программы и EDR в Defender для конечной точки. Однако Defender для конечной точки включает дополнительные возможности. Общие сведения обо всех возможностях Defender для конечной точки см. в разделе Microsoft Defender для конечной точки.
В этой статье не рассматривается клиентское программное обеспечение SAP, например SAPGUI, или антивирусная программа Microsoft Defender на клиентских устройствах Windows.
Корпоративная безопасность и команда SAP Basis
Безопасность предприятия — это роль специалиста, и действия, описанные в этой статье, должны быть запланированы как совместное действие вашей корпоративной команды безопасности и команды SAP Basis. Команда корпоративной безопасности должна координировать работу с командой SAP Basis и совместно разрабатывать конфигурацию Defender для конечной точки и анализировать все исключения.
Ознакомьтесь с Microsoft Defender для конечной точки
Defender для конечной точки — это компонент Microsoft Defender XDR, который можно интегрировать с решением SIEM/SOAR.
Прежде чем приступить к планированию или развертыванию Defender for Endpoint в Windows Server с SAP, уделите немного времени, чтобы ознакомиться с общими сведениями о Defender for Endpoint. В следующем видео представлен обзор:
Дополнительные сведения о предложениях безопасности Defender для конечной точки и Майкрософт см. в следующих ресурсах:
Defender для конечных точек включает функции, которые выходят за рамки этой статьи. В этой статье мы сосредоточимся на двух основных областях:
- Защита следующего поколения (которая включает антивирусную защиту). Защита следующего поколения — это антивирусный продукт, как и другие антивирусные решения для сред Windows.
- EDR. Возможности EDR обнаруживают подозрительные действия и системные вызовы и обеспечивают дополнительный уровень защиты от угроз, минующих антивирусную защиту.
Корпорация Майкрософт и другие поставщики программного обеспечения для обеспечения безопасности отслеживают угрозы и предоставляют сведения о тенденциях. Дополнительные сведения см. в статье Киберугрозы, вирусы и вредоносные программы — портал для обнаружения угроз (Microsoft).
Примечание.
Сведения о Microsoft Defender для SAP в Linux см. в статье Руководство по развертыванию для Microsoft Defender для конечной точки на Linux для SAP. Defender для конечной точки в Linux значительно отличается от версии Windows.
Заявление SAP о поддержке Defender for Endpoint и других средств безопасности
SAP предоставляет базовую документацию по обычным антивирусным решениям для сканирования файлов. Обычные антивирусные решения для сканирования файлов сравнивают сигнатуры файлов с базой известных угроз. При обнаружении зараженного файла антивирусная программа обычно оповещает и помещает файл в карантин. Механизмы и поведение антивирусных решений для сканирования файлов достаточно хорошо известны и предсказуемы; Таким образом, поддержка SAP может обеспечить базовый уровень поддержки приложений SAP, взаимодействующих с антивирусной программой для сканирования файлов.
Угрозы на основе файлов являются лишь одним из возможных векторов для вредоносных программ. Бесфайловое вредоносное ПО, вредоносное ПО, использующее штатные средства системы, высокополиморфные угрозы, которые изменяются быстрее, чем традиционные средства защиты успевают за ними, и атаки, проводимые вручную злоумышленниками и адаптирующиеся к тому, что они обнаруживают на скомпрометированных устройствах. Традиционных антивирусных решений недостаточно для того, чтобы остановить такие атаки. Требуются возможности искусственного интеллекта (ИИ) и машинного обучения (ML), такие как блокировка поведения и сдерживание. Программное обеспечение безопасности, например Defender для конечной точки, имеет расширенные функции защиты от угроз для устранения современных угроз.
Defender для конечной точки постоянно отслеживает вызовы операционной системы, такие как чтение файлов, запись файлов, создание сокета и другие операции на уровне процесса. Датчик EDR Defender для конечной точки получает оппортунистические блокировки в локальных файловых системах NTFS и, следовательно, вряд ли повлияет на приложения. Оппортунистические блокировки недоступны в удаленных сетевых файловых системах. В редких случаях блокировка может вызывать общие неспецифические ошибки, например ошибку Access Denied в приложениях SAP.
SAP не может обеспечить какой-либо уровень поддержки программного обеспечения EDR/XDR, например Microsoft Defender XDR или Defender для конечной точки. Механизмы в таких решениях являются адаптивными; поэтому они не предсказуемы. Кроме того, проблемы потенциально не воспроизводимы. При обнаружении проблем в системах с расширенными решениями безопасности SAP рекомендует отключить программное обеспечение безопасности, а затем попытаться воспроизвести проблему. Затем можно задать запрос на поддержку у поставщика программного обеспечения для обеспечения безопасности.
