Microsoft Defender para punto de conexión en Windows Server con SAP

Se aplica a:

• Servidor de Microsoft Defender para punto de conexión
• Microsoft Defender para servidores

Si su organización usa SAP, es esencial comprender la compatibilidad y compatibilidad entre las funcionalidades de detección y respuesta (EDR) de antivirus y puntos de conexión en Microsoft Defender para punto de conexión y las aplicaciones de SAP. Este artículo le ayuda a comprender la compatibilidad proporcionada por SAP para las soluciones de seguridad de endpoint protection, como Defender para punto de conexión, y cómo interactúan con las aplicaciones de SAP.

En este artículo se describe cómo usar Defender para punto de conexión en Windows Server junto con aplicaciones de SAP, como NetWeaver y S4 Hana, y motores independientes de SAP, como LiveCache. En este artículo, nos centramos en las funcionalidades antivirus y EDR en Defender para punto de conexión; Sin embargo, Defender para punto de conexión incluye funcionalidades adicionales. Para obtener información general sobre todas las funcionalidades de Defender para punto de conexión, consulte Microsoft Defender para punto de conexión.

En este artículo no se trata el software cliente de SAP, como SAPGUI, ni Microsoft Defender Antivirus en dispositivos cliente Windows.

Seguridad empresarial y el equipo de SAP Basis

La seguridad empresarial es un rol especializado y las actividades descritas en este artículo deben planearse como una actividad conjunta entre el equipo de seguridad empresarial y el equipo de SAP Basis. El equipo de seguridad empresarial debe coordinarse con el equipo de SAP Basis y diseñar conjuntamente la configuración de Defender para punto de conexión y analizar las exclusiones.

Obtener información general de Defender para punto de conexión

Defender para punto de conexión es un componente de Microsoft Defender XDR y se puede integrar con la solución SIEM/SOAR.

Antes de empezar a planear o implementar Defender para punto de conexión en Windows Server con SAP, tómese un momento para obtener información general de Defender para punto de conexión. En el vídeo siguiente se proporciona información general:

Para obtener información más detallada sobre las ofertas de seguridad de Defender para punto de conexión y Microsoft, consulte los siguientes recursos:

• Microsoft Defender para punto de conexión
• Documentación y entrenamiento de seguridad de Microsoft

Defender para punto de conexión incluye funcionalidades que están fuera del ámbito de este artículo. En este artículo, nos centramos en dos áreas principales:

• Protección de última generación (que incluye protección antivirus). La protección de última generación es un producto antivirus como otras soluciones antivirus para entornos Windows.
• EDR. Las funcionalidades de EDR detectan actividades sospechosas y llamadas al sistema, y proporcionan una capa adicional de protección contra amenazas que omiten la protección antivirus.

Microsoft y otros proveedores de software de seguridad realizan un seguimiento de las amenazas y proporcionan información sobre tendencias. Para obtener más información, consulte Cyberthreats, virus y malware: Inteligencia de seguridad de Microsoft.

Nota:

Para obtener información sobre Microsoft Defender para SAP en Linux, consulte Guía de implementación para Microsoft Defender para punto de conexión en Linux para SAP. Defender para punto de conexión en Linux es significativamente diferente de la versión de Windows.

Instrucción de soporte técnico de SAP en Defender para punto de conexión y otras soluciones de seguridad

SAP proporciona documentación básica para las soluciones antivirus de análisis de archivos convencionales. Las soluciones antivirus de examen de archivos convencionales comparan las firmas de archivo con una base de datos de amenazas conocidas. Cuando se identifica un archivo infectado, el software antivirus suele alertar y poner en cuarentena el archivo. Los mecanismos y el comportamiento de las soluciones antivirus de análisis de archivos son razonablemente conocidos y son predecibles; Por lo tanto, la compatibilidad con SAP puede proporcionar un nivel básico de compatibilidad con las aplicaciones de SAP que interactúan con el software antivirus de examen de archivos.

