Partager via

Configurer l’intégration d’AMSI à SharePoint Server

  • Article

S’APPLIQUE À :no-img-132013 oui-img-162016 oui-img-192019 oui-img-seÉdition d’abonnement no-img-sopSharePoint dans Microsoft 365

Introduction

Le paysage de la cybersécurité a fondamentalement changé, comme en témoignent les attaques complexes à grande échelle et les signaux indiquant que les rançongiciels gérés par l’homme sont en hausse. Plus que jamais, il est essentiel de maintenir votre infrastructure locale sécurisée et à jour, y compris les serveurs SharePoint.

Pour aider les clients à sécuriser leurs environnements et à répondre aux menaces associées des attaques, nous introduisons l’intégration entre SharePoint Server et l’interface d’analyse anti-programme malveillant Windows (AMSI). AMSI est une norme polyvalente qui permet aux applications et services de s’intégrer à n’importe quel produit anti-programme malveillant compatible AMSI présent sur un ordinateur.

La fonctionnalité d’intégration AMSI est conçue pour empêcher les requêtes web malveillantes d’atteindre des points de terminaison SharePoint. Par exemple, pour exploiter une vulnérabilité de sécurité dans un point de terminaison SharePoint avant l’installation du correctif officiel pour la vulnérabilité de sécurité.

Intégration d’AMSI à SharePoint Server

Lorsqu’une solution antivirus ou anti-programme malveillant compatible AMSI est intégrée à SharePoint Server, elle peut examiner et HTTPS les HTTP demandes adressées au serveur et empêcher SharePoint Server de traiter les requêtes dangereuses. Tout programme antivirus ou anti-programme malveillant compatible AMSI installé sur le serveur effectue l’analyse dès que le serveur commence à traiter la demande.

L’objectif de l’intégration d’AMSI n’est pas de remplacer les défenses antivirus/anti-programme malveillant existantes déjà installées sur le serveur ; il s’agit de fournir une couche supplémentaire de protection contre les requêtes web malveillantes adressées aux points de terminaison SharePoint. Les clients doivent toujours déployer des solutions antivirus compatibles avec SharePoint sur leurs serveurs pour empêcher leurs utilisateurs de charger ou de télécharger des fichiers contenant des virus.

Configuration requise

Avant d’activer l’intégration d’AMSI, vérifiez les prérequis suivants sur chaque serveur SharePoint Server :

  • Windows Server 2016 ou version ultérieure
  • SharePoint Server Édition d’abonnement version 22H2 ou ultérieure
  • SharePoint Server 2019 build 16.0.10396.20000 ou ultérieure (Kb 5002358 : Mise à jour de sécurité du 14 mars 2023 pour SharePoint Server 2019)
  • SharePoint Server 2016 build 16.0.5391.1000 ou version ultérieure (Kb 5002385 : Mise à jour de sécurité du 11 avril 2023 pour SharePoint Server 2016)
  • Microsoft Defender avec moteur AV version 1.1.18300.4 ou ultérieure (également, un fournisseur antivirus/anti-programme malveillant tiers compatible compatible avec AMSI)

Activer/désactiver AMSI pour SharePoint Server

À compter des mises à jour de sécurité de septembre 2023 pour SharePoint Server 2016/2019 et de la mise à jour des fonctionnalités version 23H2 pour SharePoint Server Édition d’abonnement, l’intégration d’AMSI à SharePoint Server devient activée par défaut pour toutes les applications web au sein de SharePoint Server. Cette modification vise à améliorer la sécurité générale des environnements clients et à atténuer les violations de sécurité potentielles. Toutefois, en fonction de leurs besoins, les clients conservent la possibilité de désactiver la fonctionnalité d’intégration AMSI.

Pour lancer les mises à jour de sécurité de septembre 2023, les clients doivent uniquement installer la mise à jour et exécuter l’Assistant Configuration des produits SharePoint.

Notes

Si les clients ignorent l’installation de la mise à jour publique de septembre 2023, cette modification sera activée lors de l’installation de la mise à jour publique suivante qui inclut les mises à jour de sécurité de septembre 2023 pour SharePoint Server 2016/2019 ou la mise à jour des fonctionnalités version 23H2 pour SharePoint Server Édition d’abonnement.

Si les clients préfèrent ne pas activer automatiquement l’intégration AMSI dans leurs batteries de serveurs SharePoint Server, ils peuvent suivre les étapes suivantes :

  1. Installez les mises à jour de sécurité de septembre 2023 pour SharePoint Server 2016/2019 ou la mise à jour des fonctionnalités version 23H2 pour SharePoint Server Édition d’abonnement.
  2. Exécutez l’Assistant Configuration des produits SharePoint.
  3. Suivez les étapes standard pour désactiver la fonctionnalité d’intégration AMSI dans vos applications web.

Si vous suivez ces étapes, SharePoint ne tentera pas de réactiver la fonctionnalité lors de l’installation des futures mises à jour publiques.

