Microsoft Defender для конечной точки на Windows Server с SAP

Применимо к:

• Сервер Microsoft Defender для конечной точки
• Microsoft Defender для серверов

Если ваша организация использует SAP, важно понимать совместимость и поддержку возможностей антивирусной программы и обнаружения конечных точек и реагирования (EDR) в Microsoft Defender для конечной точки и приложениях SAP. Из этой статьи вы узнаете о поддержке решений для защиты конечных точек, таких как Defender для конечной точки, и о том, как они взаимодействуют с приложениями SAP.

В этой статье описывается, как использовать Defender для конечной точки на Windows Server вместе с приложениями SAP, такими как NetWeaver и S4 Hana, а также автономными подсистемами SAP, такими как LiveCache. В этой статье мы рассмотрим возможности антивирусной программы и EDR в Defender для конечной точки. Однако Defender для конечной точки включает дополнительные возможности. Общие сведения обо всех возможностях Defender для конечной точки см. в разделе Microsoft Defender для конечной точки.

В этой статье не рассматривается клиентское программное обеспечение SAP, например SAPGUI, или антивирусная программа Microsoft Defender на клиентских устройствах Windows.

Корпоративная безопасность и команда SAP Basis

Безопасность предприятия — это роль специалиста, и действия, описанные в этой статье, должны быть запланированы как совместное действие вашей корпоративной команды безопасности и команды SAP Basis. Команда корпоративной безопасности должна координировать работу с командой SAP Basis и совместно разрабатывать конфигурацию Defender для конечной точки и анализировать все исключения.

Обзор Defender для конечной точки

Defender для конечной точки — это компонент Microsoft Defender XDR, который можно интегрировать с решением SIEM/SOAR.

Прежде чем приступить к планированию или развертыванию Defender для конечной точки на Windows Server с SAP, ознакомьтесь с обзором Defender для конечной точки. В следующем видео представлен обзор:

Дополнительные сведения о предложениях безопасности Defender для конечной точки и Майкрософт см. в следующих ресурсах:

• Microsoft Defender для конечной точки
• Документация и учебные курсы по безопасности (Майкрософт)

Defender для конечной точки включает возможности, которые выходят за рамки область этой статьи. В этой статье мы сосредоточимся на двух main областях:

• Защита следующего поколения (которая включает антивирусную защиту). Защита следующего поколения — это антивирусный продукт, как и другие антивирусные решения для сред Windows.
• EDR. Возможности EDR обнаруживают подозрительные действия и системные вызовы и обеспечивают дополнительный уровень защиты от угроз, минующих антивирусную защиту.

Корпорация Майкрософт и другие поставщики программного обеспечения для обеспечения безопасности отслеживают угрозы и предоставляют сведения о тенденциях. Дополнительные сведения см. в статье Киберугрозы, вирусы и вредоносные программы — портал для обнаружения угроз (Microsoft).

Примечание.

Сведения о Microsoft Defender для SAP в Linux см. в статье Руководство по развертыванию для Microsoft Defender для конечной точки в Linux для SAP. Defender для конечной точки в Linux значительно отличается от версии Windows.

Заявление о поддержке SAP в Defender для конечной точки и других решениях безопасности

SAP предоставляет базовую документацию по обычным антивирусным решениям для сканирования файлов. Обычные антивирусные решения для сканирования файлов сравнивают сигнатуры файлов с базой известных угроз. При обнаружении зараженного файла антивирусная программа обычно оповещает и помещает файл в карантин. Механизмы и поведение антивирусных решений для сканирования файлов достаточно хорошо известны и предсказуемы; Таким образом, поддержка SAP может обеспечить базовый уровень поддержки приложений SAP, взаимодействующих с антивирусной программой для сканирования файлов.

