Настройка интеграции AMSI с SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

Введение

Ландшафт кибербезопасности коренным образом изменился, о чем свидетельствуют крупномасштабные, сложные атаки и сигналы о том, что программы-шантажисты, управляемые человеком , находятся на подъеме. Как никогда важно обеспечить безопасность и актуальность локальной инфраструктуры, включая серверы SharePoint.

Чтобы помочь клиентам защитить свои среды и реагировать на связанные с ними угрозы, мы представляем интеграцию между SharePoint Server и интерфейсом проверки антивредоносных программ Windows (AMSI). AMSI — это универсальный стандарт, позволяющий приложениям и службам интегрироваться с любым продуктом защиты от вредоносных программ с поддержкой AMSI, представленным на компьютере.

Функция интеграции AMSI предназначена для предотвращения доступа вредоносных веб-запросов к конечным точкам SharePoint. Например, чтобы воспользоваться уязвимостью системы безопасности в конечной точке SharePoint до установки официального исправления для этой уязвимости.

Начиная с SharePoint Server по подписке (SPSE) версии 25H1, AMSI расширяет возможности сканирования, включая тексты HTTP-запросов. Эта функция проверки текста запроса полезна для обнаружения и устранения угроз, которые могут быть внедрены в полезные данные запроса, предоставляя более комплексное решение для обеспечения безопасности.

Интеграция AMSI с SharePoint Server

Если антивирусное или антивредоносное решение с поддержкой AMSI интегрировано с SharePoint Server, оно может проверять HTTPHTTPS запросы, поступающие на сервер, и предотвращать обработку опасных запросов SharePoint Server. Любая антивирусная программа с поддержкой AMSI или программа защиты от вредоносных программ, установленных на сервере, выполняет проверку, как только сервер начинает обрабатывать запрос.

Интеграция AMSI не предназначена для замены существующих антивирусной и антивредоносной защиты, уже установленных на сервере. она обеспечивает дополнительный уровень защиты от вредоносных веб-запросов, отправляемых к конечным точкам SharePoint. Клиенты должны по-прежнему развертывать на своих серверах совместимые с SharePoint антивирусные решения, чтобы запретить пользователям загружать или скачивать файлы с вирусами.

Предварительные условия

Прежде чем включить интеграцию AMSI, проверка следующие предварительные требования на каждом сервере SharePoint Server:

• Windows Server 2016 или выше
• SharePoint Server по подписке версии 22H2 или более поздней
• SharePoint Server 2019 сборка 16.0.10396.20000 или более поздней версии (5002358 базы знаний: 14 марта 2023 г. обновление безопасности для SharePoint Server 2019)
• SharePoint Server 2016 сборки 16.0.5391.1000 или более поздней версии (5002385 базы знаний: обновление системы безопасности для SharePoint Server 2016 от 11 апреля 2023 г.)
• Microsoft Defender с av engine версии 1.1.18300.4 или выше (кроме того, совместимый сторонний поставщик антивирусной или антивредоносной программы с поддержкой AMSI)

Активация и деактивация AMSI для SharePoint Server

Начиная с обновлений системы безопасности за сентябрь 2023 г. для SharePoint Server 2016/2019 и версии 23H2 для SharePoint Server по подписке, интеграция AMSI с SharePoint Server становится включенной по умолчанию для всех веб-приложений в SharePoint Server. Это изменение направлено на повышение общей безопасности клиентских сред и устранение потенциальных нарушений безопасности.

Чтобы инициировать обновления для системы безопасности за сентябрь 2023 г., клиентам достаточно установить обновление и запустить мастер настройки продуктов SharePoint.

Если клиенты предпочитают не включать автоматическую интеграцию AMSI в фермах SharePoint Server, они могут выполнить следующие действия:

1. Установите обновления для системы безопасности за сентябрь 2023 г. для SharePoint Server 2016/2019 или обновления компонентов версии 23H2 для SharePoint Server по подписке.
2. Запустите мастер настройки продуктов SharePoint.
3. Выполните стандартные действия, чтобы отключить функцию интеграции AMSI в веб-приложениях.