Pour désactiver/activer manuellement l’intégration AMSI par application web, procédez comme suit :

  1. Ouvrez l’Administration centrale de SharePoint, puis sélectionnez Gestion des applications.
  2. Sous Applications web, sélectionnez Gérer les applications web.
  3. Sélectionnez l’application web pour laquelle vous souhaitez activer l’intégration AMSI, puis sélectionnez Gérer les fonctionnalités dans la barre d’outils.
  4. Dans l’écran Analyse anti-programme malveillant SharePoint Server , sélectionnez Désactiver pour désactiver l’intégration d’AMSI, ou sélectionnez Activer pour activer l’intégration d’AMSI.

Vous pouvez également désactiver l’intégration AMSI pour une application web en exécutant la commande PowerShell suivante :

Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

Ou activez l’intégration AMSI pour une application web en exécutant la commande PowerShell suivante :

Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

Tester et vérifier l’intégration d’AMSI à SharePoint Server

Vous pouvez tester la fonctionnalité AMSI (Antimalware Scan Interface) pour vérifier qu’elle fonctionne correctement. Cela implique l’envoi d’une requête à SharePoint Server avec une chaîne de test spéciale que Microsoft Defender reconnaît à des fins de test. Cette chaîne de test n’est pas dangereuse, mais Microsoft Defender la traite comme si elle était malveillante afin que vous puissiez confirmer son comportement lorsqu’il rencontre des requêtes malveillantes.

Si l’intégration d’AMSI est activée dans SharePoint Server et utilise Microsoft Defender comme moteur de détection des programmes malveillants, la présence de cette chaîne de test entraîne le blocage de la requête par AMSI au lieu d’être traitée par SharePoint.

La chaîne de test est similaire au fichier de test EICAR , mais elle diffère légèrement pour éviter toute confusion d’encodage d’URL.

Vous pouvez tester l’intégration d’AMSI en ajoutant la chaîne de test en tant que chaîne de requête ou en-tête HTTP dans votre demande à SharePoint Server.

Utiliser une chaîne de requête pour tester l’intégration d’AMSI

amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Par exemple : envoyer une requête à https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET

Utiliser un en-tête HTTP pour tester l’intégration d’AMSI

amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Par exemple : envoyez une requête qui ressemble à ce qui suit.

GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Microsoft Defender détecte cela comme l’exploit suivant :

Exploit:Script/SharePointEicar.A

Notes

Si vous utilisez un moteur de détection de programmes malveillants autre que Microsoft Defender, vous devez vérifier auprès de votre fournisseur de moteur de détection de programmes malveillants pour déterminer la meilleure façon de tester son intégration à la fonctionnalité AMSI dans SharePoint Server.

Autres références

Effets sur les performances de l’utilisation de Microsoft Defender comme solution AMSI principale

Par défaut, Antivirus Microsoft Defender (MDAV), une solution compatible AMSI, est automatiquement activé et installé sur les points de terminaison et les appareils qui exécutent Windows 10, Windows Server 2016 et versions ultérieures. Si vous n’avez pas installé d’application antivirus/anti-programme malveillant, l’intégration d’AMSI SharePoint Server fonctionne avec MDAV. Si vous installez et activez une autre application antivirus/anti-programme malveillant, MDAV se désactive automatiquement. Si vous désinstallez l’autre application, MDAV se réactive automatiquement et l’intégration de SharePoint Server fonctionne avec MDAV.

Les avantages de l’utilisation de MDAV sur SharePoint Server sont les suivants :

  • MDAV récupère les signatures qui correspondent au contenu malveillant. Si Microsoft découvre une attaque qui peut être bloquée, une nouvelle signature MDAV peut être déployée pour empêcher l’exploit d’affecter SharePoint.
  • Utilisation de la technologie existante pour ajouter des signatures pour le contenu malveillant.
  • En utilisant l’expertise de l’équipe de recherche sur les logiciels malveillants de Microsoft pour ajouter des signatures.
  • Utilisation des meilleures pratiques que MDAV applique déjà pour l’ajout d’autres signatures.

Il peut y avoir un impact sur les performances de l’application web, car l’analyse AMSI utilise des ressources processeur. Il n’y a pas d’impact distinct sur les performances observé à partir de l’analyse AMSI lors du test avec MDAV et aucune modification à apporter aux exclusions d’antivirus SharePoint Server documentées existantes. Chaque fournisseur d’antivirus développe ses propres définitions qui utilisent la technologie AMSI. Par conséquent, votre niveau de protection dépend de la vitesse à laquelle votre solution spécifique peut être mise à jour pour détecter les dernières menaces.

Version de Microsoft Defender via la ligne de commande

Notes

Si vous utilisez Microsoft Defender, vous pouvez utiliser la ligne de commande et vous assurer de mettre à jour les signatures avec la dernière version.

  1. Lancez Command Prompt en tant qu’administrateur.
  2. Accédez à la page %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>.
  3. Exécutez mpcmdrun.exe -SignatureUpdate.

Ces étapes déterminent la version actuelle de votre moteur, recherchent les définitions mises à jour et rapportent.

Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4 
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>