Las amenazas basadas en archivos son solo un vector posible para el software malintencionado. Malware sin archivos y malware que vive fuera de la tierra, amenazas altamente polimórficas que mutan más rápido que las soluciones tradicionales pueden mantenerse al día, y ataques operados por humanos que se adaptan a lo que los adversarios encuentran en dispositivos en peligro. Las soluciones de seguridad antivirus tradicionales no son suficientes para detener estos ataques. Se requieren funcionalidades respaldadas por inteligencia artificial (IA) y aprendizaje de dispositivos (ML), como el bloqueo y la contención del comportamiento. El software de seguridad, como Defender para punto de conexión, tiene características avanzadas de protección contra amenazas para mitigar las amenazas modernas.

Defender para punto de conexión supervisa continuamente las llamadas del sistema operativo, como lectura de archivos, escritura de archivos, creación de socket y otras operaciones de nivel de proceso. El sensor EDR de Defender para punto de conexión adquiere bloqueos oportunistas en sistemas de archivos NTFS locales y, por lo tanto, es poco probable que afecte a las aplicaciones. Los bloqueos oportunistas no son posibles en sistemas de archivos de red remotos. En raras ocasiones, un bloqueo podría provocar errores generales no específicos, como acceso denegado en aplicaciones sap.

SAP no puede proporcionar ningún nivel de compatibilidad con software EDR/XDR, como Microsoft Defender XDR o Defender para punto de conexión. Los mecanismos de estas soluciones son adaptables; por lo tanto, no son predecibles. Además, es posible que los problemas no sean reproducibles. Cuando se identifican problemas en sistemas que ejecutan soluciones de seguridad avanzadas, SAP recomienda deshabilitar el software de seguridad y, a continuación, intentar reproducir el problema. A continuación, se puede generar un caso de soporte técnico con el proveedor de software de seguridad.

Para obtener más información sobre la directiva de soporte técnico de SAP, consulte 3356389: Antivirus u otro software de seguridad que afecte a las operaciones de SAP.

Notas recomendadas del sistema operativo SAP

Esta es una lista de artículos de SAP que puede usar según sea necesario:

• 3356389: Antivirus u otro software de seguridad que afecte a las operaciones de SAP: SAP for Me
• 106267: software de escáner de virus en Windows - SAP for Me
• 690449: archivo de bloqueo del búfer de transporte (. LOB) permanece bloqueado en Windows: SAP for Me
• 2311946- Errores del sistema de archivos en Windows - SAP for Me
• 2496239 - Ransomware / malware en Windows - SAP for Me
• 1497394: ¿Qué archivos y directorios deben excluirse de un examen antivirus de los productos de la plataforma SAP BusinessObjects Business Intelligence en Windows? - SAP for Me

Precaución

Microsoft Defender para punto de conexión en incluye una característica denominada Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión). Endpoint DLP no debe activarse en ningún Windows Server que ejecute NetWeaver, S4, Adobe Document Server, Archive Servers, TREX, LiveCache o Content Server. Además, es fundamental que los clientes de Windows, como un portátil Windows que ejecuta Windows 11 con DLP de punto de conexión habilitado, no accedan nunca a un recurso compartido de red usado por ninguna aplicación de SAP. En función de la configuración y las directivas, es posible que un equipo cliente de Windows escriba atributos DLP en un recurso compartido de red.

Los servidores de documentos de Adobe o los sistemas de archivo que escriben muchos archivos rápidamente en recursos compartidos SMB o recursos compartidos de transferencia de archivos de interfaz con DLP habilitado pueden provocar daños en los archivos o mensajes de "acceso denegado".

No exponga sistemas de archivos SAP a equipos cliente Windows externos y no active DLP de punto de conexión en servidores Windows que ejecutan software SAP. No permita que los clientes de Windows accedan a recursos compartidos del servidor SAP. Use Robocopy o una herramienta similar para copiar Adobe Document u otros archivos de interfaz en una solución NAS corporativa.

