Condividi tramite

Microsoft Defender per endpoint in Windows Server con SAP

  • Articolo

Si applica a:

Se l'organizzazione usa SAP, è essenziale comprendere la compatibilità e il supporto tra le funzionalità di rilevamento e risposta degli endpoint e antivirus nelle Microsoft Defender per endpoint e nelle applicazioni SAP. Questo articolo illustra il supporto fornito da SAP per le soluzioni di sicurezza di Endpoint Protection, ad esempio Defender per endpoint, e il modo in cui interagiscono con le applicazioni SAP.

Questo articolo descrive come usare Defender per endpoint in Windows Server insieme ad applicazioni SAP, ad esempio NetWeaver e S4 Hana, e motori autonomi SAP, ad esempio LiveCache. In questo articolo ci concentriamo sulle funzionalità antivirus ed EDR in Defender per endpoint; Defender per endpoint include tuttavia funzionalità aggiuntive. Per una panoramica di tutte le funzionalità di Defender per endpoint, vedere Microsoft Defender per endpoint.

Questo articolo non illustra il software client SAP, ad esempio SAPGUI, o Microsoft Defender Antivirus nei dispositivi client Windows.

Sicurezza aziendale e team di SAP Basis

La sicurezza aziendale è un ruolo specializzato e le attività descritte in questo articolo devono essere pianificate come un'attività congiunta tra il team di sicurezza aziendale e il team di SAP Basis. Il team di sicurezza aziendale deve coordinarsi con il team di SAP Basis e progettare congiuntamente la configurazione di Defender per endpoint e analizzare eventuali esclusioni.

Panoramica di Defender per endpoint

Defender per endpoint è un componente di Microsoft Defender XDR e può essere integrato con la soluzione SIEM/SOAR.

Prima di iniziare a pianificare o distribuire Defender per endpoint in Windows Server con SAP, è possibile ottenere una panoramica di Defender per endpoint. Il video seguente offre una panoramica:

Per informazioni più dettagliate sulle offerte di sicurezza di Defender per endpoint e Microsoft, vedere le risorse seguenti:

Defender per endpoint include funzionalità che esulano dall'ambito di questo articolo. In questo articolo ci concentriamo su due aree principali:

  • Protezione di nuova generazione (che include la protezione antivirus). La protezione di nuova generazione è un prodotto antivirus come altre soluzioni antivirus per ambienti Windows.
  • EDR. Le funzionalità EDR rilevano le attività sospette e le chiamate di sistema e offrono un ulteriore livello di protezione dalle minacce che ignorano la protezione antivirus.

Microsoft e altri fornitori di software di sicurezza tengono traccia delle minacce e forniscono informazioni sulle tendenze. Per altre informazioni, vedere Cyberthreats, virus e malware - Intelligence di sicurezza Microsoft.

Nota

Per informazioni su Microsoft Defender per SAP in Linux, vedere Linee guida alla distribuzione per Microsoft Defender per endpoint in Linux per SAP. Defender per endpoint in Linux è significativamente diverso dalla versione di Windows.

Istruzione di supporto SAP su Defender per endpoint e altre soluzioni di sicurezza

SAP fornisce la documentazione di base per le soluzioni antivirus convenzionali per l'analisi dei file. Le soluzioni antivirus di analisi dei file convenzionali confrontano le firme di file con un database di minacce note. Quando viene identificato un file infetto, il software antivirus in genere avvisa e mette in quarantena il file. I meccanismi e il comportamento delle soluzioni antivirus di analisi dei file sono ragionevolmente noti e prevedibili; Pertanto, il supporto SAP può fornire un livello di base di supporto per le applicazioni SAP che interagiscono con il software antivirus di analisi dei file.

Le minacce basate su file sono solo un vettore possibile per il software dannoso. Malware e malware senza file che vive fuori dalla terra, minacce altamente polimorfiche che mutano più velocemente rispetto alle soluzioni tradizionali possono tenere il passo con, e attacchi gestiti dall'uomo che si adattano a ciò che gli avversari trovano su dispositivi compromessi. Le soluzioni di sicurezza antivirus tradizionali non sono sufficienti per arrestare tali attacchi. Sono necessarie funzionalità supportate dall'intelligenza artificiale (IA) e dall'apprendimento dei dispositivi (ML), ad esempio il blocco comportamentale e il contenimento. Il software di sicurezza, ad esempio Defender per endpoint, offre funzionalità avanzate di protezione dalle minacce per attenuare le minacce moderne.