Угрозы на основе файлов являются лишь одним из возможных векторов для вредоносных программ. Бесфайловые вредоносные программы и вредоносные программы, которые живут вне земли, высоко полиморфные угрозы, которые мутируют быстрее, чем традиционные решения, могут идти в ногу с, и управляемые человеком атаки, которые адаптируются к тому, что злоумышленники находят на скомпрометированных устройствах. Традиционных антивирусных решений недостаточно для того, чтобы остановить такие атаки. Требуются возможности искусственного интеллекта (ИИ) и обучения устройств (ML), такие как блокировка поведения и сдерживание. Программное обеспечение безопасности, например Defender для конечной точки, имеет расширенные функции защиты от угроз для устранения современных угроз.

Defender для конечной точки постоянно отслеживает вызовы операционной системы, такие как чтение файлов, запись файлов, создание сокета и другие операции на уровне процесса. Датчик EDR Defender для конечной точки получает оппортунистические блокировки в локальных файловых системах NTFS и, следовательно, вряд ли повлияет на приложения. Оппортунистические блокировки недоступны в удаленных сетевых файловых системах. В редких случаях блокировка может привести к общим неспецифической ошибке, например отказано в доступе в приложениях SAP.

SAP не может обеспечить какой-либо уровень поддержки программного обеспечения EDR/XDR, например Microsoft Defender XDR или Defender для конечной точки. Механизмы в таких решениях являются адаптивными; поэтому они не предсказуемы. Кроме того, проблемы потенциально не воспроизводимы. При обнаружении проблем в системах с расширенными решениями безопасности SAP рекомендует отключить программное обеспечение безопасности, а затем попытаться воспроизвести проблему. Затем можно задать запрос на поддержку у поставщика программного обеспечения для обеспечения безопасности.

Дополнительные сведения о политике поддержки SAP см . в разделе 3356389 — антивирусная программа или другое программное обеспечение безопасности, влияющее на операции SAP.

Рекомендуемые заметки о SAP OSS

Ниже приведен список статей SAP, которые можно использовать по мере необходимости:

• 3356389 — антивирусная программа или другое программное обеспечение безопасности, влияющее на операции SAP— SAP для меня
• 106267 — программное обеспечение для проверки вирусов в Windows — SAP для меня
• 690449 — файл блокировки буфера транспорта (. Бизнес-бизнес) остается заблокированным в Windows — SAP для меня
• 2311946 — ошибки файловой системы в Windows — SAP для меня
• 2496239 — программы-шантажисты и вредоносные программы в Windows — SAP для меня
• 1497394 . Какие файлы и каталоги следует исключить из антивирусной проверки продуктов платформы бизнес-аналитики SAP BusinessObjects в Windows? — SAP для меня

Предостережение

Microsoft Defender для конечной точки в включает функцию, называемую защитой от потери данных конечных точек (защита от потери данных конечной точки). DLP конечной точки не следует активировать ни на одном Windows Server под управлением NetWeaver, S4, Adobe Document Server, архивных серверов, TREX, LiveCache или Content Server. Кроме того, очень важно, чтобы клиенты Windows, такие как ноутбук Windows под управлением Windows 11 с включенной защитой от потери данных конечной точки, никогда не обращались к сетевой папке, используемой каким-либо приложением SAP. В зависимости от конфигурации и политик клиентский компьютер с Windows может записывать атрибуты защиты от потери данных в сетевую папку.

Серверы Adobe Document Server или архивные системы, которые быстро записывают большое количество файлов в общие папки SMB и (или) общие папки для передачи файлов интерфейса с включенной защитой от потери данных, могут привести к повреждению файлов или сообщениям об отказе в доступе.

Не предоставляйте файловые системы SAP внешним клиентским компьютерам Windows и не активируйте защиту от потери данных конечных точек на серверах Windows под управлением программного обеспечения SAP. Не разрешайте клиентам Windows доступ к общим папкам сервера SAP. Используйте Robocopy или аналогичное средство для копирования Adobe Document или других файлов интерфейса в корпоративное решение NAS.