Aplicaciones de SAP en Windows Server: 10 recomendaciones principales

1. Limite el acceso a los servidores SAP, bloquee los puertos de red y tome todas las demás medidas comunes de protección de seguridad. Este primer paso es esencial. El panorama de amenazas ha evolucionado de virus basados en archivos a amenazas complejas y sofisticadas sin archivos. Las acciones, como bloquear puertos y limitar el inicio de sesión o el acceso a las máquinas virtuales , ya no se consideran suficientes para mitigar completamente las amenazas modernas.

2. Implemente Defender para punto de conexión en sistemas que no sean de producción primero antes de realizar la implementación en sistemas de producción. La implementación de Defender para punto de conexión directamente en sistemas de producción sin pruebas es muy arriesgada y puede provocar tiempos de inactividad. Si no puede retrasar la implementación de Defender para punto de conexión en los sistemas de producción, considere la posibilidad de deshabilitar temporalmente la protección contra alteraciones y la protección en tiempo real.

3. Recuerde que la protección en tiempo real está habilitada de forma predeterminada en Windows Server. Si se identifican problemas que podrían estar relacionados con Defender para punto de conexión, se recomienda configurar exclusiones o abrir un caso de soporte técnico a través del portal de Microsoft Defender.

4. Haga que el equipo de SAP Basis y su equipo de seguridad trabajen juntos en la implementación de Defender para punto de conexión. Los dos equipos deben crear conjuntamente un plan de implementación, pruebas y supervisión por fases.

5. Use herramientas como PerfMon (Windows) para crear una línea base de rendimiento antes de implementar y activar Defender para punto de conexión. Compare el uso del rendimiento antes y después de activar Defender para punto de conexión. Para obtener más información, consulte perfmon.

6. Implemente la versión más reciente de Defender para punto de conexión y use las versiones más recientes de Windows, idealmente Windows Server 2019 o posterior. Consulte Requisitos mínimos para Microsoft Defender para punto de conexión.

7. Configure determinadas exclusiones para Microsoft Defender Antivirus. Entre las que se incluyen:

   • Archivos de datos dbms, archivos de registro y archivos temporales, incluidos los discos que contienen archivos de copia de seguridad
   • Todo el contenido del directorio SAPMNT
   • Todo el contenido del directorio SAPLOC
   • Todo el contenido del directorio TRANS
   • Todo el contenido de los directorios para motores independientes como TREX

   Los usuarios avanzados pueden considerar el uso de exclusiones contextuales de archivos y carpetas.

   Para obtener más información sobre las exclusiones de DBMS, use los siguientes recursos:

   • SQL Server: Configurar el software antivirus para que funcione con SQL Server
   • Oracle: Configuración del antivirus en Oracle Database Server (id. de documento 782354.1)
   • DB2: qué directorios de DB2 excluir del software antivirus de Linux (use los mismos comandos en Windows Server)
   • SAP ASE: ponerse en contacto con SAP
   • MaxDB: póngase en contacto con SAP

8. Compruebe la configuración de Defender para punto de conexión. Microsoft Defender Antivirus con aplicaciones SAP debe tener la siguiente configuración en la mayoría de los casos:

   
   AntivirusEnabled                   : True
   AntivirusSignatureAge              : 0
   BehaviorMonitorEnabled             : True
   DefenderSignaturesOutOfDate        : False
   IsTamperProtected                  : True
   RealTimeProtectionEnabled          : True
   
   

9. Use herramientas, como Intune o la administración de la configuración de seguridad de Defender para punto de conexión para configurar Defender para punto de conexión. Estas herramientas pueden ayudar a garantizar que Defender para punto de conexión esté configurado correctamente y se implemente uniformemente. Para usar la administración de la configuración de seguridad de Defender para punto de conexión, siga estos pasos:

   1. En el portal de Microsoft Defender, vaya a Directivas> de seguridad de punto deconexiónde administración de> configuración de puntos de conexión.

   2. Seleccione Crear nueva directiva y siga las instrucciones. Para obtener más información, consulte Administración de directivas de seguridad de puntos de conexión en Microsoft Defender para punto de conexión.