Defender per endpoint monitora continuamente le chiamate del sistema operativo, ad esempio lettura file, scrittura di file, creazione di socket e altre operazioni a livello di processo. Il sensore EDR defender per endpoint acquisisce blocchi opportunistici nei sistemi di file NTFS locali ed è quindi improbabile che influiscano sulle applicazioni. I blocchi opportunistici non sono possibili nei file system di rete remoti. In rari casi, un blocco potrebbe causare errori generali non specifici, ad esempio accesso negato nelle applicazioni SAP.

SAP non è in grado di fornire alcun livello di supporto per il software EDR/XDR, ad esempio Microsoft Defender XDR o Defender per endpoint. I meccanismi in tali soluzioni sono adattivi; pertanto, non sono prevedibili. Inoltre, i problemi non sono potenzialmente riproducibili. Quando vengono identificati problemi nei sistemi che eseguono soluzioni di sicurezza avanzate, SAP consiglia di disabilitare il software di sicurezza e quindi tentare di riprodurre il problema. Un caso di supporto può quindi essere generato con il fornitore del software di sicurezza.

Per altre informazioni sui criteri di supporto SAP, vedere 3356389 - Antivirus o altro software di sicurezza che influisce sulle operazioni SAP.

Ecco un elenco di articoli SAP che è possibile usare in base alle esigenze:

Attenzione

Microsoft Defender per endpoint in include una funzionalità denominata Endpoint Data Loss Prevention (Endpoint DLP). La prevenzione della perdita dei dati degli endpoint non deve essere attivata in qualsiasi Windows Server che esegue NetWeaver, S4, Adobe Document Server, Server di archiviazione, TREX, LiveCache o Content Server. Inoltre, è fondamentale che i client Windows, ad esempio un portatile Windows che esegue Windows 11 con Endpoint DLP abilitato, non accedano mai a una condivisione di rete usata da qualsiasi applicazione SAP. A seconda della configurazione e dei criteri, è possibile che un PC client Windows scriva attributi DLP in una condivisione di rete.

Adobe Document Server o sistemi di archiviazione che scrivono rapidamente molti file in condivisioni SMB e/o in condivisioni di trasferimento file di interfaccia con DLP abilitato possono causare il danneggiamento dei file o i messaggi di accesso negato.

Non esporre i file system SAP a PC client Windows esterni e non attivare Endpoint DLP nei server Windows che eseguono software SAP. Non consentire ai client Windows di accedere alle condivisioni server SAP. Usare Robocopy o uno strumento simile per copiare Adobe Document o altri file di interfaccia in una soluzione NAS aziendale.

Applicazioni SAP in Windows Server: 10 raccomandazioni principali

  1. Limitare l'accesso ai server SAP, bloccare le porte di rete e adottare tutte le altre misure comuni di protezione della sicurezza. Questo primo passo è essenziale. Il panorama delle minacce si è evoluto da virus basati su file a minacce complesse e sofisticate senza file. Le azioni, ad esempio il blocco delle porte e la limitazione dell'accesso/accesso alle macchine virtuali , non sono più considerate sufficienti per mitigare completamente le minacce moderne.

  2. Distribuire Defender per endpoint in sistemi non di produzione prima di distribuirlo nei sistemi di produzione. La distribuzione di Defender per endpoint direttamente nei sistemi di produzione senza test è altamente rischiosa e può causare tempi di inattività. Se non è possibile ritardare la distribuzione di Defender for Endpoint nei sistemi di produzione, è consigliabile disabilitare temporaneamente la protezione da manomissioni e la protezione in tempo reale.

  3. Tenere presente che la protezione in tempo reale è abilitata per impostazione predefinita in Windows Server. Se vengono identificati problemi che potrebbero essere correlati a Defender per endpoint, è consigliabile configurare le esclusioni e/o aprire un caso di supporto tramite il portale di Microsoft Defender.

  4. Chiedere al team di SAP Basis e al team di sicurezza di collaborare alla distribuzione di Defender per endpoint. I due team devono creare congiuntamente un piano di distribuzione, test e monitoraggio in più fasi.

