Microsoft Antimalware pro Azure Cloud Services a Virtual Machines

  • Článek

Microsoft Antimalware pro Azure je bezplatná ochrana v reálném čase, která pomáhá identifikovat a odstranit viry, spyware a další škodlivý software. Generuje výstrahy, když se známý škodlivý nebo nežádoucí software pokusí nainstalovat nebo spustit v systémech Azure.

Řešení je postavené na stejné antimalwarové platformě jako Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune a Microsoft Defender for Cloud. Microsoft Antimalware pro Azure je řešení s jedním agentem pro aplikace a prostředí tenantů navržené tak, aby běžely na pozadí bez zásahu člověka. Ochranu je možné nasadit na základě potřeb úloh aplikací, a to buď se základní zabezpečením, nebo pokročilou vlastní konfigurací, včetně antimalwarového monitorování.

Při nasazení a povolení Microsoft Antimalware pro Azure pro vaše aplikace jsou k dispozici následující základní funkce:

  • Ochrana v reálném čase – monitoruje aktivitu v Cloud Services a na virtuálních počítačích, aby detekovala a blokovala spouštění malwaru.
  • Plánovaná kontrola – pravidelně kontroluje malware, včetně aktivně spuštěných programů.
  • Náprava malwaru – automaticky provede akci na zjištěném malwaru, jako je odstranění nebo kvazování škodlivých souborů a vyčištění škodlivých položek registru.
  • Aktualizace podpisů – automaticky nainstaluje nejnovější podpisy ochrany (definice virů), aby byla ochrana aktuální na předem určené frekvenci.
  • antimalwarový stroj aktualizace – automaticky aktualizuje modul Microsoft Antimalware.
  • Aktualizace antimalwarové platformy – automaticky aktualizuje platformu Microsoft Antimalware.
  • Aktivní ochrana – hlásí telemetrická metadata o zjištěných hrozbách a podezřelých prostředcích do Microsoft Azure, aby se zajistila rychlá reakce na rozvíjející se prostředí hrozeb a umožňuje doručování synchronních podpisů v reálném čase prostřednictvím systému Microsoft Active Protection System (MAPS).
  • Vytváření sestav ukázek – poskytuje a hlásí ukázky pro službu Microsoft Antimalware, která pomáhá službu upřesnit a povolit řešení potíží.
  • Vyloučení – umožňuje správcům aplikací a služeb konfigurovat vyloučení pro soubory, procesy a jednotky.
  • Shromažďování antimalwarových událostí – zaznamenává stav antimalwarové služby, podezřelé aktivity a nápravné akce provedené v protokolu událostí operačního systému a shromažďuje je do účtu služby Azure Storage zákazníka.

Poznámka:

Microsoft Antimalware je možné nasadit také pomocí programu Microsoft Defender for Cloud. Další informace najdete v článku Instalace služby Endpoint Protection v programu Microsoft Defender for Cloud .

Architektura

Microsoft Antimalware pro Azure zahrnuje microsoft Antimalware Client and Service, Antimalware Classic deployment model, Antimalware PowerShell rutiny a rozšíření Azure Diagnostics. Microsoft Antimalware je podporován v systémech Windows Server 2008 R2, Windows Server 2012 a Windows Server 2012 R2. Nepodporuje se v operačním systému Windows Server 2008 ani v Linuxu.

Klient a služba Microsoft Antimalware se standardně instalují v zakázaném stavu ve všech podporovaných rodinách hostovaného operačního systému Azure na platformě Cloud Services. Klient a služba Microsoft Antimalware není ve výchozím nastavení nainstalována na platformě Virtual Machines a je k dispozici jako volitelná funkce prostřednictvím webu Azure Portal a konfigurace virtuálního počítače sady Visual Studio v části Rozšíření zabezpečení.

Při použití služby Aplikace Azure Service ve Windows má základní služba hostovanou webovou aplikaci povolený Microsoft Antimalware. Používá se k ochraně infrastruktury služby Aplikace Azure a nespouští se v obsahu zákazníka.