Приложения SAP в Windows Server: 10 основных рекомендаций

1. Ограничьте доступ к серверам SAP, заблокируйте сетевые порты и примите все другие распространенные меры безопасности. Этот первый шаг имеет важное значение. Ландшафт угроз превратился из файловых вирусов в менее сложные и сложные угрозы. Такие действия, как блокировка портов и ограничение входа и доступа к виртуальным машинам, больше не считаются достаточными для полного устранения современных угроз.

2. Сначала разверните Defender для конечной точки в непроизводственных системах перед развертыванием в рабочих системах. Развертывание Defender для конечной точки непосредственно в рабочих системах без тестирования является весьма рискованным и может привести к простою. Если вы не можете отложить развертывание Defender для конечной точки в рабочих системах, рассмотрите возможность временного отключения защиты от незаконного изменения и защиты в режиме реального времени.

3. Помните, что защита в режиме реального времени включена по умолчанию на Windows Server. Если обнаружены проблемы, которые могут быть связаны с Defender для конечной точки, рекомендуется настроить исключения и (или) отправить обращение в службу поддержки через портал Microsoft Defender.

4. Предоставьте команде SAP Basis и группе безопасности совместную работу над развертыванием Defender для конечной точки. Две команды должны совместно создать план поэтапного развертывания, тестирования и мониторинга.

5. Используйте такие средства, как PerfMon (Windows), чтобы создать базовый план производительности перед развертыванием и активацией Defender для конечной точки. Сравните использование производительности до и после активации Defender для конечной точки. Дополнительные сведения см. в статье Perfmon.

6. Разверните последнюю версию Defender для конечной точки и используйте последние выпуски Windows, в идеале Windows Server 2019 или более поздних версий. См. раздел Минимальные требования для Microsoft Defender для конечной точки.

7. Настройте определенные исключения для антивирусной программы Microsoft Defender. В том числе:

   • Файлы данных СУБД, файлы журналов и временные файлы, включая диски, содержащие файлы резервных копий
   • Все содержимое каталога SAPMNT
   • Все содержимое каталога SAPLOC
   • Все содержимое каталога TRANS
   • Все содержимое каталогов для автономных модулей, таких как TREX

   Опытные пользователи могут использовать исключения контекстных файлов и папок.

   Дополнительные сведения об исключениях СУБД см. в следующих ресурсах:

   • SQL Server. Настройка антивирусной программы для работы с SQL Server
   • Oracle: настройка антивирусной программы на сервере базы данных Oracle (идентификатор документа 782354.1)
   • DB2: какие каталоги DB2 следует исключить из антивирусного программного обеспечения Linux (используйте те же команды на Windows Server)
   • SAP ASE: обратитесь в SAP
   • MaxDB: обратитесь в SAP

8. Проверьте параметры Defender для конечной точки. Microsoft Defender антивирусная программа с приложениями SAP в большинстве случаев должна иметь следующие параметры:

   
   AntivirusEnabled                   : True
   AntivirusSignatureAge              : 0
   BehaviorMonitorEnabled             : True
   DefenderSignaturesOutOfDate        : False
   IsTamperProtected                  : True
   RealTimeProtectionEnabled          : True
   
   

9. Используйте такие средства, как Intune или управление параметрами безопасности Defender для конечной точки, чтобы настроить Defender для конечной точки. Такие средства помогают обеспечить правильную и единообразность развертывания Defender для конечной точки. Чтобы использовать управление параметрами безопасности Defender для конечной точки, выполните следующие действия.

   1. На портале Microsoft Defender перейдите в раздел Политикибезопасности конечных точекуправления>конфигурацией конечных> точек.

   2. Выберите Создать политику и следуйте указаниям. Дополнительные сведения см. в статье Управление политиками безопасности конечных точек в Microsoft Defender для конечной точки.