10. Use la versión más reciente de Defender para punto de conexión. Se están implementando varias características nuevas en Defender para punto de conexión en Windows y estas características se probaron con sistemas SAP. Estas nuevas características reducen el bloqueo y reducen el consumo de CPU. Para obtener más información sobre las nuevas características, consulte Novedades de Microsoft Defender para punto de conexión.

Metodología de implementación

SAP y Microsoft no recomiendan implementar Defender para punto de conexión en Windows directamente en todos los sistemas de desarrollo, QAS y producción simultáneamente y/o sin realizar pruebas y supervisión cuidadosas. Los clientes que implementaron Defender para punto de conexión y otro software similar de forma incontrolada sin pruebas adecuadas experimentaron un tiempo de inactividad del sistema como resultado.

Defender para punto de conexión en Windows y cualquier otro cambio de software o configuración debe implementarse primero en los sistemas de desarrollo, validarse en QAS y solo después implementarse en entornos de producción.

Es probable que el uso de herramientas, como la administración de la configuración de seguridad de Defender para punto de conexión , para implementar Defender para punto de conexión en todo un entorno de SAP sin pruebas cause tiempo de inactividad.

Esta es una lista de lo que se debe comprobar:

1. Implemente Defender para punto de conexión con la protección contra alteraciones habilitada. Si surgen problemas, habilite el modo de solución de problemas, deshabilite la protección contra alteraciones, deshabilite la protección en tiempo real y configure los exámenes programados.

2. Excluya archivos DBMS y ejecutables siguiendo las recomendaciones del proveedor de DBMS.

3. Analice los directorios SAPMNT, SAP TRANS_DIR, Spool y Job Log. Si hay más de 100 000 archivos, considere la posibilidad de archivar para reducir el número de archivos.

4. Confirme los límites de rendimiento y las cuotas del sistema de archivos compartidos que se usa para SAPMNT. El origen del recurso compartido SMB podría ser un dispositivo NetApp, un disco compartido Windows Server o Azure Files SMB.

5. Configure exclusiones para que todos los servidores de aplicaciones de SAP no digitalizarán el recurso compartido de SAPMNT simultáneamente, ya que podría sobrecargar el servidor de almacenamiento compartido.

6. En general, los archivos de interfaz de host en un servidor de archivos que no es de SAP dedicado. Los archivos de interfaz se reconocen como vector de ataque. La protección en tiempo real debe activarse en este servidor de archivos dedicado. Los servidores SAP nunca deben usarse como servidores de archivos para los archivos de interfaz.

   Nota:

   Algunos sistemas SAP grandes tienen más de 20 servidores de aplicaciones SAP cada uno con una conexión al mismo recurso compartido DE SAPMNT SMB. 20 servidores de aplicaciones que examinan simultáneamente el mismo servidor SMB pueden sobrecargar el servidor SMB. Se recomienda excluir SAPMNT de los exámenes normales.

Valores de configuración importantes para Defender para punto de conexión en Windows Server con SAP

1. Obtenga información general de Microsoft Defender para punto de conexión. En concreto, revise la información sobre la protección de próxima generación y EDR.

   Nota:

   El término Defender a veces se usa para hacer referencia a un conjunto completo de productos y soluciones. Vea ¿Qué es Microsoft Defender XDR?. En este artículo, nos centramos en las funcionalidades antivirus y EDR en Defender para punto de conexión.

2. Compruebe el estado de Microsoft Defender Antivirus. Abra el símbolo del sistema y ejecute los siguientes comandos de PowerShell:

   Get-MpComputerStatus, como se indica a continuación:

   
   Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting 
   
   

   Salida esperada para Get-MpComputerStatus:

   
   DisableCpuThrottleOnIdleScans                 : True
   DisableRealtimeMonitoring                     : False
   DisableScanningMappedNetworkDrivesForFullScan : True
   DisableScanningNetworkFiles                   : False
   ExclusionPath                                 :   <<configured exclusions will show here>>
   MAPSReporting                                 : 2
   
   

   Get-MpPreference, como se indica a continuación:

   
   Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled    
   
   

   Salida esperada para Get-MpPreference:

   
   AMRunningMode             : Normal
   AntivirusEnabled          : True
   BehaviorMonitorEnabled    : True
   IsTamperProtected         : True
   OnAccessProtectionEnabled : True
   RealTimeProtectionEnabled : True
   
   

3. Compruebe el estado de EDR. Abra el símbolo del sistema y ejecute el siguiente comando:

   
   PS C:\Windows\System32> Get-Service -Name sense | FL *
   
   

   Debería ver una salida similar al siguiente fragmento de código:

   
   Name        : sense
   RequiredServices  : {}
   CanPauseAndContinue : False
   CanShutdown     : False
   CanStop       : False
   DisplayName     : Windows Defender Advanced Threat Protection Service
   DependentServices  : {}
   MachineName     : .
   ServiceName     : sense
   ServicesDependedOn : {}
   ServiceHandle    :
   Status       : Running
   ServiceType     : Win32OwnProcess
   StartType      : Automatic
   Site        :
   Container      :
   
   

   Los valores que desea ver son Status: Running y StartType: Automatic. Para obtener más información, vea Revisar eventos y errores mediante Visor de eventos.

4. Asegúrese de que Microsoft Defender Antivirus está actualizado. La mejor manera de asegurarse de que la protección antivirus está actualizada es mediante el uso de Windows Update. Si encuentra problemas o recibe un error, póngase en contacto con el equipo de seguridad.

   Para obtener más información sobre las actualizaciones, consulte Microsoft Defender Antivirus security intelligence and product updates(Actualizaciones de productos e inteligencia de seguridad del antivirus).

5. Asegúrese de que la supervisión del comportamiento está activada. Cuando se habilita la protección contra alteraciones, la supervisión del comportamiento está activada de forma predeterminada. Use la configuración predeterminada de protección contra alteraciones habilitada, supervisión del comportamiento habilitada y supervisión en tiempo real habilitada a menos que se identifique un problema específico.

   Para obtener más información, consulte Protección integrada ayuda a protegerse contra ransomware.

6. Asegúrese de que la protección en tiempo real está habilitada. La recomendación actual de Defender para punto de conexión en Windows es habilitar el examen en tiempo real, con la protección contra alteraciones habilitada, la supervisión del comportamiento habilitada y la supervisión en tiempo real habilitada, a menos que se identifique un problema específico.

   Para obtener más información, consulte Protección integrada ayuda a protegerse contra ransomware.

7. Tenga en cuenta cómo funcionan los exámenes con recursos compartidos de red. De forma predeterminada, el componente antivirus de Microsoft Defender en Windows examina los sistemas de archivos de red compartidos SMB (por ejemplo, un recurso compartido \\server\smb-share de servidor windows o un recurso compartido de NetApp) cuando los procesos acceden a estos archivos.

   EDR en Defender para punto de conexión en Windows podría examinar sistemas de archivos de red compartidos SMB. El sensor EDR examina determinados archivos que se identifican como interesantes para el análisis de EDR durante las operaciones de modificación, eliminación y movimiento de archivos.

   Defender para punto de conexión en Linux no examina los sistemas de archivos NFS durante los exámenes programados.

8. Solución de problemas de mantenimiento o confiabilidad de los sentidos. Para solucionar estos problemas, use la herramienta analizador de cliente de Defender para punto de conexión. El analizador de cliente de Defender para punto de conexión puede ser útil al diagnosticar problemas de estado o confiabilidad del sensor en dispositivos Windows, Linux o Mac incorporados. Obtenga la versión más reciente del analizador de cliente de Defender para punto de conexión aquí: https://aka.ms/MDEClientAnalyzer.

9. Abra un caso de soporte técnico si necesita ayuda. Consulte Póngase en contacto con el soporte técnico de Microsoft Defender para punto de conexión.

10. Si usa máquinas virtuales sap de producción con Microsoft Defender for Cloud, tenga en cuenta que Defender for Cloud implementa la extensión de Defender para punto de conexión en todas las máquinas virtuales. Si una máquina virtual no está incorporada a Defender para punto de conexión, se podría usar como vector de ataque. Si necesita más tiempo para probar Defender para punto de conexión antes de implementarlo en el entorno de producción, póngase en contacto con el soporte técnico.