Если выполнить эти действия, SharePoint не будет пытаться повторно включить эту функцию при установке будущих общедоступных обновлений.

Настройка AMSI с помощью пользовательского интерфейса

Если вы используете версии, предшествующие общедоступному обновлению за сентябрь 2025 г. для SharePoint Server 2016 и 2019 или более ранних версий SharePoint Server по подписке версии 25H1, выполните следующие действия, чтобы вручную отключить или активировать интеграцию AMSI для каждого веб-приложения.

1. Откройте центр администрирования SharePoint и выберите Управление приложениями.
2. В разделе Веб-приложения выберите Управление веб-приложениями.
3. Выберите веб-приложение, для которого требуется включить интеграцию AMSI, и выберите Управление компонентами на панели инструментов.
4. На экране Проверки защиты от вредоносных программ SharePoint Server выберите Отключить , чтобы отключить интеграцию AMSI, или нажмите кнопку Активировать , чтобы включить интеграцию AMSI.

Если вы установили обновление компонентов SharePoint Server по подписке версии 25H1, выполните следующие действия, чтобы активировать или деактивировать и настроить параметры интеграции AMSI:

1. Откройте центр администрирования SharePoint.

2. Перейдите в раздел Безопасность.

3. Выберите Конфигурация AMSI.

4. На странице Конфигурация проверки AMSI выберите нужное веб-приложение.

5. Затем можно включить или отключить функцию проверки AMSI, выбрав соответствующий параметр.

   • Чтобы включить проверку AMSI, нажмите кнопку Включить функцию проверки AMSI . Это гарантирует проверку всех заголовков HTTP-запросов.
   • Чтобы отключить сканирование, нажмите кнопку Отключить функцию проверки AMSI полностью .

6. После включения выберите режим сканирования текста запроса для сканирования текста запроса в соответствии с конкретными требованиями из следующих доступных параметров:

   • Выкл. Отключает сканирование текста. Это не повлияет на существующую функцию сканирования заголовков.
   • Сбалансированный режим. Сканирует тексты запросов, отправляемые в предопределенные системой конфиденциальные конечные точки и другие конечные точки, которые должны быть включены в сканирование текста.
   • Полный режим. Сканирует тексты запросов, отправляемые во все конечные точки, кроме явно исключенных, для повышения производительности при сохранении справедливого обеспечения безопасности.

7. Укажите конечные точки, которые должны быть включены или исключены из сканирования текста в выбранном режиме, и нажмите кнопку Добавить.

   Убедитесь, что конечные точки содержат весь путь URI запроса. Например, включите /SitePages/Home.aspx, чтобы можно было проверять URL-адреса, такие как http://test.contoso.com/SitePages/Home.aspx, и http://test.contoso.com/sites/marketing/SitePages/Home.aspx. Чтобы понять синтаксическую структуру URI, ознакомьтесь с универсальным идентификатором ресурса — Википедия.

   

8. После внесения необходимых изменений нажмите кнопку ОК , чтобы применить их эффективно.

Настройка AMSI с помощью PowerShell

Кроме того, можно активировать или деактивировать интеграцию AMSI для веб-приложения с помощью команд PowerShell.

Чтобы отключить, выполните следующую команду PowerShell:

Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>  

Чтобы активировать, выполните следующую команду PowerShell:

Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL> 

После обновления до сборки SharePoint Server по подписке версии 25H1 можно также настроить параметры сканирования текста с помощью PowerShell. Чтобы задать режим сканирования текста, выполните следующую команду:

$webAppUrl = "http://spwfe"

$webApp = Get-SPWebApplication -Identity $webAppUrl

$webApp.AMSIBodyScanMode = 1 # 0 = Off, 1 = Balanced, 2 = Full

$webApp.Update() # To save changes

# Iisreset # restarting the IIS service or recycling the app pool may be required when switching modes

Чтобы установить режим сканирования текста в сбалансированный режим с целевыми конечными точками, выполните следующую команду:

# Get current list of targeted endpoints

$webApp.AMSITargetedEndpoints

# Add a targeted endpoint

$webApp.AddAMSITargetedEndpoints('/test/page123', 1)

# Get a certain targeted endpoint

$webApp.GetAMSITargetedEndpoint('/test/page123')

