Антивредоносное ПО Майкрософт для облачных служб и виртуальных машин Azure

Антивредоносное ПО Майкрософт для Azure предоставляет бесплатную защиту в реальном времени, которая помогает обнаруживать и устранять вирусы, шпионское ПО и другие вредоносные программы. Оно создает предупреждения о попытках установки или запуска известных вредоносных или нежелательных программ в системе Azure.

Это решение создано на той же платформе антивредоносного ПО, что и Microsoft Security Essentials [MSE], Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune и Microsoft Defender для облака. Антивредоносное ПО для Azure — это единый агент для приложений и клиентских сред, работающий в фоновом режиме без стороннего вмешательства. Можно развернуть систему защиты, соответствующую рабочим нагрузкам своих приложений, и использовать базовую конфигурацию защиты (по умолчанию) или расширенную настраиваемую конфигурацию, включающую отслеживание вредоносных программ.

После развертывания антивредоносного ПО Майкрософт и его включения в среде Azure, содержащей ваши приложения, доступны следующие основные функции.

• Защита в режиме реального времени: мониторинг действий, выполняемых в облачных службах и виртуальных машинах, для обнаружения и блокировки работы вредоносных программ.
• Запланированное сканирование: периодическое сканирование для обнаружения вредоносных программ, включая уже запущенные.
• Исправление вредоносных действий: автоматические действия в отношении обнаруженных вредоносных программ, например удаление или помещение в карантин вредоносных файлов, а также удаление из реестра нежелательных записей.
• Обновление подписей: автоматическая установка последних версий подписей (определений вирусов) с заданной частотой, обеспечивающая актуальность защиты.
• Обновление модуля защиты от вредоносных программ: автоматическое обновление соответствующего модуля защиты Майкрософт.
• Обновление платформы защиты от вредоносных программ: автоматическое обновление платформы антивредоносного ПО Майкрософт.
• Активная защита: отправка в Microsoft Azure отчетов с метаданными телеметрии, содержащих сведения об обнаруженных угрозах и подозрительных ресурсах. Это обеспечивает быстрое реагирование на возникающие угрозы и синхронное предоставление подписей в режиме реального времени с помощью системы Microsoft Active Protection System (MAPS).
• Отправка образцов: отправка отчетов и образцов в службу защиты от вредоносных программ Майкрософт для повышения качества обслуживания и устранения неполадок.
• Исключения: администраторы приложений и служб могут настраивать исключения для определенных файлов, процессов и дисков.
• Сбор событий защиты от вредоносных программ: запись в журнал событий операционной системы данных о работоспособности службы защиты от вредоносных программ, а также сведений о подозрительных действиях и исправлениях. Вся эта информация собирается в учетной записи хранения Azure клиента.

Примечание

Microsoft Antimalware также можно развернуть с помощью Microsoft Defender для облака. Дополнительные сведения см. в статье Установка Endpoint Protection в Microsoft Defender для облака.

Architecture

Антивредоносное ПО Майкрософт для Azure включает в себя клиент и службу защиты от вредоносных программ Майкрософт, классическую модель развертывания антивредоносной программы, командлеты PowerShell для антивредоносной программы и расширение системы диагностики Azure. Антивредоносное ПО Майкрософт поддерживается семействами операционных систем Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Операционная система Windows Server 2008 не поддерживает это решение, как и Linux.

Во всех поддерживаемых семействах гостевых операционных систем Azure клиент и служба защиты от вредоносных программ Майкрософт устанавливаются по умолчанию в отключенном состоянии. На платформе для виртуальных машин клиент и служба защиты от вредоносных программ (Майкрософт) не устанавливаются по умолчанию. Это решение можно включить как дополнительный компонент в конфигурации виртуальной машины на портале Azure и в Visual Studio в разделе "Расширения безопасности".

Если вы используете службу приложений Azure в Windows, то в базовой службе, в которой размещено веб-приложение, также включено Microsoft Antimalware. Оно используется для защиты инфраструктуры службы приложений Azure и не затрагивает содержимое клиентов.

