適用於 Windows 的 Microsoft Antimalware 擴充功能

概觀

現今雲端環境的威脅型態多變,因此企業 IT 雲端訂閱者為了遵循法規與達到安全性需求,在維護有效保護機制方面承受許多壓力。 適用於 Azure 的 Microsoft Antimalware 是免費的即時保護功能。 Microsoft Antimalware 能夠協助識別並移除病毒、間諜軟體及其他惡意軟體,且具有可設定的警示,可在已知的惡意或垃圾軟體嘗試在您的 Azure 系統上安裝或執行時發出警示。 此解決方案建置在與 Microsoft Security Essentials (MSE)、Microsoft Forefront Endpoint Protection、Microsoft System Center Endpoint Protection、Windows Intune 及適用於 Windows 8.0 和更新版本的 Windows Defender 相同的反惡意程式碼平台。 適用於 Azure 的 Microsoft Antimalware 是一個針對應用程式和租用戶環境所提供的單一代理程式解決方案,其設計可於無人為介入的情況下在背景中執行。 您可以根據您的應用程式工作負載需求,使用基礎的預設保護或進階的自訂設定 (包括反惡意程式碼軟體監視) 來部署保護。

必要條件

作業系統

適用於 Azure 的 Microsoft Antimalware 解決方案包含 Microsoft Antimalware 用戶端和服務、Antimalware 傳統部署模型、Antimalware PowerShell Cmdlet 及 Azure 診斷延伸模組。 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2 作業系統系列可支援 Microsoft Antimalware 解決方案。 Windows Server 2008 作業系統不支援,Linux 也不支援。

Windows Defender 是在 Windows Server 2016 中啟用的內建反惡意程式碼軟體。 某些 Windows Server 2016 SKU 預設也會啟用 Windows Defender 介面。 Azure VM Antimalware 擴充功能仍可新增至具有 Windows Defender 的 Windows Server 2016 和更新版本 Azure VM。 在此情節中,擴充功能會套用 Windows Defender 要使用的任何選擇性設定原則。 擴充功能不會部署任何其他反惡意程式碼服務。 如需詳細資訊,請參閱 Microsoft Antimalware 文章的範例一節。

網際網路連線能力

適用於 Windows 的 Microsoft 反惡意程式碼會要求目標虛擬機器連線至網際網路,以定期接收引擎和特徵碼更新。

範本部署

也可以使用 Azure Resource Manager 範本部署 Azure VM 擴充功能。 部署一或多部需要部署後設定的虛擬機器時 (例如在 Azure Antimalware 上架),很適合使用範本。

虛擬機器擴充功能的 JSON 設定可以巢狀方式置於虛擬機器資源內部,或放在 Resource Manager JSON 範本的根目錄或最上層。 JSON 設定的放置會影響資源名稱和類型的值。 如需詳細資訊,請參閱設定子資源的名稱和類型

下列範例假設 VM 擴充功能以巢狀方式置於虛擬機器資源內部。 在巢狀處理擴充資源時,JSON 會放在虛擬機器的 "resources": [] 物件中。

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

您至少須包含下列內容,才能啟用 Microsoft Antimalware 延伸模組:

{ "AntimalwareEnabled": true }

Microsoft Antimalware JSON 設定範例:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled

  • 必要參數

  • 值:true/false

    • true = 啟用
    • false = 錯誤輸出,因為 false 不是支援的值

RealtimeProtectionEnabled

  • 值:true/false,預設值為 true

    • true = 啟用
    • false = 停用

ScheduledScanSettings

  • isEnabled = true/false

  • day = 0-8 (0-每天、1-星期日、2-星期一、....、7-星期六、8-停用)

  • time = 0-1440 (以午夜過後的分鐘數計算 - 60->1AM、120 -> 2AM、... )

  • scanType = Quick/Full,預設值為 Quick

  • 如果 isEnabled = true 是唯一提供的設定,則會設定下列預設值:day=7 (星期日), time=120 (2 AM), scanType="Quick"

排除項目

  • 相同清單中的多個排除項目使用分號分隔符號來指定
  • 若未指定任何排除項目,則系統上的任何現有排除項目都將覆寫為空白

PowerShell 部署

根據您部署的類型而定,請使用對應的命令,將 Azure Antimalware 虛擬機器擴充功能部署到現有的虛擬機器中。

疑難排解與支援

疑難排解

Microsoft Antimalware 擴充功能記錄可在 - %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log 取得

錯誤碼及其意義

錯誤碼 意義 可能的動作
-2147156224 MSI 忙著處理不同的安裝 請稍後再嘗試執行安裝
-2147156221 MSE 安裝程式已在執行中 一次僅執行一個執行個體
-2147156208 磁碟空間不足 < 200 MB 刪除未使用的檔案,然後重試安裝
-2147156187 最後一個安裝、升級、更新或解除安裝要求重新開機 重新開機,然後重試安裝
-2147156121 安裝程式嘗試移除競爭對手產品。 但競爭對手產品解除安裝失敗 嘗試手動移除競爭對手產品、重新開機,然後重試安裝
-2147156116 原則檔驗證失敗 請確定您將有效的原則 XML 檔案傳遞至安裝程式
-2147156095 安裝程式無法啟動 Antimalware 服務 確認已正確簽署所有二進位檔,且已安裝正確的授權檔案
-2147023293 安裝期間發生嚴重錯誤。 多數情況下會發生。 Epp.msi 無法登錄\啟動\停止 AM 服務或迷你篩選驅動程式 此處需要 EPP.msi 的 MSI 記錄,以供之後調查之用
-2147023277 無法開啟安裝套件 請確認套件是否存在而且可以存取,或連絡應用程式廠商,確認這是有效的 Windows Installer 套件
-2147156109 Windows Defender 是必要條件
-2147205073 不支援 websso 簽發者
-2147024893 系統找不到指定的路徑
-2146885619 未加密的訊息或加密訊息的格式不正確
-1073741819 0x%p 的指示參照 0x%p 的記憶體。 記憶體不能是 %s
1 函式不正確

支援

如果您在本文中有任何需要協助的地方,您可以連絡 Azure 和 Stack Overflow 論壇上的 Azure 專家。 或者,您可以提出 Azure 支援事件。 請移至 Azure 支援網站,然後選取 [取得支援]。 如需使用 Azure 支援的資訊,請參閱 Microsoft Azure 支援常見問題集