Poznámka:

Antivirová ochrana v programu Microsoft Defender je integrovaný Antimalware povolený ve Windows Serveru 2016 a novějším. Rozšíření Azure VM Antimalware je stále možné přidat do virtuálního počítače s Windows Serverem 2016 a novějším s Antivirová ochrana v programu Microsoft Defender. V tomto scénáři rozšíření použije všechny volitelné zásady konfigurace, které budou použity Antivirová ochrana v programu Microsoft Defender Rozšíření nenasadí žádné jiné antimalwarové služby. Další informace najdete v části Ukázky tohoto článku.

Pracovní postup antimalwaru Microsoftu

Správce služby Azure může povolit Antimalware pro Azure s výchozí nebo vlastní konfigurací pro virtuální počítače a cloudové služby pomocí následujících možností:

  • Virtuální počítače – Na webu Azure Portal v části Rozšíření zabezpečení
  • Virtual Machines – Použití konfigurace virtuálních počítačů sady Visual Studio v Průzkumníku serveru
  • Virtuální počítače a cloudové služby – Použití modelu nasazení Antimalware Classic
  • Virtuální počítače a cloudové služby – Použití antimalwarových rutin PowerShellu

Rutiny Webu Azure Portal nebo PowerShellu nasdílí soubor balíčku rozšíření Antimalware do systému Azure v předem určeném pevném umístění. Agent hosta Azure (nebo agent fabric) spustí antimalwarové rozšíření a použije nastavení konfigurace antimalwaru zadané jako vstup. Tento krok povolí antimalwarovou službu s výchozím nebo vlastním nastavením konfigurace. Pokud není k dispozici žádná vlastní konfigurace, je antimalwarová služba povolená s výchozím nastavením konfigurace. Další informace najdete v části Ukázky tohoto článku.

Po spuštění stáhne klient Microsoft Antimalware nejnovější modul ochrany a definice podpisů z internetu a načte je do systému Azure. Služba Microsoft Antimalware zapisuje události související se službou do protokolu událostí systémového operačního systému ve zdroji událostí Microsoft Antimalware. Mezi události patří stav klienta Antimalware, stav ochrany a nápravy, nové a staré nastavení konfigurace, aktualizace modulu a definice podpisu a další.

Pro cloudovou službu nebo virtuální počítač můžete povolit antimalwarové monitorování, aby se události protokolu událostí Antimalwaru zapisovaly tak, jak se vytvářejí do vašeho účtu úložiště Azure. Antimalware Service používá rozšíření Azure Diagnostics ke shromažďování antimalwarových událostí ze systému Azure do tabulek v účtu Azure Storage zákazníka.

Pracovní postup nasazení, včetně kroků konfigurace a možností podporovaných pro výše uvedené scénáře, jsou popsané v části Scénáře nasazení antimalwaru v tomto dokumentu.

Microsoft Antimalware in Azure

Poznámka:

K nasazení škálovacích sad virtuálních počítačů s rozšířením Microsoft Anti-Malware ale můžete použít powershellové rozhraní API a šablony Azure Resource Manageru. K instalaci rozšíření na již spuštěný virtuální počítač můžete použít ukázkový skript Pythonu vmssextn.py. Tento skript získá existující konfiguraci rozšíření ve škálovací sadě a přidá rozšíření do seznamu existujících rozšíření ve škálovacích sadách virtuálních počítačů.

Výchozí a vlastní antimalwarová konfigurace

Výchozí nastavení konfigurace se použijí k povolení Antimalwaru pro Azure Cloud Services nebo Virtual Machines, pokud nezadáte vlastní nastavení konfigurace. Výchozí nastavení konfigurace je předem optimalizované pro spuštění v prostředí Azure. Volitelně můžete tato výchozí nastavení konfigurace přizpůsobit podle potřeby pro nasazení aplikace nebo služby Azure a použít je pro jiné scénáře nasazení.

Následující tabulka shrnuje nastavení konfigurace, která jsou dostupná pro službu Antimalware. Výchozí nastavení konfigurace se označí pod sloupcem označeným jako Výchozí.

Table 1

Scénáře antimalwarového nasazení

V této části jsou popsány scénáře povolení a konfigurace antimalwaru, včetně monitorování pro Azure Cloud Services a Virtual Machines.