Примечание

Антивирусная программа в Microsoft Defender — это встроенное антивредоносное ПО, включенное в Windows Server 2016. Кроме того, интерфейс антивирусной программы в Microsoft Defender по умолчанию включен для некоторых номеров SKU Windows Server 2016 (подробнее). Расширение антивредоносного ПО для виртуальных машин Azure по-прежнему можно добавить для виртуальной машины Azure под управлением Windows Server 2016 с антивирусной программой в Microsoft Defender. Но в таком случае применяются все дополнительные политики конфигурации, которые должны использоваться антивирусной программой в Microsoft Defender. С помощью расширения дополнительные службы защиты от вредоносных программ не развертываются. Дополнительные сведения об этом обновлении см. здесь.

Рабочий процесс антивредоносной программы (Майкрософт)

Администратор служб Azure может включить антивредоносное ПО со стандартной или настраиваемой конфигурацией для запущенных в Azure виртуальных машин и облачных служб следующим образом.

• Для виртуальных машин — на портале Azure в разделе Расширения безопасности.
• Для виртуальных машин — в Visual Studio в обозревателе сервера в разделе конфигурации виртуальных машин.
• Для виртуальных машин и облачных служб — с помощью классической модели развертывания антивредоносной программы.
• Для виртуальных машин и облачных служб — с помощью командлетов PowerShell для защиты от вредоносных программ.

С помощью портала Azure или командлетов PowerShell можно отправить файл пакета расширения антивредоносной программы в предопределенное фиксированное расположение в системе Azure. Гостевой агент Azure (агент структуры) запускает расширение антивредоносного ПО и применяет соответствующие параметры конфигурации, указанные в качестве входных данных. Это действие включает службу защиты от вредоносных программ со стандартными или настраиваемыми параметрами конфигурации. Если настраиваемые параметры конфигурации не указаны, в службе защиты от вредоносных программ будут использоваться стандартные параметры. Дополнительные сведения см. в разделе Antimalware configuration (Конфигурация антивредоносного ПО) в документе Microsoft Antimalware for Azure — Code Samples (Microsoft Antimalware для облачных служб и виртуальных машин Azure: примеры кода).

После запуска клиент антивредоносного ПО Майкрософт загружает из Интернета в систему Azure последние версии модуля защиты от вредоносных программ и определения подписей. Служба Microsoft Antimalware записывает события, связанные с работой служб, в системный журнал событий ОС в раздел источника событий Microsoft Antimalware. События включают состояние работоспособности клиента антивредоносного ПО, состояние защиты и исправлений, новые и старые параметры конфигурации, обновления модулей и определений подписей и пр.

Вы можете включить отслеживание вредоносных программ в облачной службе или виртуальной машине, чтобы все события журнала событий антивредоносного ПО записывались в учетную запись хранения Azure по мере возникновения. Служба защиты от вредоносных программ использует расширение диагностики Azure, чтобы собирать в системе Azure данные о событиях антивредоносного ПО, записывая их в таблицы в пользовательской учетной записи хранения Azure.

Рабочий процесс развертывания, включая шаги по настройке параметров, которые поддерживают вышеуказанные сценарии, описан в разделе Сценарии развертывания антивредоносного ПО этой статьи.

Примечание

Для развертывания масштабируемых наборов виртуальных машин с расширением Microsoft Antimalware можно использовать PowerShell или интерфейсы API и шаблоны Azure Resource Manager. Чтобы установить расширение на уже работающую виртуальную машину, используйте пример сценария Python vmssextn.py. Этот сценарий добавляет в набор масштабирования существующую конфигурацию расширения, а затем добавляет расширение в список существующих расширений в наборах масштабирования виртуальных машин.

Стандартная и настраиваемая конфигурации антивредоносного ПО

Стандартная конфигурация используется для защиты облачных служб или виртуальных машин Azure от вредоносных программ, если не указана настраиваемая конфигурация. Стандартные параметры конфигурации предварительно оптимизированы для работы в среде Azure. При необходимости стандартные параметры конфигурации можно настроить в соответствии с требованиями к развертыванию службы или приложения Azure, а также использовать их в других сценариях развертывания.

В следующей таблице приведены параметры конфигурации, доступные для службы защиты от вредоносных программ. Стандартные параметры конфигурации отмечены в таблице ниже в столбце "По умолчанию".

Сценарии развертывания антивредоносного ПО

В этом разделе рассматриваются сценарии включения и настройки антивредоносного ПО, включая мониторинг облачных служб и виртуальных машин Azure.