Дополнительные сведения о политике поддержки SAP см. в 3356389 — Антивирусное или иное защитное программное обеспечение, влияющее на работу SAP.
Рекомендуемые заметки о SAP OSS
Ниже приведен список статей SAP, которые можно использовать по мере необходимости:
- 3356389 — антивирусная программа или другое программное обеспечение безопасности, влияющее на операции SAP— SAP для меня
- 106267 — программное обеспечение для проверки вирусов в Windows — SAP для меня
- 690449 — файл блокировки буфера транспортов (.LOB) остается заблокированным в Windows — SAP for Me
- 2311946 — ошибки файловой системы в Windows — SAP для меня
- 2496239 — программы-вымогатели и вредоносные программы на Windows — SAP for Me
- 1497394 . Какие файлы и каталоги следует исключить из антивирусной проверки продуктов платформы бизнес-аналитики SAP BusinessObjects в Windows? — SAP для меня
Предостережение
Microsoft Defender для конечной точки включает функцию под названием предотвращение утечки данных на конечных точках (Endpoint DLP). Endpoint DLP не следует активировать ни на одном сервере Windows Server, на котором работают NetWeaver, S4, Adobe Document Server, Archive Servers, TREX, LiveCache или Content Server. Кроме того, крайне важно, чтобы клиенты Windows, такие как ноутбук с Windows под управлением Windows 11 с включённой функцией Endpoint DLP, никогда не обращались к сетевому ресурсу, используемому любым приложением SAP. В зависимости от конфигурации и политик клиентский ПК Windows может записывать атрибуты DLP в сетевой ресурс.
Серверы Adobe Document Server или архивные системы, которые быстро записывают большое количество файлов в общие ресурсы SMB и/или ресурсы Interface File Transfer с включённым DLP, могут вызывать повреждение файлов или появление сообщений «Отказано в доступе».
Не предоставляйте внешним клиентским ПК под управлением Windows доступ к файловым системам SAP и не активируйте DLP для конечных точек на серверах Windows, на которых работает ПО SAP. Не разрешайте клиентам Windows доступ к общим папкам сервера SAP. Используйте Robocopy или аналогичное средство для копирования Adobe Document или других файлов интерфейса в корпоративное решение NAS.
Приложения SAP в Windows Server: 10 основных рекомендаций
Ограничьте доступ к серверам SAP, заблокируйте сетевые порты и примите все другие распространенные меры безопасности. Этот первый шаг имеет важное значение. Ландшафт угроз эволюционировал от файловых вирусов к бесфайловым сложным и изощрённым угрозам. Такие действия, как блокировка портов и ограничение входа и доступа к виртуальным машинам, больше не считаются достаточными для полного устранения современных угроз.
Сначала разверните Defender for Endpoint в непроизводственных системах, а затем — в рабочих системах. Развертывание Defender для конечной точки непосредственно в рабочих системах без тестирования является весьма рискованным и может привести к простою. Если вы не можете отложить развертывание Microsoft Defender для конечных точек в производственных системах, рассмотрите возможность временного отключения защиты от подделки и защиты в режиме реального времени.
Помните, что защита в режиме реального времени включена по умолчанию на Windows Server. Если обнаружены проблемы, которые могут быть связаны с Defender для конечной точки, рекомендуется настроить исключения и (или) отправить обращение в службу поддержки через портал Microsoft Defender.
Обеспечьте совместную работу команды SAP Basis и команды безопасности при развертывании Defender для конечных точек. Две команды должны совместно создать план поэтапного развертывания, тестирования и мониторинга.
Используйте такие средства, как PerfMon (Windows), чтобы создать базовый план производительности перед развертыванием и активацией Defender для конечной точки. Сравните уровень использования ресурсов до и после активации Microsoft Defender for Endpoint. Дополнительные сведения см. в статье Perfmon.
Разверните последнюю версию Defender для конечной точки и используйте последние выпуски Windows, в идеале Windows Server 2019 или более поздних версий. См. Минимальные требования для Microsoft Defender для конечной точки.
Настройте определенные исключения для антивирусной программы Microsoft Defender. В том числе:
- Файлы данных СУБД, файлы журналов и временные файлы, включая диски, содержащие файлы резервных копий
- Все содержимое каталога SAPMNT
- Все содержимое каталога SAPLOC
- Все содержимое каталога TRANS
- Все содержимое каталогов для автономных модулей, таких как TREX
Опытные пользователи могут использовать исключения контекстных файлов и папок.