  5. Usare strumenti come PerfMon (Windows) per creare una baseline delle prestazioni prima di distribuire e attivare Defender per endpoint. Confrontare l'utilizzo delle prestazioni prima e dopo l'attivazione di Defender per endpoint. Per altre informazioni, vedere perfmon.

  6. Distribuire la versione più recente di Defender per endpoint e usare le versioni più recenti di Windows, idealmente Windows Server 2019 o versioni successive. Vedere Requisiti minimi per Microsoft Defender per endpoint.

  7. Configurare alcune esclusioni per Microsoft Defender Antivirus. tra cui:

    • File di dati DBMS, file di log e file temporanei, inclusi i dischi contenenti file di backup
    • Intero contenuto della directory SAPMNT
    • Intero contenuto della directory SAPLOC
    • Intero contenuto della directory TRANS
    • L'intero contenuto delle directory per i motori autonomi, ad esempio TREX

    Gli utenti esperti possono prendere in considerazione l'uso di esclusioni di file e cartelle contestuali.

    Per altre informazioni sulle esclusioni di DBMS, usare le risorse seguenti:

  8. Verificare le impostazioni di Defender per endpoint. Microsoft Defender Antivirus con applicazioni SAP deve avere le impostazioni seguenti nella maggior parte dei casi:

    
AntivirusEnabled                   : True
AntivirusSignatureAge              : 0
BehaviorMonitorEnabled             : True
DefenderSignaturesOutOfDate        : False
IsTamperProtected                  : True
RealTimeProtectionEnabled          : True

  9. Usare strumenti, ad esempio Intune o la gestione delle impostazioni di sicurezza di Defender per endpoint per configurare Defender per endpoint. Tali strumenti consentono di garantire che Defender per endpoint sia configurato correttamente e distribuito in modo uniforme. Per usare la gestione delle impostazioni di sicurezza di Defender per endpoint, seguire questa procedura:

    1. Nel portale di Microsoft Defender passare a Criteri disicurezza degli endpointdi gestione degliendpoint di gestione > degli endpoint>.

    2. Selezionare Crea nuovo criterio e seguire le indicazioni. Per altre informazioni, vedere Gestire i criteri di sicurezza degli endpoint in Microsoft Defender per endpoint.

  10. Usare la versione più recente di Defender per endpoint. In Defender per endpoint in Windows sono state implementate diverse nuove funzionalità e queste funzionalità sono state testate con sistemi SAP. Queste nuove funzionalità riducono il blocco e riducono il consumo di CPU. Per altre informazioni sulle nuove funzionalità, vedere Novità di Microsoft Defender per endpoint.

Metodologia di distribuzione

SAP e Microsoft non consigliano entrambi di distribuire Defender per endpoint in Windows direttamente in tutti i sistemi di sviluppo, qas e produzione contemporaneamente e/o senza un attento test e monitoraggio. Di conseguenza, i clienti che hanno distribuito Defender per endpoint e altri software simili in modo incontrollato senza tempi di inattività del sistema con esperienza di test adeguati.

Defender per endpoint in Windows e qualsiasi altra modifica di software o configurazione deve essere prima distribuita nei sistemi di sviluppo, convalidata in QAS e distribuita solo in ambienti di produzione.

L'uso di strumenti, ad esempio la gestione delle impostazioni di sicurezza di Defender per endpoint per distribuire Defender per endpoint in un intero panorama SAP senza test, potrebbe causare tempi di inattività.

Ecco un elenco degli elementi da controllare:

  1. Distribuire Defender per endpoint con protezione da manomissione abilitata. Se si verificano problemi, abilitare la modalità di risoluzione dei problemi, disabilitare la protezione dalle manomissioni, disabilitare la protezione in tempo reale e configurare le analisi pianificate.

  2. Escludere file DBMS ed eseguibili in base alle raccomandazioni del fornitore di DBMS.

  3. Analizzare le directory SAPMNT, SAP TRANS_DIR, Spool e Log processi. Se sono presenti più di 100.000 file, valutare l'archiviazione per ridurre il numero di file.

  4. Verificare i limiti di prestazioni e le quote del file system condiviso usato per SAPMNT. L'origine della condivisione SMB può essere un'appliance NetApp, un disco condiviso Windows Server o File di Azure SMB.