Virtuální počítače – povolení a konfigurace antimalwaru

Nasazení při vytváření virtuálního počítače pomocí webu Azure Portal

Pokud chcete povolit a nakonfigurovat Microsoft Antimalware pro virtuální počítače Azure pomocí webu Azure Portal při zřizování virtuálního počítače, postupujte takto:

  1. Přihlaste se k portálu Azure.
  2. Pokud chcete vytvořit nový virtuální počítač, přejděte na Virtuální počítače, vyberte Přidat a zvolte Windows Server.
  3. Vyberte verzi windows serveru, kterou chcete použít.
  4. Vyberte Vytvořit. Create virtual machine
  5. Zadejte název, uživatelské jméno, heslo a vytvořte novou skupinu prostředků nebo zvolte existující skupinu prostředků.
  6. Vyberte OK.
  7. Zvolte velikost virtuálního počítače.
  8. V další části vyberte vhodnou volbu pro vaše potřeby oddíl Rozšíření .
  9. Výběr možnosti Přidat rozšíření
  10. V části Nový prostředek zvolte Microsoft Antimalware.
  11. Vyberte příkaz Vytvořit.
  12. V souboru, umístěních a vyloučeních procesů instalace přípony je možné nakonfigurovat i další možnosti kontroly. Vyberte OK.
  13. Vyberte OK.
  14. Zpět v části Nastavení zvolte OK.
  15. Na obrazovce Vytvořit zvolte OK.

Podívejte se na tuto šablonu Azure Resource Manageru pro nasazení rozšíření antimalwarového virtuálního počítače pro Windows.

Nasazení pomocí konfigurace virtuálního počítače sady Visual Studio

Povolení a konfigurace služby Microsoft Antimalware pomocí sady Visual Studio:

  1. Připojení do Microsoft Azure v sadě Visual Studio.

  2. Volba virtuálního počítače v uzlu Virtuální počítače v Průzkumníku serveru

    Virtual Machine configuration in Visual Studio

  3. Kliknutím pravým tlačítkem myši zobrazíte stránku konfigurace virtuálního počítače.

  4. V rozevíracím seznamu Nainstalovaných rozšíření vyberte rozšíření Microsoft Antimalware a kliknutím na Přidat nakonfigurujte výchozí antimalwarovou konfiguraci. Installed extensions

  5. Pokud chcete přizpůsobit výchozí konfiguraci antimalwaru, vyberte (zvýrazněte) rozšíření Antimalware v seznamu nainstalovaných rozšíření a klikněte na Konfigurovat.

  6. Nahraďte výchozí antimalwarovou konfiguraci vlastní konfigurací v podporovaném formátu JSON ve veřejném textovém poli konfigurace a klikněte na OK.

  7. Kliknutím na tlačítko Aktualizovat odešlete aktualizace konfigurace do virtuálního počítače.

    Virtual Machine configuration extension

Poznámka:

Konfigurace sady Visual Studio Virtual Machines pro Antimalware podporuje pouze konfiguraci formátu JSON. Další informace najdete v části Ukázky tohoto článku.

Nasazení pomocí rutin PowerShellu

Aplikace nebo služba Azure může povolit a nakonfigurovat Microsoft Antimalware pro Azure Virtual Machines pomocí rutin PowerShellu.

Povolení a konfigurace Microsoft Antimalware pomocí rutin PowerShellu:

  1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
  2. Pomocí rutiny Set-AzureVMMicrosoftAntimalwareExtension povolte a nakonfigurujte Microsoft Antimalware pro váš virtuální počítač.

Poznámka:

Konfigurace služby Azure Virtual Machines pro Antimalware podporuje pouze konfiguraci formátu JSON. Další informace najdete v části Ukázky tohoto článku.

Povolení a konfigurace antimalwaru pomocí rutin PowerShellu

Aplikace nebo služba Azure může povolit a nakonfigurovat Microsoft Antimalware pro Azure Cloud Services pomocí rutin PowerShellu. Microsoft Antimalware je nainstalovaný v zakázaném stavu na platformě Cloud Services a vyžaduje akci, kterou aplikace Azure povolí.

Povolení a konfigurace Microsoft Antimalware pomocí rutin PowerShellu:

  1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
  2. Pomocí rutiny Set-AzureServiceExtension povolte a nakonfigurujte Microsoft Antimalware pro vaši cloudovou službu.