10. Используйте последний выпуск Defender для конечной точки. В Defender для конечной точки в Windows реализовано несколько новых функций, которые были протестированы в системах SAP. Эти новые функции сокращают блокировку и снижают потребление ресурсов ЦП. Дополнительные сведения о новых функциях см. в статье Новые возможности в Microsoft Defender для конечной точки.

Методология развертывания

SAP и Корпорация Майкрософт не рекомендуют развертывать Defender для конечной точки в Windows непосредственно во всех системах разработки, качества обслуживания и рабочих системах одновременно и (или) без тщательного тестирования и мониторинга. Клиенты, которые развернули Defender для конечной точки и другое аналогичное программное обеспечение неконтролируемым образом без адекватного тестирования, столкнулись с простоем системы.

Defender для конечной точки в Windows и любое другое программное обеспечение или изменение конфигурации должны быть сначала развернуты в системах разработки, проверены в QAS, а только затем развернуты в рабочих средах.

Использование таких средств, как управление параметрами безопасности Defender для конечной точки для развертывания Defender для конечной точки во всем ландшафте SAP без тестирования, скорее всего, приведет к простою.

Ниже приведен список проверка.

1. Разверните Defender для конечной точки с включенной защитой от незаконного изменения. При возникновении проблем включите режим устранения неполадок, отключите защиту от незаконного изменения, отключите защиту в режиме реального времени и настройте запланированные проверки.

2. Исключите файлы СУБД и исполняемые файлы в соответствии с рекомендациями поставщика СУБД.

3. Анализ каталогов SAPMNT, SAP TRANS_DIR, Spool и журналов заданий. Если имеется более 100 000 файлов, рассмотрите возможность архивации, чтобы уменьшить количество файлов.

4. Подтвердите ограничения производительности и квоты общей файловой системы, используемой для SAPMNT. Источником общих папок SMB может быть (модуль) NetApp, общий диск Windows Server или SMB Файлы Azure.

5. Настройте исключения, чтобы все серверы приложений SAP не сканировали общую папку SAPMNT одновременно, так как это может перегрузить общий сервер хранилища.

6. Как правило, файлы интерфейса размещаются на выделенном файловом сервере, отличном от SAP. Файлы интерфейса распознаются как вектор атаки. На этом выделенном файловом сервере должна быть активирована защита в режиме реального времени. Серверы SAP никогда не должны использоваться в качестве файлового сервера для файлов интерфейса.

   Примечание.

   Некоторые крупные системы SAP имеют более 20 серверов приложений SAP с подключением к одной и той же общей папке SAPMNT SMB. 20 серверов приложений, одновременно сканирующих один и тот же сервер SMB, могут перегрузить сервер SMB. Рекомендуется исключить SAPMNT из регулярных проверок.

Важные параметры конфигурации Defender для конечной точки в Windows Server с SAP

1. Общие сведения о Microsoft Defender для конечной точки. В частности, просмотрите сведения о защите следующего поколения и EDR.

   Примечание.

   Термин Defender иногда используется для обозначения целого набора продуктов и решений. См. раздел Что такое Microsoft Defender XDR?. В этой статье мы рассмотрим возможности антивирусной программы и EDR в Defender для конечной точки.

2. Проверьте состояние антивирусной программы Microsoft Defender. Откройте командную строку и выполните следующие команды PowerShell:

   Get-MpComputerStatus, как показано ниже.

   
   Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting 
   
   

   Ожидаемые выходные данные для Get-MpComputerStatus:

   
   DisableCpuThrottleOnIdleScans                 : True
   DisableRealtimeMonitoring                     : False
   DisableScanningMappedNetworkDrivesForFullScan : True
   DisableScanningNetworkFiles                   : False
   ExclusionPath                                 :   <<configured exclusions will show here>>
   MAPSReporting                                 : 2
   
   

   Get-MpPreference, как показано ниже.