Виртуальные машины: включение и настройка антивредоносной программы

Развертывание при создании виртуальной машины с использованием портала Azure

Чтобы включить и настроить антивредоносную программу (Майкрософт) для виртуальных машин Azure с помощью портала Azure во время подготовки виртуальной машины, выполните следующее.

1. Войдите на портал Azure.
2. Чтобы создать виртуальную машину, перейдите на вкладку Виртуальные машины, выберите Добавить, а затем — Windows Server.
3. Выберите версию Windows Server, которую вы хотите использовать.
4. Нажмите кнопку создания.
5. Укажите название, имя пользователя, пароль и создайте новую группу ресурсов или выберите существующую.
6. Щелкните ОК.
7. Выберите размер виртуальной машины.
8. В следующем разделе установите подходящие параметры и щелкните раздел Расширения.
9. Щелкните Добавить расширение.
10. В разделе Новый ресурс выберите Антивредоносное ПО Майкрософт.
11. Нажмите кнопку Создать
12. В разделе Установить расширение можно настроить исключения файлов, расположений и процессов, а также другие параметры сканирования. Нажмите кнопку ОК.
13. Нажмите кнопку ОК.
14. В разделе Параметры нажмите кнопку ОК.
15. В окне Создать нажмите кнопку ОК.

См. этот пример шаблона Azure Resource Manager для развертывания расширения анти вредоносного ПО для виртуальной машины Windows.

Развертывание с помощью страницы конфигурации виртуальной машины в Visual Studio

Чтобы включить и настроить службу защиты от вредоносных программ Майкрософт с помощью Visual Studio, выполните следующие шаги.

1. Подключитесь к Microsoft Azure в Visual Studio.

2. Выберите виртуальную машину, развернув узел Виртуальные машины в обозревателе сервера.

   

3. Щелкните правой кнопкой мыши элемент Настройка, чтобы открыть страницу конфигурации виртуальной машины.

4. В раскрывающемся списке в разделе Установленные расширения выберите расширение Антивредоносное ПО Майкрософт, а затем нажмите кнопку Добавить, чтобы включить стандартную конфигурацию защиты от вредоносных программ.

5. Чтобы настроить стандартные параметры конфигурации антивредоносного ПО, выберите расширение антивредоносного ПО в списке установленных расширений (выделено на рис.) и нажмите кнопку Настроить.

6. В текстовом поле Общедоступная конфигурация замените стандартную конфигурацию антивредоносного ПО настраиваемой конфигурацией в поддерживаемом формате JSON, а затем нажмите кнопку "ОК".

7. Нажмите кнопку Обновить, чтобы отправить обновленную конфигурацию на свою виртуальную машину.

   

Примечание

Конфигурация виртуальных машин Visual Studio поддерживает конфигурацию антивредоносного ПО только в формате JSON. Шаблон поддерживаемых параметров конфигурации антивредоносного ПО в формате JSON приведен в статье Microsoft Antimalware For Azure — Code Samples (Microsoft Antimalware для облачных служб и виртуальных машин Azure: примеры кода).

Развертывание с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно включить и настроить антивредоносное ПО Майкрософт для виртуальных машин Azure.

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
2. Чтобы включить и настроить Microsoft Antimalware для виртуальной машины, используйте командлет Set-AzureVMMicrosoftAntimalwareExtension.

Примечание

Конфигурация виртуальных машин Azure поддерживает конфигурацию антивредоносного ПО только в формате JSON. Шаблон поддерживаемых параметров конфигурации антивредоносного ПО в формате JSON приведен в статье Microsoft Antimalware For Azure — Code Samples (Microsoft Antimalware для облачных служб и виртуальных машин Azure: примеры кода).

Включение и настройка защиты от вредоносных программ с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно включить и настроить антивредоносное ПО Майкрософт для облачных служб Azure. Обратите внимание, что антивредоносное ПО Майкрософт устанавливается на платформу для облачных служб в отключенном состоянии и его необходимо включить с помощью приложения Azure.

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
2. Чтобы включить и настроить Microsoft Antimalware для облачной службы, используйте командлет Set-AzureServiceExtension.

Шаблон поддерживаемых параметров конфигурации антивредоносного ПО в формате XML приведен в статье Microsoft Antimalware For Azure — Code Samples (Microsoft Antimalware для облачных служб и виртуальных машин Azure: примеры кода).