Дополнительные сведения об исключениях СУБД см. в следующих ресурсах:
- SQL Server. Настройка антивирусной программы для работы с SQL Server
- Oracle: настройка антивирусной программы на сервере базы данных Oracle (идентификатор документа 782354.1)
- DB2: какие каталоги DB2 следует исключить из антивирусного программного обеспечения Linux (используйте те же команды на Windows Server)
- SAP ASE: обратитесь в SAP
- MaxDB: обратитесь в SAP
Проверьте параметры Defender для конечных точек. Microsoft Defender антивирусная программа с приложениями SAP в большинстве случаев должна иметь следующие параметры:
AntivirusEnabled : True AntivirusSignatureAge : 0 BehaviorMonitorEnabled : True DefenderSignaturesOutOfDate : False IsTamperProtected : True RealTimeProtectionEnabled : TrueИспользуйте такие средства, как Intune или управление параметрами безопасности Defender для конечных точек, чтобы настроить Defender для конечных точек. Такие средства помогают обеспечить, чтобы Defender for Endpoint был корректно настроен и единообразно развернут. Чтобы использовать управление параметрами безопасности Defender для конечной точки, выполните следующие действия.
В портале Microsoft Defender перейдите в раздел Конечные точки>Управление конфигурацией>Политики безопасности конечных точек.
Выберите Создать политику и следуйте указаниям. Дополнительные сведения см. в статье Управление политиками безопасности конечных точек в Microsoft Defender для конечной точки.
Используйте последнюю версию Microsoft Defender для конечных точек. В Defender для конечной точки в Windows реализовано несколько новых функций, которые были протестированы в системах SAP. Эти новые функции сокращают блокировку и снижают потребление ресурсов ЦП. Дополнительные сведения о новых возможностях см. в статье Что нового в Microsoft Defender для конечной точки.
Методология развертывания
SAP и Microsoft не рекомендуют напрямую развертывать Microsoft Defender for Endpoint на Windows сразу во всех системах разработки, контроля качества (QAS) и продуктивных системах либо без тщательного тестирования и мониторинга. Клиенты, которые развернули Defender для конечной точки и другое аналогичное программное обеспечение неконтролируемым образом без адекватного тестирования, столкнулись с простоем системы.
Microsoft Defender for Endpoint в Windows и любые другие изменения программного обеспечения или конфигурации следует сначала развертывать в средах разработки, затем проверять в QAS и только после этого развертывать в продуктивных средах.
Использование таких инструментов, как управление параметрами безопасности Defender для конечных точек, для развертывания Defender для конечных точек по всему ландшафту SAP без предварительного тестирования, скорее всего, приведет к простою.
Ниже приведен список того, что нужно проверить.
Разверните Microsoft Defender для конечной точки с включенной защитой от подделки. При возникновении проблем включите режим устранения неполадок, отключите защиту от незаконного изменения, отключите защиту в режиме реального времени и настройте запланированные проверки.
Исключите файлы СУБД и исполняемые файлы в соответствии с рекомендациями поставщика СУБД.
Анализ каталогов SAPMNT, SAP TRANS_DIR, Spool и журналов заданий. Если имеется более 100 000 файлов, рассмотрите возможность архивации, чтобы уменьшить количество файлов.
Подтвердите ограничения производительности и квоты общей файловой системы, используемой для SAPMNT. Источником SMB-общего ресурса может быть устройство NetApp, общий диск на Windows Server или Файлы Azure через SMB.
Настройте исключения, чтобы все серверы приложений SAP не сканировали общую папку SAPMNT одновременно, так как это может перегрузить общий сервер хранилища.
Как правило, файлы интерфейса размещаются на выделенном файловом сервере, отличном от SAP. Файлы интерфейса распознаются как вектор атаки. На этом выделенном файловом сервере должна быть активирована защита в режиме реального времени. Серверы SAP никогда не должны использоваться в качестве файлового сервера для файлов интерфейса.
Примечание.
Некоторые крупные системы SAP имеют более 20 серверов приложений SAP с подключением к одной и той же общей папке SAPMNT SMB. 20 серверов приложений, одновременно сканирующих один и тот же сервер SMB, могут перегрузить сервер SMB. Рекомендуется исключить SAPMNT из регулярных проверок.
Важные параметры конфигурации Defender для конечной точки в Windows Server с SAP
Общие сведения об Microsoft Defender для конечной точки. В частности, просмотрите сведения о защите следующего поколения и EDR.
