你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
概述
云环境中的威胁格局不断发展,使组织必须保持强大的安全性和合规性。 Microsoft适用于 Azure 的反恶意软件提供免费实时保护,以帮助检测和删除病毒、间谍软件和其他恶意软件。 当已知威胁或不需要的软件尝试在 Azure 系统上安装或运行时,它会提供可配置的警报。 此解决方案构建在与 Microsoft Security Essentials(MSE)相同的反恶意软件平台上,Microsoft Forefront Endpoint Protection、Microsoft System Center Endpoint Protection、Windows Intune 和 Windows Defender for Windows 8.0 及更高版本。
适用于 Azure 的 Microsoft 反恶意软件是一个针对应用程序和租户环境所提供的单一代理解决方案,可在在后台运行而无需人工干预。 可以根据应用程序工作负荷的需求,选择默认的基本安全性或高级的自定义配置(包括反恶意软件监视)来部署保护。
先决条件
操作系统
适用于 Azure 的 Microsoft 反恶意软件解决方案包含 Microsoft 反恶意软件客户端和服务、反恶意软件经典部署模型、反恶意软件 PowerShell cmdlet 和 Azure 诊断扩展。 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 操作系统系列支持 Microsoft 反恶意软件解决方案。 Windows Server 2008 操作系统不支持此解决方案,Linux 也不支持此解决方案。
Windows Defender 是 Windows Server 2016 中启用的内置反恶意软件。 一些 Windows Server 2016 SKU 上也默认启用了 Windows Defender 界面。 Azure VM 反恶意软件扩展仍可通过 Windows Defender 添加到 Windows Server 2016 及更高版本的 Azure VM。 在此方案中,该扩展应用 Windows Defender 要使用的任何可选 配置策略 。 该扩展不会部署任何其他反恶意软件服务。 有关详细信息,请参阅 适用于 Azure 云服务和虚拟机的反恶意软件Microsoft:示例。
Internet 连接
适用于 Windows 的 Microsoft 反恶意软件要求目标虚拟机已连接到 Internet,以便定期接收引擎及签名更新。
模板部署
可使用 Azure Resource Manager 模板部署 Azure VM 扩展。 部署需要部署后配置(例如,载入 Azure 反恶意软件)的一个或多个虚拟机时,模板是理想选择。
虚拟机扩展的 JSON 配置可以嵌套在虚拟机资源内,或放置在资源管理器 JSON 模板的根级别或顶级别。 JSON 的位置会影响资源名称和类型的值。 有关详细信息,请参阅设置子资源的名称和类型。
以下示例假定 VM 扩展嵌套在虚拟机资源内。 嵌套扩展资源时,JSON 放置在虚拟机的 "resources": [] 对象中。
{
"type": "Microsoft.Compute/virtualMachines/extensions",
"name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
"apiVersion": "2019-07-01",
"___location": "[resourceGroup().___location]",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
],
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "IaaSAntimalware",
"typeHandlerVersion": "1.3",
"autoUpgradeMinorVersion": true,
"settings": {
"AntimalwareEnabled": "true",
"Exclusions": {
"Extensions": ".ext1;.ext2",
"Paths": "c:\excluded-path-1;c:\excluded-path-2",
"Processes": "excludedproc1.exe;excludedproc2.exe"
},
"RealtimeProtectionEnabled": "true",
"ScheduledScanSettings": {
"isEnabled": "true",
"scanType": "Quick",
"day": "7",
"time": "120"
}
},
"protectedSettings": null
}
}
必须至少包含以下内容才能启用Microsoft Antimalware 扩展:
{ "AntimalwareEnabled": true }
Microsoft Antimalware JSON 配置示例:
{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },
"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}
AntimalwareEnabled:
必需参数
值:true/false
- true = 启用
- false = 出错,因为 false 不是支持的值
RealtimeProtectionEnabled:
值:true/false,默认值为 true
- true = 启用
- false = 禁用
ScheduledScanSettings:
isEnabled = true/false
day = 0-8(0-每天、1-星期日、2-星期一、....、7-星期六、8-禁用)
time = 0-1440(以午夜后的分钟数计算 - 60->凌晨 1 点、120 -> 凌晨 2 点、...)
scanType = Quick/Full,默认值为 Quick
如果 isEnabled = true 是唯一提供的设置,则设置以下默认值:day=7 (Saturday),time=120 (2 AM),scanType="Quick"
排除项
- 分号分隔同一列表中的多个排除项。
- 如果未指定排除项,系统会用空白覆盖现有排除项。
PowerShell 部署
根据部署类型,使用相应的命令将 Azure 反恶意软件扩展部署到现有虚拟机。
故障排除和支持
故障排除
%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log 中提供了 Microsoft 反恶意软件扩展日志
错误代码及其含义
| 错误代码 | 含义 | 可能的操作 |
|---|---|---|
| -2147156224 | MSI 正忙于处理其他安装 | 稍后尝试运行安装 |
| -2147156221 | MSE 安装程序正在运行 | 一次只运行一个实例 |
| -2147156208 | 磁盘空间不足 < 200 MB | 删除未使用的文件,然后重试安装 |
| -2147156187 | 上次安装、升级、更新或卸载请求重启 | 重启,然后重试安装 |
| -2147156121 | 安装程序尝试删除竞争对手产品。 但竞争对手产品卸载失败 | 尝试手动删除竞争对手产品,然后重启并重试安装 |
| -2147156116 | 策略文件验证失败 | 确保传递要设置的有效策略 XML 文件 |
| -2147156095 | 安装程序无法启动反恶意软件服务 | 验证是否对所有二进制文件进行了正确签名,以及是否已安装正确的许可文件 |
| -2147023293 | 安装期间出错。 Epp.msi 无法注册、启动或停止 AM 服务或微型筛选驱动程序 | 此处需要 EPP.msi 中的 MSI 日志以便进一步调查 |
| -2147023277 | 无法打开安装包 | 验证包是否存在且可访问,或联系应用程序供应商,验证它是否为有效的 Windows Installer 包 |
| -2147156109 | Windows Defender 是必备组件 | |
| -2147205073 | 不支持 websso 颁发者 | |
| -2147024893 | 系统找不到指定路径 | |
| -2146885619 | 不是加密消息或加密消息的格式不正确 | |
| -1073741819 | 0x%p 处的指令引用了 0x%p 处的内存。 内存不能为 %s | |
| 1 | 函数不正确 |
支持
对于本文中的任何内容,如果需要更多帮助,可以联系 Azure 和 Stack Overflow 论坛上的 Azure 专家。 或者,你也可以提出 Azure 支持事件。 请转到 Azure 支持站点并选择“获取支持”。 有关使用 Azure 支持的信息,请阅读 Microsoft Azure 支持常见问题解答。