   
   Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled    
   
   

   Ожидаемые выходные данные для Get-MpPreference:

   
   AMRunningMode             : Normal
   AntivirusEnabled          : True
   BehaviorMonitorEnabled    : True
   IsTamperProtected         : True
   OnAccessProtectionEnabled : True
   RealTimeProtectionEnabled : True
   
   

3. Проверьте состояние EDR. Откройте командную строку и выполните следующую команду:

   
   PS C:\Windows\System32> Get-Service -Name sense | FL *
   
   

   Вы должны увидеть выходные данные, похожие на следующий фрагмент кода:

   
   Name        : sense
   RequiredServices  : {}
   CanPauseAndContinue : False
   CanShutdown     : False
   CanStop       : False
   DisplayName     : Windows Defender Advanced Threat Protection Service
   DependentServices  : {}
   MachineName     : .
   ServiceName     : sense
   ServicesDependedOn : {}
   ServiceHandle    :
   Status       : Running
   ServiceType     : Win32OwnProcess
   StartType      : Automatic
   Site        :
   Container      :
   
   

   Вы хотите увидеть Status: Running значения и StartType: Automatic. Дополнительные сведения см. в статье Проверка событий и ошибок с помощью Просмотр событий.

4. Убедитесь, что антивирусная программа Microsoft Defender обновлена. Лучший способ убедиться в актуальности антивирусной защиты — использовать клиентский компонент Центра обновления Windows. Если вы столкнулись с проблемами или получили ошибку, обратитесь в службу безопасности.

   Дополнительные сведения об обновлениях см. в разделе Microsoft Defender антивирусная аналитика безопасности и обновления продуктов.

5. Убедитесь, что включен мониторинг поведения. Если включена защита от незаконного изменения, мониторинг поведения включается по умолчанию. Используйте конфигурацию по умолчанию: включена защита от незаконного изменения, включен мониторинг поведения и включен мониторинг в режиме реального времени, если не обнаружена конкретная проблема.

   Дополнительные сведения см. в статье Встроенная защита помогает защититься от программ-шантажистов.

6. Убедитесь, что включена защита в режиме реального времени. Текущая рекомендация для Defender для конечной точки в Windows заключается в том, чтобы включить проверку в режиме реального времени с включенной защитой от незаконного изменения, включенным мониторингом поведения и мониторингом в режиме реального времени, если не обнаружена конкретная проблема.

   Дополнительные сведения см. в статье Встроенная защита помогает защититься от программ-шантажистов.

7. Помните, как проверки работают с общими сетевыми ресурсами. По умолчанию компонент антивирусной программы Microsoft Defender в Windows проверяет общие сетевые файловые системы SMB (например, общую папку \\server\smb-share Windows server или Общий ресурс NetApp), когда к этим файлам обращаются процессы.

   EDR в Defender для конечной точки в Windows может сканировать общие сетевые файловые системы SMB. Датчик EDR сканирует определенные файлы, которые считаются интересными для анализа EDR во время операций изменения, удаления и перемещения файлов.

   Defender для конечной точки в Linux не сканирует файловые системы NFS во время запланированных проверок.

8. Устранение неполадок с работоспособностью или надежностью системы контроля. Чтобы устранить такие проблемы, используйте средство клиентского анализатора Defender для конечной точки. Клиентский анализатор Defender для конечной точки может быть полезен при диагностике проблем работоспособности или надежности датчиков на подключенных устройствах Windows, Linux или Mac. Получите последнюю версию клиентского анализатора Defender для конечной точки здесь: https://aka.ms/MDEClientAnalyzer.

9. Если вам нужна помощь, обратитесь в службу поддержки. См. раздел Обращение в службу поддержки Microsoft Defender для конечной точки.

10. Если вы используете рабочие виртуальные машины SAP с Microsoft Defender для облака, помните, что Defender для облака развертывает расширение Defender для конечной точки на всех виртуальных машинах. Если виртуальная машина не подключена к Defender для конечной точки, ее можно использовать в качестве вектора атаки. Если вам требуется больше времени для тестирования Defender для конечной точки перед развертыванием в рабочей среде, обратитесь в службу поддержки.