Další informace najdete v části Ukázky tohoto článku.

Cloud Services a Virtual Machines – Konfigurace pomocí rutin PowerShellu

Aplikace nebo služba Azure může načíst konfiguraci Microsoft Antimalware pro cloudové služby a virtuální počítače pomocí rutin PowerShellu.

Načtení konfigurace Microsoft Antimalware pomocí rutin PowerShellu:

  1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
  2. Pro virtuální počítače: K získání antimalwarové konfigurace použijte rutinu Get-AzureVMMicrosoftAntimalwareExtension .
  3. Pro cloudové služby: K získání antimalwarové konfigurace použijte rutinu Get-AzureServiceExtension .

Ukázky

Odebrání antimalwarové konfigurace pomocí rutin PowerShellu

Aplikace nebo služba Azure může odebrat konfiguraci antimalwaru a veškerou přidruženou konfiguraci antimalwarového monitorování z příslušných rozšíření služby Azure Antimalware a diagnostiky přidružených ke cloudové službě nebo virtuálnímu počítači.

Odebrání Microsoft Antimalware pomocí rutin PowerShellu:

  1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
  2. Pro virtuální počítače: Použijte rutinu Remove-AzureVMMicrosoftAntimalwareExtension .
  3. Pro cloudové služby: Použijte rutinu Remove-AzureServiceExtension .

Povolení shromažďování antimalwarových událostí pro virtuální počítač pomocí portálu Azure Preview:

  1. V okně Virtuální počítač klikněte na libovolnou část objektivu Monitorování.
  2. Klikněte na příkaz Diagnostika v okně Metrika.
  3. Vyberte Stav ZAPNUTO a zkontrolujte možnost pro systém událostí Windows.
  4. . Můžete se rozhodnout zrušit zaškrtnutí všech ostatních možností v seznamu nebo je nechat povolené podle potřeb vaší aplikační služby.
  5. Kategorie antimalwarových událostí "Error", "Warning", "Informational" atd., jsou zaznamenány ve vašem účtu Azure Storage.

Antimalwarové události se shromažďují z protokolů systému událostí Windows do vašeho účtu Azure Storage. Účet úložiště pro virtuální počítač můžete nakonfigurovat tak, aby shromažďovali antimalwarové události výběrem příslušného účtu úložiště.

Metrics and diagnostics

Povolení a konfigurace Antimalwaru pomocí rutin PowerShellu pro virtuální počítače Azure Resource Manageru

Povolení a konfigurace Microsoft Antimalware pro virtuální počítače Azure Resource Manageru pomocí rutin PowerShellu:

  1. Nastavte prostředí PowerShellu pomocí této dokumentace na GitHubu.
  2. Pomocí rutiny Set-AzureRmVMExtension povolte a nakonfigurujte Microsoft Antimalware pro váš virtuální počítač.

K dispozici jsou následující ukázky kódu:

Povolení a konfigurace antimalwaru pro rozšířenou podporu cloudové služby Azure (CS-ES) pomocí rutin PowerShellu

Povolení a konfigurace Microsoft Antimalware pomocí rutin PowerShellu:

  1. Nastavení prostředí PowerShellu – Projděte si dokumentaci na adrese . https://github.com/Azure/azure-powershell
  2. Pomocí rutiny New-AzCloudServiceExtensionObject povolte a nakonfigurujte Microsoft Antimalware pro virtuální počítač cloudové služby.

K dispozici je následující ukázka kódu:

Povolení a konfigurace Antimalwaru pomocí rutin PowerShellu pro servery s podporou Azure Arc

Povolení a konfigurace Microsoft Antimalware pro servery s podporou Azure Arc pomocí rutin PowerShellu:

  1. Nastavte prostředí PowerShellu pomocí této dokumentace na GitHubu.
  2. Pomocí rutiny New-Az Připojení edMachineExtension povolte a nakonfigurujte Microsoft Antimalware pro servery s podporou arc.

K dispozici jsou následující ukázky kódu:

Další kroky

Podívejte se na ukázky kódu, které umožňují povolit a nakonfigurovat Microsoft Antimalware pro virtuální počítače Azure Resource Manageru (ARM).