Облачные службы и виртуальные машины: настройка конфигурации с помощью командлетов PowerShell

В приложении или службе Azure с помощью командлетов PowerShell можно получить конфигурацию антивредоносного ПО Майкрософт для облачных служб и виртуальных машин.

Чтобы получить конфигурацию антивредоносного ПО с помощью командлетов PowerShell, выполните следующие шаги.

1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
2. Для Виртуальных машин: получите конфигурацию антивредоносного ПО, выполнив командлет AzureVMMicrosoftAntimalwareExtension.
3. Для Облачных служб: получите конфигурацию антивредоносного ПО, используя выполнив командлет Get-AzureServiceExtension.

Удаление конфигурации антивредоносного ПО с помощью командлетов PowerShell

С помощью приложения или службы Azure можно удалить конфигурацию антивредоносной программы и связанную конфигурацию отслеживания вредоносных программ из соответствующих расширений антивредоносной программы и службы диагностики Azure, связанных с облачной службой или виртуальной машиной.

Чтобы удалить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
2. Для Виртуальных машин: используйте командлет Remove-AzureVMMicrosoftAntimalwareExtension.
3. Для Облачных служб: используйте командлет Remove-AzureServiceExtension.

Чтобы включить сбор событий антивредоносного ПО для виртуальной машины на портале предварительной версии Azure, выполните следующие шаги:

1. Щелкните любую часть линзы мониторинга в колонке виртуальной машины.
2. Выберите команду «Диагностика» в колонке «Метрика».
3. Переведите переключатель Состояние в положение "ВКЛ." и установите флажок для параметра "Журналы системы событий Windows".
4. . Вы можете снять флажки для остальных параметров в списке или оставить их, если это необходимо для работы службы приложений.
5. События антивредоносного ПО, относящиеся к категориям "Ошибка", "Предупреждение", "Информация" и т. д., будут регистрироваться в вашей учетной записи хранения Azure.

Теперь события антивредоносного ПО будут собираться из системных журналов событий Windows в вашу учетную запись хранения Azure. Вы можете настроить учетную запись хранения для сбора событий антивредоносного ПО на виртуальной машине, выбрав соответствующую учетную запись хранения.

Включение и настройка антивредоносного ПО с помощью командлетов PowerShell для виртуальных машин Azure Resource Manager

Вы можете включить и настроить Microsoft Antimalware для виртуальных машин Azure Resource Manager с помощью командлетов PowerShell.

1. Настройте среду PowerShell с помощью этой документации на сайте GitHub.
2. Чтобы включить и настроить Microsoft Antimalware для виртуальной машины, используйте командлет Set-AzureRmVMExtension.

Доступны следующие примеры кода:

• Развертывание Microsoft Antimalware на виртуальных машинах ARM
• Добавление Microsoft Antimalware в кластеры Azure Service Fabric

Включение и настройка Antimalware для расширенной поддержки облачных служб Azure (CS-ES) с помощью командлетов PowerShell

Чтобы включить и настроить антивредоносное ПО Майкрософт, используя командлеты PowerShell, выполните следующие шаги.

1. Настройте среду PowerShell, как описано в документации по адресу https://github.com/Azure/azure-powershell.
2. Чтобы включить и настроить Microsoft Antimalware для виртуальной машины облачной службы, используйте командлет New-AzCloudServiceExtensionObject.

Доступен следующий пример кода:

• Добавление Microsoft Antimalware в облачную службу Azure с помощью расширенной поддержки (CS-ES)

Включение и настройка антивредоносного ПО с помощью командлетов PowerShell для виртуальных машин с поддержкой Azure Arc

Вы можете включить и настроить Microsoft Antimalware для серверов с поддержкой Azure Arc с помощью командлетов PowerShell.

1. Настройте среду PowerShell с помощью этой документации на сайте GitHub.
2. Чтобы включить и настроить Microsoft Antimalware для серверов с поддержкой Azure Arc, используйте командлет New-AzConnectedMachineExtension.

Доступны следующие примеры кода:

• Добавление Microsoft Antimalware для серверов с поддержкой Azure Arc

Дальнейшие действия

См. примеры кода для включения и настройки Microsoft Antimalware для виртуальных машин Azure Resource Manager (ARM).