Полезные команды: Microsoft Defender для конечной точки с SAP на Windows Server

В этом разделе содержатся команды для подтверждения или настройки параметров Defender для конечной точки с помощью PowerShell и командной строки:

Обновление Microsoft Defender определений антивирусной программы вручную

Используйте клиентский компонент Центра обновления Windows или выполните следующую команду:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Вы должны увидеть выходные данные, похожие на следующий фрагмент кода:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Другой вариант — использовать следующую команду:

PS C:\Program Files\Windows Defender> Update-MpSignature

Дополнительные сведения об этих командах см. в следующих ресурсах:

• MpCmdRun.exe
• Update-MpSignature

Определение того, включена ли EDR в режиме блокировки

EDR в режиме блокировки обеспечивает дополнительную защиту от вредоносных артефактов, если антивирусная программа Microsoft Defender не является основным антивирусным продуктом и работает в пассивном режиме. Чтобы определить, включена ли EDR в блочном режиме, выполните следующую команду:

Get-MPComputerStatus|select AMRunningMode

Существует два режима: обычный и пассивный. Мы использовали при AMRunningMode = Normal тестировании систем SAP.

Дополнительные сведения об этой команде см. в разделе Get-MpComputerStatus.

Настройка исключений антивирусной программы

Перед настройкой исключений убедитесь, что группа SAP Basis координирует работу с вашей командой безопасности. Исключения следует настраивать централизованно, а не на уровне виртуальной машины. Некоторые исключения, такие как исключение общей файловой системы SAPMNT, следует настроить с помощью политики на портале администрирования Microsoft Intune.

Чтобы просмотреть исключения, используйте следующую команду:

Get-MpPreference | Select-Object -Property ExclusionPath

Дополнительные сведения об этой команде см. в разделе Get-MpComputerStatus.

Дополнительные сведения об исключениях см. в следующих ресурсах:

• Обзор исключений
• Настройка настраиваемых исключений для антивирусной программы Microsoft Defender
• Исключения контекстно-зависимых файлов и папок

Настройка исключений EDR

Не рекомендуется исключать файлы, пути или процессы из EDR, так как такие исключения компрометируют защиту от современных угроз, не основанных на файлах. При необходимости откройте обращение в службу поддержки на портале Microsoft Defender и укажите исполняемые файлы и (или) пути для исключения. Дополнительные сведения см. в разделе Обращение в службу поддержки Microsoft Defender для конечной точки.

Отключение Defender для конечной точки в Windows для тестирования

Предостережение

Не рекомендуется отключать программное обеспечение безопасности, если нет другой альтернативы для решения или изоляции проблемы.

Defender для конечной точки должен быть настроен с включенной защитой от незаконного изменения . Чтобы временно отключить Defender для конечной точки для изоляции проблем, используйте режим устранения неполадок.

Чтобы завершить работу различных подкомпонентов решения антивирусной программы Microsoft Defender, выполните следующие команды:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Дополнительные сведения об этих командах см. в разделе Set-MpPreference.

Важно!

Вы не можете отключить подкомпоненты EDR на устройстве. Единственный способ отключить EDR — отключить устройство.

Чтобы отключить облачную защиту (также называемую Microsoft Advanced Protection Service или MAPS), выполните следующие команды:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Дополнительные сведения об облачной защите см. в следующих ресурсах:

• Облачная защита и антивирусная программа в Microsoft Defender
• Защита от облака и отправка примеров в Microsoft Defender Антивирусная программа (если вы планируете использовать автоматическую отправку примеров с политиками безопасности)

Статьи по теме

• Руководство по развертыванию Microsoft Defender для конечной точки в Linux для SAP
• Антивирусная программа в Microsoft Defender в Windows Server
• Подключение серверов к Microsoft Defender для конечной точки
• Обзор обнаружения и нейтрализации атак на конечные точки