Примечание.
Термин Defender иногда используется для обозначения целого набора продуктов и решений. См. раздел Что такое Microsoft Defender XDR?. В этой статье мы рассмотрим возможности антивирусной программы и EDR в Defender для конечной точки.
Проверка состояния антивирусной программы Microsoft Defender
Get-MpPreference: выполните следующую команду PowerShell:
Get-MpPreference | Select-Object -Property DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReportingОжидаемые выходные данные:
DisableCpuThrottleOnIdleScans : True DisableRealtimeMonitoring : False DisableScanningMappedNetworkDrivesForFullScan : True DisableScanningNetworkFiles : False ExclusionPath : <<configured exclusions show here>> MAPSReporting : 2Get-MpComputerStatus: выполните следующую команду PowerShell:
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabledОжидаемые выходные данные:
AMRunningMode : Normal AntivirusEnabled : True BehaviorMonitorEnabled : True IsTamperProtected : True OnAccessProtectionEnabled : True RealTimeProtectionEnabled : True
Проверьте состояние EDR: выполните следующую команду PowerShell Открыть командную строку, а затем выполните следующую команду:
Get-Service -Name sense | Format-List *Выходные данные должны выглядеть следующим образом:
Name : sense RequiredServices : {} CanPauseAndContinue : False CanShutdown : False CanStop : False DisplayName : Windows Defender Advanced Threat Protection Service DependentServices : {} MachineName : . ServiceName : sense ServicesDependedOn : {} ServiceHandle : Status : Running ServiceType : Win32OwnProcess StartType : Automatic Site : Container :Значения, которые вы хотите увидеть, — это
Status: RunningиStartType: Automatic. Дополнительные сведения см. в статье Проверка событий и ошибок с помощью Просмотр событий.Убедитесь, что антивирусная программа Microsoft Defender обновлена. Лучший способ убедиться, что ваша антивирусная защита обновлена, — использовать Центр обновления Windows. Если вы столкнулись с проблемами или получили ошибку, обратитесь в службу безопасности.
Дополнительные сведения об обновлениях см. в статье Аналитика безопасности и обновления продукта для антивирусной программы Microsoft Defender.
Убедитесь, что включен мониторинг поведения. Если включена защита от незаконного изменения, мониторинг поведения включается по умолчанию. Используйте конфигурацию по умолчанию: включена защита от незаконного изменения, включен мониторинг поведения и включен мониторинг в режиме реального времени, если не обнаружена конкретная проблема.
Дополнительные сведения см. в статье Встроенная защита помогает защититься от программ-шантажистов.
Убедитесь, что включена защита в режиме реального времени. Текущая рекомендация для Microsoft Defender для конечных точек в Windows — включить сканирование в режиме реального времени, защиту от несанкционированного изменения, мониторинг поведения и мониторинг в режиме реального времени, если не выявлена какая-либо конкретная проблема.
Дополнительные сведения см. в статье Встроенная защита помогает защититься от программ-шантажистов.
Имейте в виду, как сканирование работает с общими сетевыми ресурсами. По умолчанию компонент Microsoft Defender Antivirus в Windows проверяет общие файловые системы SMB в сети (например, общий ресурс на сервере Windows
\\server\smb-shareили общий ресурс NetApp) при обращении к этим файлам со стороны процессов.EDR в Defender для конечных точек в ОС Windows может сканировать общие сетевые файловые системы по протоколу SMB. Датчик EDR сканирует определенные файлы, которые считаются интересными для анализа EDR во время операций изменения, удаления и перемещения файлов.
Defender для конечной точки на Linux не сканирует файловые системы NFS во время запланированных проверок.
Устранение неполадок с работоспособностью или надежностью системы контроля. Чтобы диагностировать и устранять такие неполадки, используйте средство анализа клиента Microsoft Defender для конечной точки. Клиентский анализатор Defender для конечной точки может быть полезен при диагностике проблем работоспособности или надежности датчиков на подключенных устройствах Windows, Linux или Mac. Получите последнюю версию анализатора клиента Defender for Endpoint здесь: https://aka.ms/MDEClientAnalyzer.
Если вам нужна помощь, обратитесь в службу поддержки. См. статью «Обращение в службу поддержки Microsoft Defender для конечных точек».
Если вы используете рабочие виртуальные машины SAP с Microsoft Defender для облака, помните, что Defender для облака развертывает расширение Defender для конечной точки на всех виртуальных машинах. Если виртуальная машина не подключена к Defender для конечной точки, ее можно использовать в качестве вектора атаки. Если вам требуется больше времени для тестирования Defender для конечной точки перед развертыванием в рабочей среде, обратитесь в службу поддержки.
