Настройка интеграции AMSI с SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 
2016 2019 Subscription Edition SharePoint в Microsoft 365
Введение
Ландшафт кибербезопасности коренным образом изменился, о чем свидетельствуют крупномасштабные, сложные атаки и сигналы о том, что программы-шантажисты, управляемые человеком , находятся на подъеме. Как никогда важно обеспечить безопасность и актуальность локальной инфраструктуры, включая серверы SharePoint.
Чтобы помочь клиентам защитить свои среды и реагировать на связанные с ними угрозы, мы представляем интеграцию между SharePoint Server и интерфейсом проверки антивредоносных программ Windows (AMSI). AMSI — это универсальный стандарт, позволяющий приложениям и службам интегрироваться с любым продуктом защиты от вредоносных программ с поддержкой AMSI, представленным на компьютере.
Функция интеграции AMSI предназначена для предотвращения доступа вредоносных веб-запросов к конечным точкам SharePoint. Например, чтобы воспользоваться уязвимостью системы безопасности в конечной точке SharePoint до установки официального исправления для этой уязвимости.
Интеграция AMSI с SharePoint Server
Если антивирусное или антивредоносное решение с поддержкой AMSI интегрировано с SharePoint Server, оно может проверять HTTPHTTPS запросы, поступающие на сервер, и предотвращать обработку опасных запросов SharePoint Server. Любая антивирусная программа с поддержкой AMSI или программа защиты от вредоносных программ, установленных на сервере, выполняет проверку, как только сервер начинает обрабатывать запрос.
Интеграция AMSI не предназначена для замены существующих антивирусной и антивредоносной защиты, уже установленных на сервере. он обеспечивает дополнительный уровень защиты от вредоносных веб-запросов, отправляемых к конечным точкам SharePoint. Клиенты должны по-прежнему развертывать на своих серверах совместимые с SharePoint антивирусные решения, чтобы запретить пользователям загружать или скачивать файлы с вирусами.
Предварительные условия
Прежде чем включить интеграцию AMSI, проверьте следующие предварительные требования на каждом сервере SharePoint Server:
- Windows Server 2016 или более поздней версии
- SharePoint Server Subscription Edition версии 22H2 или более поздней
- SharePoint Server 2019 сборки 16.0.10396.20000 или более поздней версии (5002358 базы знаний: 14 марта 2023 г. обновление системы безопасности для SharePoint Server 2019 г.)
- SharePoint Server 2016 сборки 16.0.5391.1000 или более поздней версии (5002385 базы знаний: обновление системы безопасности для SharePoint Server 2016 от 11 апреля 2023 г.)
- Microsoft Defender с av engine версии 1.1.18300.4 или выше (кроме того, совместимый сторонний поставщик антивирусной или антивредоносной программы с поддержкой AMSI)
Активация и деактивация AMSI для SharePoint Server
Начиная с обновления системы безопасности для SharePoint Server 2016/2019 за сентябрь 2023 г. и обновления компонентов версии 23H2 для SharePoint Server Subscription Edition, интеграция AMSI с SharePoint Server становится включенной по умолчанию для всех веб-приложений в SharePoint Server. Это изменение направлено на повышение общей безопасности клиентских сред и устранение потенциальных нарушений безопасности. Однако в зависимости от своих требований клиенты сохраняют возможность деактивации функций интеграции AMSI.
Чтобы инициировать обновления для системы безопасности за сентябрь 2023 г., клиентам достаточно установить обновление и запустить мастер настройки продуктов SharePoint.
Примечание.
Если клиенты пропустят установку общедоступного обновления за сентябрь 2023 г., это изменение будет активировано после установки последующего общедоступного обновления, включающего обновления для системы безопасности за сентябрь 2023 г. для SharePoint Server 2016/2019 или обновления компонентов версии 23H2 для sharePoint Server Subscription Edition.
Если клиенты предпочитают не включать автоматическую интеграцию AMSI в фермах SharePoint Server, они могут выполнить следующие действия:
- Установите обновления для системы безопасности за сентябрь 2023 г. для SharePoint Server 2016/2019 или обновления компонентов версии 23H2 для SharePoint Server Subscription Edition.
- Запустите мастер настройки продуктов SharePoint.
- Выполните стандартные действия, чтобы отключить функцию интеграции AMSI в веб-приложениях.
Если выполнить эти действия, SharePoint не будет пытаться повторно включить эту функцию при установке будущих общедоступных обновлений.