  5. Configurare le esclusioni in modo che tutti i server applicazioni SAP non eseguano l'analisi simultanea della condivisione SAPMNT, perché potrebbe sovraccaricare il server di archiviazione condiviso.

  6. In generale, i file di interfaccia host in un file server non SAP dedicato. I file di interfaccia vengono riconosciuti come vettore di attacco. La protezione in tempo reale deve essere attivata in questo file server dedicato. I server SAP non devono mai essere usati come file server per i file di interfaccia.

    Nota

    Alcuni sistemi SAP di grandi dimensioni hanno più di 20 server applicazioni SAP ognuno con una connessione alla stessa condivisione SMB SAPMNT. 20 server applicazioni che eseguano contemporaneamente l'analisi dello stesso server SMB potrebbero sovraccaricare il server SMB. È consigliabile escludere SAPMNT dalle analisi regolari.

Impostazioni di configurazione importanti per Defender per endpoint in Windows Server con SAP

  1. Panoramica di Microsoft Defender per endpoint. In particolare, esaminare le informazioni sulla protezione di nuova generazione ed EDR.

    Nota

    Il termine Defender viene talvolta usato per fare riferimento a un'intera suite di prodotti e soluzioni. Vedere Che cos'è Microsoft Defender XDR?. In questo articolo ci concentriamo sulle funzionalità antivirus ed EDR in Defender per endpoint.

  2. Controllare lo stato di Microsoft Defender Antivirus. Aprire il prompt dei comandi ed eseguire i comandi di PowerShell seguenti:

    Get-MpComputerStatus, come indicato di seguito:

    
Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Output previsto per Get-MpComputerStatus:

    
DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference, come indicato di seguito:

    
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Output previsto per Get-MpPreference:

    
AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Controllare lo stato di EDR. Aprire il prompt dei comandi e quindi eseguire il comando seguente:

    
PS C:\Windows\System32> Get-Service -Name sense | FL *

    Verrà visualizzato un output simile al frammento di codice seguente:

    
Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    I valori che si desidera visualizzare sono Status: Running e StartType: Automatic. Per altre informazioni, vedere Esaminare eventi ed errori usando Visualizzatore eventi.

  4. Assicurarsi che Microsoft Defender Antivirus sia aggiornato. Il modo migliore per assicurarsi che la protezione antivirus sia aggiornata consiste nell'usare Windows Update. Se si verificano problemi o si verifica un errore, contattare il team di sicurezza.

    Per altre informazioni sugli aggiornamenti, vedere Microsoft Defender Informazioni di sicurezza antivirus e aggiornamenti del prodotto.

  5. Assicurarsi che il monitoraggio del comportamento sia attivato. Quando la protezione dalle manomissioni è abilitata, il monitoraggio del comportamento è attivato per impostazione predefinita. Usare la configurazione predefinita della protezione dalle manomissioni abilitata, il monitoraggio del comportamento abilitato e il monitoraggio in tempo reale abilitato a meno che non venga identificato un problema specifico.

    Per altre informazioni, vedere Protezione predefinita che consente di proteggersi dal ransomware.

  6. Assicurarsi che la protezione in tempo reale sia abilitata. L'attuale raccomandazione per Defender per endpoint in Windows consiste nell'abilitare l'analisi in tempo reale, con la protezione dalle manomissioni abilitata, il monitoraggio del comportamento abilitato e il monitoraggio in tempo reale abilitato, a meno che non venga identificato un problema specifico.

    Per altre informazioni, vedere Protezione predefinita che consente di proteggersi dal ransomware.

  7. Tenere presente il funzionamento delle analisi con le condivisioni di rete. Per impostazione predefinita, il componente antivirus Microsoft Defender in Windows analizza i file system di rete condivisi SMB (ad esempio, una condivisione \\server\smb-share server Windows o una condivisione NetApp) quando questi file sono accessibili dai processi.

    EDR in Defender per endpoint in Windows potrebbe analizzare i file system di rete condivisi SMB. Il sensore EDR analizza alcuni file identificati come interessanti per l'analisi EDR durante le operazioni di modifica, eliminazione e spostamento dei file.

    Defender per endpoint in Linux non analizza i file system NFS durante le analisi pianificate.