Comandos útiles: Microsoft Defender para punto de conexión con SAP en Windows Server

En esta sección se incluyen comandos para confirmar o configurar la configuración de Defender para punto de conexión mediante PowerShell y el símbolo del sistema:

Actualización manual de definiciones de antivirus de Microsoft Defender

Use Windows Update o ejecute el siguiente comando:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Debería ver una salida similar al siguiente fragmento de código:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Otra opción es usar este comando:

PS C:\Program Files\Windows Defender> Update-MpSignature

Para obtener más información sobre estos comandos, vea los siguientes recursos:

• MpCmdRun.exe
• Update-MpSignature

Determinar si EDR en modo de bloque está activado

EDR en modo de bloque proporciona protección adicional contra artefactos malintencionados cuando Microsoft Defender Antivirus no es el producto antivirus principal y se ejecuta en modo pasivo. Puede determinar si EDR en modo de bloque está habilitado ejecutando el siguiente comando:

Get-MPComputerStatus|select AMRunningMode

Hay dos modos: Modo normal y pasivo. Usamos AMRunningMode = Normal al probar sistemas SAP.

Para obtener más información sobre este comando, vea Get-MpComputerStatus.

Configuración de exclusiones de antivirus

Antes de configurar las exclusiones, asegúrese de que el equipo de SAP Basis se coordina con el equipo de seguridad. Las exclusiones deben configurarse de forma centralizada y no en el nivel de máquina virtual. Algunas exclusiones, como la exclusión del sistema de archivos SAPMNT compartido, deben configurarse con una directiva en el portal de administración de Microsoft Intune.

Para ver las exclusiones, use el siguiente comando:

Get-MpPreference | Select-Object -Property ExclusionPath

Para obtener más información sobre este comando, vea Get-MpComputerStatus.

Para obtener más información sobre las exclusiones, consulte los siguientes recursos:

• Información general sobre exclusiones
• Configuración de exclusiones personalizadas para Microsoft Defender Antivirus
• Exclusiones contextuales de archivos y carpetas

Configuración de exclusiones de EDR

No se recomienda excluir archivos, rutas de acceso o procesos de EDR, ya que estas exclusiones ponen en peligro la protección frente a amenazas modernas no basadas en archivos. Si es necesario, abra un caso de soporte técnico en el portal de Microsoft Defender y especifique los ejecutables o las rutas de acceso que se van a excluir. Para obtener más información, consulte Póngase en contacto con el soporte técnico de Microsoft Defender para punto de conexión.

Deshabilitación de Defender para punto de conexión en Windows con fines de prueba

Precaución

No se recomienda deshabilitar el software de seguridad a menos que no haya ninguna otra alternativa para resolver o aislar un problema.

Defender para punto de conexión debe configurarse con la protección contra alteraciones activada. Para deshabilitar temporalmente Defender para punto de conexión para aislar problemas, use el modo de solución de problemas.

Para apagar varios subcomponentes de la solución antivirus de Microsoft Defender, ejecute los siguientes comandos:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Para obtener más información sobre estos comandos, vea Set-MpPreference.

Importante

No se pueden desactivar los subcomponentes de EDR en un dispositivo. La única manera de desactivar EDR es desconectar el dispositivo.

Para desactivar la protección entregada en la nube (también conocida como Microsoft Advanced Protection Service o MAPS), ejecute los siguientes comandos:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Para obtener más información sobre la protección entregada en la nube, consulte los siguientes recursos:

• Antivirus de Microsoft Defender y protección en la nube
• Protección en la nube y envío de ejemplo en Microsoft Defender Antivirus (si está pensando en usar el envío automático de muestras con las directivas de seguridad)

Artículos relacionados

• Guía de implementación para Microsoft Defender para punto de conexión en Linux para SAP
• Antivirus de Microsoft Defender en Windows Server
• Incorporación de servidores a Microsoft Defender para punto de conexión
• Introducción a la EDR