Чтобы вручную отключить или активировать интеграцию AMSI для каждого веб-приложения, выполните следующие действия.
- Откройте центр администрирования SharePoint и выберите Управление приложениями.
- В разделе Веб-приложения выберите Управление веб-приложениями.
- Выберите веб-приложение, для которого требуется включить интеграцию AMSI, и выберите Управление компонентами на панели инструментов.
- На экране Проверки защиты от вредоносных программ SharePoint Server выберите Отключить , чтобы отключить интеграцию AMSI, или нажмите кнопку Активировать , чтобы включить интеграцию AMSI.
Кроме того, можно отключить интеграцию AMSI для веб-приложения, выполнив следующую команду PowerShell:
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Или активируйте интеграцию AMSI для веб-приложения, выполнив следующую команду PowerShell:
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Тестирование и проверка интеграции AMSI с SharePoint Server
Вы можете протестировать функцию интерфейса проверки антивредоносных программ (AMSI), чтобы убедиться, что она работает правильно. Это включает в себя отправку запроса в SharePoint Server со специальной тестовой строкой, распознаваемой Microsoft Defender, для тестирования. Эта тестовая строка не является опасной, но Microsoft Defender обрабатывает ее как вредоносную, поэтому вы можете проверить, как она ведет себя при обнаружении вредоносных запросов.
Если интеграция AMSI включена в SharePoint Server и использует Microsoft Defender в качестве подсистемы обнаружения вредоносных программ, наличие этой тестовой строки приводит к тому, что запрос блокируется AMSI, а не обрабатывается SharePoint.
Тестовая строка похожа на тестовый файл EICAR , но немного отличается, чтобы избежать путаницы в кодировке URL-адресов.
Вы можете проверить интеграцию AMSI, добавив тестовую строку в качестве строки запроса или http-заголовка в запросе в SharePoint Server.
Использование строки запроса для проверки интеграции AMSI
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Например: отправьте запрос на https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET
Использование http-заголовка для проверки интеграции AMSI
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Например, отправьте запрос, который выглядит следующим образом.
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defender обнаруживает это как следующий эксплойт:
Exploit:Script/SharePointEicar.A
Примечание.
Если вы используете механизм обнаружения вредоносных программ, отличный от Microsoft Defender, обратитесь к поставщику подсистемы обнаружения вредоносных программ, чтобы определить оптимальный способ тестирования его интеграции с функцией AMSI в SharePoint Server.
Другие ссылки
Влияние на производительность использования Microsoft Defender в качестве основного решения AMSI
По умолчанию антивирусная программа Microsoft Defender (MDAV), решение с поддержкой AMSI, автоматически включается и устанавливается на конечных точках и устройствах под управлением Windows 10, Windows Server 2016 и более поздних версий. Если вы не установили антивирусное или антивредоносное приложение, интеграция AMSI SharePoint Server будет работать с MDAV. Если установить и включить другое антивирусное или антивредоносное приложение, MDAV автоматически выключится. При удалении другого приложения MDAV автоматически включается, и интеграция с SharePoint Server будет работать с MDAV.
Преимущества использования MDAV в SharePoint Server:
- MDAV извлекает подписи, соответствующие вредоносному содержимому. Если корпорация Майкрософт узнает об эксплойте, который может быть заблокирован, можно развернуть новую сигнатуру MDAV, чтобы заблокировать влияние эксплойтов на SharePoint.
- Использование существующей технологии для добавления подписей для вредоносного содержимого.
- Использование опыта исследовательской группы майкрософт по вредоносным программам для добавления подписей.
- Использование рекомендаций, которые уже применяются MDAV для добавления других подписей.
Это может повлиять на производительность веб-приложения, так как при проверке AMSI используются ресурсы ЦП. При тестировании с помощью MDAV сканирование AMSI не повлияет на производительность, а в существующие задокументированные исключения антивирусной программы SharePoint Server не вносились никакие изменения. Каждый поставщик антивирусной программы разрабатывает собственные определения, использующие технологию AMSI. Таким образом, уровень защиты зависит от того, как быстро можно обновить конкретное решение для обнаружения последних угроз.
Версия Microsoft Defender через командную строку
Примечание.
Если вы используете Microsoft Defender, вы можете использовать командную строку и обеспечить обновление подписей до последней версии.
- Запуск
Command Promptот имени администратора. - Перейдите по адресу
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. - Запустите
mpcmdrun.exe -SignatureUpdate.
Эти действия определяют текущую версию обработчика, проверяют наличие обновленных определений и отчеты.
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>