Полезные команды: Microsoft Defender для конечной точки для SAP в Windows Server
В этом разделе содержатся команды для подтверждения или настройки параметров Defender для конечной точки с помощью PowerShell и командной строки:
Обновление Microsoft Defender определений антивирусной программы вручную
Используйте один из следующих способов:
Центр обновления Windows
Служебная программа командной строки MpCmdRun:
В командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора) выполните следующие команды:
Совет
Первая команда изменяет каталог на последнюю версию платформы< защиты от вредоносных >программ в
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в%ProgramFiles%\Windows Defender.(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1 MpCmdRun.exe -SignatureUpdateВы должны увидеть выходные данные, которые выглядят следующим образом:
UpdateLogging: UpdateSessionGuid: 5A694F08-0962-4358-A370-95419D0A2EAE Signature update started . . . Service Version: 4.18.26010.5 Engine Version: 1.1.26010.1 AntiSpyware Signature Version: 1.445.727.0 AntiVirus Signature Version: 1.445.727.0 Signature update finished.-
Откройте сеанс PowerShell с повышенными привилегиями (окно PowerShell, открытое путем выбора запуска от имени администратора). Например, вы можете:
- Откройте меню Пуск и введите powershell.
- Щелкните правой кнопкой мыши PowerShell 7 (x64) или Windows PowerShell результат, а затем выберите Запуск от имени администратора.
В сеансе PowerShell с повышенными привилегиями выполните следующую команду:
Update-MpSignature
Определить, включён ли EDR в режиме блокировки
EDR в режиме блокировки обеспечивает дополнительную защиту от вредоносных артефактов, если антивирусная программа Microsoft Defender не является основным антивирусным продуктом и работает в пассивном режиме. Чтобы определить, включена ли EDR в блочном режиме, выполните следующую команду:
Get-MPComputerStatus|select AMRunningMode
Существует два режима: обычный и пассивный. Мы использовали AMRunningMode = Normal при тестировании систем SAP.
Дополнительные сведения об этой команде см. в разделе Get-MpComputerStatus.
Настройка исключений антивирусной программы
Перед настройкой исключений убедитесь, что группа SAP Basis координирует работу с вашей командой безопасности. Исключения следует настраивать централизованно, а не на уровне виртуальной машины. Некоторые исключения, такие как исключение общей файловой системы SAPMNT, следует настроить с помощью политики на портале администрирования Microsoft Intune.
Чтобы просмотреть исключения, используйте следующую команду:
Get-MpPreference | Select-Object -Property ExclusionPath
Дополнительные сведения об этой команде см. в разделе Get-MpComputerStatus.
Дополнительные сведения об исключениях см. в следующих ресурсах:
- Обзор исключений
- Настройка настраиваемых исключений для антивирусной программы Microsoft Defender
- Исключения контекстно-зависимых файлов и папок
Настройка исключений EDR
Не рекомендуется исключать файлы, пути или процессы из EDR, так как такие исключения компрометируют защиту от современных угроз, не основанных на файлах. При необходимости откройте обращение в службу поддержки на портале Microsoft Defender и укажите исполняемые файлы и (или) пути для исключения. Дополнительные сведения см. в разделе Обращение в службу поддержки Microsoft Defender для конечной точки.
Отключите Defender for Endpoint в Windows в целях тестирования
Предостережение
Не рекомендуется отключать программное обеспечение безопасности, если нет другой альтернативы для решения или изоляции проблемы.
Defender для конечных точек должен быть настроен так, чтобы защита от подделки была включена. Чтобы временно отключить Defender для конечной точки для изоляции проблем, используйте режим устранения неполадок.
Чтобы завершить работу различных подкомпонентов решения антивирусной программы Microsoft Defender, выполните следующие команды:
Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled
Дополнительные сведения об этих командах см. в разделе Set-MpPreference.
Важно!
Вы не можете отключить подкомпоненты EDR на устройстве. Единственный способ отключить EDR — отключить устройство.
Чтобы отключить облачную защиту (также называемую Microsoft Advanced Protection Service или MAPS), выполните следующие команды:
PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled
Дополнительные сведения об облачной защите см. в следующих ресурсах:
- Облачная защита и антивирусная программа в Microsoft Defender
- Облачная защита и отправка образцов в антивирусной программе Microsoft Defender (если вы решаете, следует ли использовать автоматическую отправку образцов в соответствии с вашими политиками безопасности)