# Remove a targeted endpoint

$webApp.RemoveAMSITargetedEndpoints('/test/page123')

# Update the web app object to save changes

$webApp.Update()

Чтобы установить для режима сканирования текста полный режим с исключенными конечными точками, выполните следующую команду:

# Get current list of excluded endpoints

$webApp.AMSIExcludedEndpoints

# Add an excluded endpoint

$webApp.AddAMSIExcludedEndpoints('/test/page123', 1)

# Get a certain excluded endpoint

$webApp.GetAMSIExcludedEndpoint('/test/page123')

# Remove an excluded endpoint

$webApp.RemoveAMSIExcludedEndpoints('test123456')

# Update the web app object to save changes

$webApp.Update()

Тестирование и проверка интеграции AMSI с SharePoint Server

Вы можете протестировать функцию интерфейса проверки антивредоносных программ (AMSI), чтобы убедиться, что она работает правильно. Это включает в себя отправку запроса в SharePoint Server со специальной тестовой строкой, которую Microsoft Defender распознает для целей тестирования. Эта тестовая строка не является опасной, но Microsoft Defender обрабатывает ее как вредоносную, поэтому вы можете проверить, как она ведет себя при обнаружении вредоносных запросов.

Если интеграция AMSI включена в SharePoint Server и использует Microsoft Defender в качестве подсистемы обнаружения вредоносных программ, наличие этой тестовой строки приведет к тому, что запрос будет заблокирован AMSI, а не обрабатывается SharePoint.

Тестовая строка похожа на тестовый файл EICAR , но немного отличается, чтобы избежать путаницы в кодировке URL-адресов.

Вы можете проверить интеграцию AMSI, добавив тестовую строку в качестве строки запроса или http-заголовка в запросе в SharePoint Server.

Использование строки запроса для проверки интеграции AMSI

amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Например: отправьте запрос на https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET

Использование http-заголовка для проверки интеграции AMSI

amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Например, отправьте запрос, который выглядит следующим образом.

GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Microsoft Defender обнаруживает это как следующий эксплойт:

Exploit:Script/SharePointEicar.A

Другие ссылки

Влияние на производительность использования Microsoft Defender в качестве основного решения AMSI

По умолчанию антивирусная программа Microsoft Defender (MDAV), решение с поддержкой AMSI, автоматически включается и устанавливается на конечных точках и устройствах под управлением Windows 10, Windows Server 2016 и более поздних версий. Если вы не установили антивирусное или антивредоносное приложение, интеграция С AMSI SharePoint Server работает с MDAV. При установке и включении другого антивирусного или антивредоносного приложения MDAV автоматически отключается. При удалении другого приложения MDAV автоматически включается, и интеграция SharePoint Server будет работать с MDAV.

Преимущества использования MDAV в SharePoint Server:

• MDAV извлекает подписи, соответствующие вредоносному содержимому. Если корпорация Майкрософт узнает об эксплойте, который может быть заблокирован, можно развернуть новую сигнатуру MDAV, чтобы заблокировать влияние эксплойтов на SharePoint.
• Использование существующей технологии для добавления подписей для вредоносного содержимого.
• Использование опыта исследовательской группы майкрософт по вредоносным программам для добавления подписей.
• Использование рекомендаций, которые уже применяются MDAV для добавления других подписей.

Это может повлиять на производительность веб-приложения, так как при проверке AMSI используются ресурсы ЦП. При тестировании с помощью MDAV сканирование AMSI не повлияет на производительность, а в существующие задокументированные исключения антивирусной программы SharePoint Server не вносились никакие изменения. Каждый поставщик антивирусной программы разрабатывает собственные определения, использующие технологию AMSI. Таким образом, уровень защиты зависит от того, как быстро можно обновить конкретное решение для обнаружения последних угроз.

Microsoft Defender версию с помощью командной строки

1. Запуск Command Prompt от имени администратора.
2. Перейдите по адресу %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>.
3. Запустите mpcmdrun.exe -SignatureUpdate.

Эти действия определяют текущую версию обработчика, проверка для обновленных определений и отчет.

Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4 
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>