  8. Risolvere i problemi di integrità o affidabilità del senso. Per risolvere questi problemi, usare lo strumento analizzatore client defender per endpoint. L'analizzatore client defender per endpoint può essere utile per diagnosticare problemi di integrità o affidabilità del sensore nei dispositivi Windows, Linux o Mac di cui è stato eseguito l'onboarding. Ottenere la versione più recente dell'analizzatore client defender per endpoint qui: https://aka.ms/MDEClientAnalyzer.

  9. Aprire un caso di supporto se è necessaria assistenza. Vedere Contattare il supporto Microsoft Defender per endpoint.

  10. Se si usano macchine virtuali SAP di produzione con Microsoft Defender per il cloud, tenere presente che Defender per cloud distribuisce l'estensione Defender per endpoint in tutte le macchine virtuali. Se non viene caricato in Defender per endpoint, una macchina virtuale potrebbe essere usata come vettore di attacco. Se è necessario più tempo per testare Defender per endpoint prima della distribuzione nell'ambiente di produzione, contattare il supporto tecnico.

Comandi utili: Microsoft Defender per endpoint con SAP in Windows Server

Questa sezione include i comandi per confermare o configurare le impostazioni di Defender per endpoint tramite PowerShell e il prompt dei comandi:

Aggiornare manualmente le definizioni di antivirus Microsoft Defender

Usare Windows Update o eseguire il comando seguente:


PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Verrà visualizzato un output simile al frammento di codice seguente:


Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Un'altra opzione consiste nell'usare questo comando:


PS C:\Program Files\Windows Defender> Update-MpSignature

Per altre informazioni su questi comandi, vedere le risorse seguenti:

Determinare se EDR in modalità blocco è attivato

EDR in modalità blocco offre una protezione aggiuntiva da artefatti dannosi quando Microsoft Defender Antivirus non è il prodotto antivirus primario ed è in esecuzione in modalità passiva. È possibile determinare se EDR in modalità blocco è abilitato eseguendo il comando seguente:


Get-MPComputerStatus|select AMRunningMode

Sono disponibili due modalità: normale e passiva. È stato usato AMRunningMode = Normal durante il test dei sistemi SAP.

Per altre informazioni su questo comando, vedere Get-MpComputerStatus.

Configurare le esclusioni antivirus

Prima di configurare le esclusioni, assicurarsi che il team di SAP Basis si coordina con il team di sicurezza. Le esclusioni devono essere configurate centralmente e non a livello di macchina virtuale. Alcune esclusioni, ad esempio l'esclusione condivisa del file system SAPMNT, devono essere configurate con un criterio nel portale di amministrazione Microsoft Intune.

Per visualizzare le esclusioni, usare il comando seguente:


Get-MpPreference | Select-Object -Property ExclusionPath

Per altre informazioni su questo comando, vedere Get-MpComputerStatus.

Per altre informazioni sulle esclusioni, vedere le risorse seguenti:

Configurare le esclusioni EDR

Non è consigliabile escludere file, percorsi o processi da EDR, perché tali esclusioni compromettono la protezione dalle minacce moderne non basate su file. Se necessario, aprire un caso di supporto nel portale di Microsoft Defender e specificare i file eseguibili e/o i percorsi da escludere. Per altre informazioni, vedere Contattare il supporto Microsoft Defender per endpoint.

Disabilitare Defender per endpoint in Windows a scopo di test

Attenzione

Non è consigliabile disabilitare il software di sicurezza a meno che non vi siano altre alternative per risolvere o isolare un problema.

Defender per endpoint deve essere configurato con la protezione da manomissione attivata. Per disabilitare temporaneamente Defender per endpoint per isolare i problemi, usare la modalità di risoluzione dei problemi.

Per arrestare vari sottocomponenti della soluzione antivirus Microsoft Defender, eseguire i comandi seguenti:


Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Per altre informazioni su questi comandi, vedere Set-MpPreference.

Importante

Non è possibile disattivare i sottocomponenti EDR in un dispositivo. L'unico modo per disattivare EDR consiste nell'offboarding del dispositivo.

Per disattivare la protezione fornita dal cloud (nota anche come Microsoft Advanced Protection Service o MAPS), eseguire i comandi seguenti:


PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Per altre informazioni sulla protezione fornita dal cloud, vedere le risorse seguenti: