Microsoft Defender för Endpoint på Windows Server med SAP
Gäller för:
- Microsoft Defender för Endpoint Server
- Microsoft Defender för servrar
Om din organisation använder SAP är det viktigt att förstå kompatibiliteten och stödet mellan funktioner för identifiering och svar av antivirus och slutpunkt (EDR) i Microsoft Defender för Endpoint och dina SAP-program. Den här artikeln hjälper dig att förstå stödet från SAP för endpoint protection-säkerhetslösningar som Defender för Endpoint och hur de interagerar med SAP-program.
Den här artikeln beskriver hur du använder Defender för Endpoint på Windows Server tillsammans med SAP-program, till exempel NetWeaver och S4 Hana, och fristående SAP-motorer, till exempel LiveCache. I den här artikeln fokuserar vi på antivirus- och EDR-funktioner i Defender för Endpoint; Defender för Endpoint innehåller dock ytterligare funktioner. En översikt över alla Defender för Endpoint-funktioner finns i Microsoft Defender för Endpoint.
Den här artikeln beskriver inte SAP-klientprogramvara, till exempel SAPGUI, eller Microsoft Defender Antivirus på Windows-klientenheter.
Företagssäkerhet och ditt SAP Basis-team
Företagssäkerhet är en specialistroll och de aktiviteter som beskrivs i den här artikeln bör planeras som en gemensam aktivitet mellan ditt företags säkerhetsteam och ditt SAP Basis-team. Företagssäkerhetsteamet måste samordna med SAP Basis-teamet och gemensamt utforma din Defender för Endpoint-konfiguration och analysera eventuella undantag.
Få en översikt över Defender för Endpoint
Defender för Endpoint är en komponent i Microsoft Defender XDR och kan integreras med din SIEM/SOAR-lösning.
Innan du börjar planera eller distribuera Defender för Endpoint på Windows Server med SAP bör du ta en stund för att få en översikt över Defender för Endpoint. Följande video ger en översikt:
Mer detaljerad information om Säkerhetserbjudanden för Defender för Endpoint och Microsoft finns i följande resurser:
Defender för Endpoint innehåller funktioner som ligger utanför omfånget för den här artikeln. I den här artikeln fokuserar vi på två huvudområden:
- Nästa generations skydd (som omfattar antivirusskydd). Nästa generations skydd är en antivirusprodukt som andra antiviruslösningar för Windows-miljöer.
- EDR. EDR-funktioner identifierar misstänkt aktivitet och systemanrop och ger ett extra skydd mot hot som kringgår antivirusskydd.
Microsoft och andra leverantörer av säkerhetsprogram spårar hot och tillhandahåller trendinformation. Mer information finns i Cyberthreats, virus och skadlig kod – Microsoft Säkerhetsinsikter.
Obs!
Information om Microsoft Defender för SAP på Linux finns i Distributionsvägledning för Microsoft Defender för Endpoint i Linux för SAP. Defender för Endpoint i Linux skiljer sig avsevärt från Windows-versionen.
SAP-supportmeddelande på Defender för Endpoint och andra säkerhetslösningar
SAP tillhandahåller grundläggande dokumentation för konventionella antiviruslösningar för filgenomsökning. Konventionella antiviruslösningar för filgenomsökning jämför filsignaturer med en databas med kända hot. När en infekterad fil identifieras varnar antivirusprogrammet vanligtvis och placerar filen i karantän. Mekanismerna och beteendet för antiviruslösningar för filgenomsökning är relativt välkända och förutsägbara. Därför kan SAP-stöd ge en grundläggande supportnivå för SAP-program som interagerar med antivirusprogram för filgenomsökning.
Filbaserade hot är bara en möjlig vektor för skadlig programvara. Fillös skadlig kod och skadlig kod som lever utanför landet, mycket polymorfa hot som muterar snabbare än traditionella lösningar kan hänga med, och människodrivna attacker som anpassar sig till vad angripare hittar på komprometterade enheter. Traditionella antivirussäkerhetslösningar räcker inte för att stoppa sådana attacker. Funktioner med artificiell intelligens (AI) och enhetsinlärning (ML), till exempel beteendeblockering och inneslutning krävs. Säkerhetsprogram som Defender för Endpoint har avancerade funktioner för skydd mot hot för att minska moderna hot.
Defender för Endpoint övervakar kontinuerligt operativsystemanrop, till exempel filläsning, filskrivning, skapa socket och andra åtgärder på processnivå. Defender för Endpoint EDR-sensorn hämtar opportunistiska lås på lokala NTFS-filsystem och kommer därför sannolikt inte att påverka program. Opportunistiska lås är inte möjliga i fjärrnätverksfilsystem. I sällsynta fall kan ett lås orsaka allmänna icke-specifika fel, till exempel Åtkomst nekad i SAP-program.
SAP kan inte tillhandahålla någon supportnivå för EDR/XDR-programvara som Microsoft Defender XDR eller Defender för Endpoint. Mekanismerna i sådana lösningar är anpassningsbara. Därför är de inte förutsägbara. Dessutom är problem potentiellt inte reproducerbara. När problem identifieras på system som kör avancerade säkerhetslösningar rekommenderar SAP att du inaktiverar säkerhetsprogramvaran och sedan försöker återskapa problemet. Ett supportärende kan sedan tas upp med leverantören av säkerhetsprogramvaran.
Mer information om SAP-supportpolicyn finns i 3356389 – Antivirus eller annan säkerhetsprogramvara som påverkar SAP-åtgärder.
Rekommenderade SAP OSS-anteckningar
Här är en lista över SAP-artiklar som du kan använda efter behov:
- 3356389 – Antivirusprogram eller annan säkerhetsprogramvara som påverkar SAP-åtgärder – SAP for Me
- 106267 – Antivirusprogram i Windows – SAP for Me
- 690449 – Transportbuffertlåsfil (. LOB) förblir blockerad i Windows – SAP for Me
- 2311946 – Filsystemfel i Windows – SAP for Me
- 2496239 – Utpressningstrojan/skadlig kod i Windows – SAP for Me
- 1497394 – Vilka filer och kataloger ska undantas från en antivirussökning för SAP BusinessObjects Business Intelligence Platform-produkter i Windows? - SAP för mig
Försiktighet
Microsoft Defender för Endpoint på innehåller en funktion som heter Endpoint Data Loss Prevention (Endpoint DLP). Slutpunkts-DLP bör inte aktiveras på någon Windows Server som kör NetWeaver, S4, Adobe Document Server, arkivservrar, TREX, LiveCache eller innehållsserver. Dessutom är det viktigt att Windows-klienter, till exempel en bärbar Windows-dator som kör Windows 11 med slutpunkts-DLP aktiverat, aldrig kommer åt en nätverksresurs som används av något SAP-program. Beroende på konfiguration och principer är det möjligt för en Windows-klientdator att skriva DLP-attribut till en nätverksresurs.
Adobe-dokumentservrar eller arkivsystem som skriver många filer snabbt till SMB-resurser och/eller gränssnittsfilöverföringsresurser med DLP aktiverat kan orsaka filskada eller "åtkomst nekad"-meddelanden.
Exponera inte SAP-filsystem för externa Windows-klientdatorer och aktivera inte slutpunkts-DLP på Windows-servrar som kör SAP-programvara. Tillåt inte att Windows-klienter får åtkomst till SAP-serverresurser. Använd Robocopy eller ett liknande verktyg för att kopiera Adobe Document eller andra gränssnittsfiler till en företags-NAS-lösning.
SAP-program på Windows Server: Topp 10-rekommendationer
Begränsa åtkomsten till SAP-servrar, blockera nätverksportar och vidta alla andra vanliga säkerhetsåtgärder. Det första steget är viktigt. Hotlandskapet har utvecklats från filbaserade virus till fillösa komplexa och sofistikerade hot. Åtgärder, till exempel blockering av portar och begränsning av inloggning/åtkomst till virtuella datorer , anses inte längre vara tillräckliga för att helt minimera moderna hot.
Distribuera Defender för Endpoint till icke-produktionssystem först innan du distribuerar till produktionssystem. Att distribuera Defender för Endpoint direkt till produktionssystem utan testning är mycket riskabelt och kan leda till driftstopp. Om du inte kan fördröja distributionen av Defender för Endpoint till produktionssystemen kan du tillfälligt inaktivera manipuleringsskydd och realtidsskydd.
Kom ihåg att realtidsskydd är aktiverat som standard på Windows Server. Om problem identifieras som kan vara relaterade till Defender för Endpoint rekommenderar vi att du konfigurerar undantag och/eller öppnar ett supportärende via Microsoft Defender-portalen.
Låt SAP Basis-teamet och ditt säkerhetsteam arbeta tillsammans med din Defender för Endpoint-distribution. De två teamen måste gemensamt skapa en stegvis distributions-, testnings- och övervakningsplan.
Använd verktyg som PerfMon (Windows) för att skapa en prestandabaslinje innan du distribuerar och aktiverar Defender för Endpoint. Jämför prestandaanvändningen före och efter aktiveringen av Defender för Endpoint. Mer information finns i perfmon.
Distribuera den senaste versionen av Defender för Endpoint och använd de senaste versionerna av Windows, helst Windows Server 2019 eller senare. Se Minimikrav för Microsoft Defender för Endpoint.
Konfigurera vissa undantag för Microsoft Defender Antivirus. Det omfattar:
- DBMS-datafiler, loggfiler och temporära filer, inklusive diskar som innehåller säkerhetskopierade filer
- Hela innehållet i SAPMNT-katalogen
- Hela innehållet i SAPLOC-katalogen
- Hela innehållet i TRANS-katalogen
- Hela innehållet i kataloger för fristående motorer, till exempel TREX
Avancerade användare kan överväga att använda kontextuella fil- och mappundantag.
Mer information om DBMS-undantag finns i följande resurser:
- SQL Server: Konfigurera antivirusprogram så att det fungerar med SQL Server
- Oracle: Så här konfigurerar du antivirusprogram på Oracle Database Server (Doc ID 782354.1)
- DB2: Vilka DB2-kataloger som ska undantas från Antivirusprogram i Linux (använd samma kommandon på Windows Server)
- SAP ASE: Kontakta SAP
- MaxDB: Kontakta SAP
Kontrollera inställningarna för Defender för Endpoint. Microsoft Defender Antivirus med SAP-program bör ha följande inställningar i de flesta fall:
AntivirusEnabled : True AntivirusSignatureAge : 0 BehaviorMonitorEnabled : True DefenderSignaturesOutOfDate : False IsTamperProtected : True RealTimeProtectionEnabled : True
Använd verktyg, till exempel Intune eller Hantering av säkerhetsinställningar för Defender för Endpoint för att konfigurera Defender för Endpoint. Sådana verktyg kan hjälpa dig att se till att Defender för Endpoint är korrekt konfigurerat och enhetligt distribuerat. Följ dessa steg om du vill använda hanteringen av säkerhetsinställningar för Defender för Endpoint:
I Microsoft Defender-portalen går du till Endpoints Configuration management Endpoint Security policies (Slutpunktskonfigurationshantering>>Endpoint Security-principer).
Välj Skapa ny princip och följ riktlinjerna. Mer information finns i Hantera slutpunktssäkerhetsprinciper i Microsoft Defender för Endpoint.
Använd den senaste versionen av Defender för Endpoint. Flera nya funktioner implementeras i Defender för Endpoint i Windows och dessa funktioner har testats med SAP-system. Dessa nya funktioner minskar blockeringen och lägre CPU-förbrukning. Mer information om nya funktioner finns i Nyheter i Microsoft Defender för Endpoint.
Distributionsmetodik
BÅDE SAP och Microsoft rekommenderar inte att du distribuerar Defender för Endpoint i Windows direkt till alla utvecklings-, QAS- och produktionssystem samtidigt och/eller utan noggrann testning och övervakning. Kunder som distribuerade Defender för Endpoint och annan liknande programvara på ett okontrollerat sätt utan tillräcklig testning upplevde därför systemavbrott.
Defender för Endpoint i Windows och andra program- eller konfigurationsändringar bör först distribueras till utvecklingssystem, verifieras i QAS och först därefter distribueras till produktionsmiljöer.
Användning av verktyg, till exempel hantering av säkerhetsinställningar för Defender för Endpoint för att distribuera Defender för Endpoint till ett helt SAP-landskap utan testning, kommer sannolikt att orsaka driftstopp.
Här är en lista över vad du ska kontrollera:
Distribuera Defender för Endpoint med manipulationsskydd aktiverat. Om det uppstår problem aktiverar du felsökningsläge, inaktiverar manipuleringsskydd, inaktiverar realtidsskydd och konfigurerar schemalagda genomsökningar.
Exkludera DBMS-filer och körbara filer enligt dina DBMS-leverantörsrekommendationer.
Analysera kataloger för SAPMNT, SAP TRANS_DIR, Spool och Jobblogg. Om det finns fler än 100 000 filer bör du överväga att arkivera för att minska antalet filer.
Bekräfta prestandabegränsningarna och kvoterna för det delade filsystemet som används för SAPMNT. SMB-resurskällan kan vara en NetApp-installation, en Windows Server delad disk eller Azure Files SMB.
Konfigurera undantag så att alla SAP-programservrar inte skannar SAPMNT-resursen samtidigt, eftersom den kan överbelasta den delade lagringsservern.
I allmänhet värdgränssnittsfiler på en dedikerad icke-SAP-filserver. Gränssnittsfiler identifieras som en attackvektor. Realtidsskydd bör aktiveras på den här dedikerade filservern. SAP-servrar bör aldrig användas som filservrar för gränssnittsfiler.
Obs!
Vissa stora SAP-system har fler än 20 SAP-programservrar var och en med en anslutning till samma SAPMNT SMB-resurs. 20 programservrar som skannar samma SMB-server samtidigt kan överbelasta SMB-servern. Vi rekommenderar att du undantar SAPMNT från regelbundna genomsökningar.
Viktiga konfigurationsinställningar för Defender för Endpoint på Windows Server med SAP
Få en översikt över Microsoft Defender för Endpoint. Granska särskilt information om nästa generations skydd och EDR.
Obs!
Termen Defender används ibland för att referera till en hel uppsättning produkter och lösningar. Se Vad är Microsoft Defender XDR?. I den här artikeln fokuserar vi på antivirus- och EDR-funktioner i Defender för Endpoint.
Kontrollera status för Microsoft Defender Antivirus. Öppna kommandotolken och kör följande PowerShell-kommandon:
Get-MpComputerStatus, enligt följande:
Get-MpPreference |Select-Object -Property DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting
Förväntade utdata för
Get-MpComputerStatus
:DisableCpuThrottleOnIdleScans : True DisableRealtimeMonitoring : False DisableScanningMappedNetworkDrivesForFullScan : True DisableScanningNetworkFiles : False ExclusionPath : <<configured exclusions will show here>> MAPSReporting : 2
Get-MpPreference, enligt följande:
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled
Förväntade utdata för
Get-MpPreference
:AMRunningMode : Normal AntivirusEnabled : True BehaviorMonitorEnabled : True IsTamperProtected : True OnAccessProtectionEnabled : True RealTimeProtectionEnabled : True
Kontrollera status för EDR. Öppna Kommandotolken och kör sedan följande kommando:
PS C:\Windows\System32> Get-Service -Name sense | FL *
Du bör se utdata som liknar följande kodfragment:
Name : sense RequiredServices : {} CanPauseAndContinue : False CanShutdown : False CanStop : False DisplayName : Windows Defender Advanced Threat Protection Service DependentServices : {} MachineName : . ServiceName : sense ServicesDependedOn : {} ServiceHandle : Status : Running ServiceType : Win32OwnProcess StartType : Automatic Site : Container :
De värden som du vill se är
Status: Running
ochStartType: Automatic
. Mer information finns i Granska händelser och fel med hjälp av Loggboken.Kontrollera att Microsoft Defender Antivirus är uppdaterat. Det bästa sättet att se till att antivirusskyddet är uppdaterat är att använda Windows Update. Om du stöter på problem eller får ett fel kontaktar du säkerhetsteamet.
Mer information om uppdateringar finns i Microsoft Defender Säkerhetsinformation för antivirusprogram och produktuppdateringar.
Kontrollera att beteendeövervakning är aktiverat. När manipuleringsskydd är aktiverat aktiveras beteendeövervakning som standard. Använd standardkonfigurationen för manipuleringsskydd aktiverat, beteendeövervakning aktiverat och realtidsövervakning aktiverat om inte ett specifikt problem identifieras.
Mer information finns i Inbyggt skydd skyddar mot utpressningstrojaner.
Kontrollera att realtidsskydd är aktiverat. Den aktuella rekommendationen för Defender för Endpoint i Windows är att aktivera genomsökning i realtid, med manipuleringsskydd aktiverat, beteendeövervakning aktiverat och övervakning i realtid aktiverat, såvida inte ett specifikt problem identifieras.
Mer information finns i Inbyggt skydd skyddar mot utpressningstrojaner.
Tänk på hur genomsökningar fungerar med nätverksresurser. Som standard genomsöker Microsoft Defender Antivirus-komponenten i Windows SMB-delade nätverksfilsystem (till exempel en Windows-serverresurs
\\server\smb-share
eller en NetApp-resurs) när dessa filer används av processer.EDR i Defender för Endpoint i Windows kan genomsöka SMB-delade nätverksfilsystem. EDR-sensorn söker igenom vissa filer som identifieras som intressanta för EDR-analys under filändrings-, borttagnings- och flyttåtgärder.
Defender för Endpoint på Linux söker inte igenom NFS-filsystem under schemalagda genomsökningar.
Felsöka problem med hälsotillstånd eller tillförlitlighet. Om du vill felsöka sådana problem använder du verktyget Defender för Endpoint-klientanalys. Defender för Endpoint-klientanalys kan vara användbart när du diagnostiserar problem med sensorhälsa eller tillförlitlighet på registrerade Windows-, Linux- eller Mac-enheter. Hämta den senaste versionen av Klientanalyseraren för Defender för Endpoint här: https://aka.ms/MDEClientAnalyzer.
Öppna ett supportärende om du behöver hjälp. Se Kontakta Microsoft Defender för Endpoint support.
Om du använder virtuella SAP-produktionsdatorer med Microsoft Defender för molnet bör du tänka på att Defender för molnet distribuerar Tillägget Defender för Endpoint till alla virtuella datorer. Om en virtuell dator inte registreras i Defender för Endpoint kan den användas som attackvektor. Om du behöver mer tid för att testa Defender för Endpoint innan du distribuerar till produktionsmiljön kontaktar du supporten.
Användbara kommandon: Microsoft Defender för Endpoint med SAP på Windows Server
Det här avsnittet innehåller kommandon för att bekräfta eller konfigurera Defender för Endpoint-inställningar med hjälp av PowerShell och kommandotolken:
Uppdatera Microsoft Defender Antivirus-definitioner manuellt
Använd Windows Update eller kör följande kommando:
PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate
Du bör se utdata som liknar följande kodfragment:
Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>
Ett annat alternativ är att använda det här kommandot:
PS C:\Program Files\Windows Defender> Update-MpSignature
Mer information om dessa kommandon finns i följande resurser:
Fastställ om EDR i blockeringsläge är aktiverat
EDR i blockeringsläge ger ytterligare skydd mot skadliga artefakter när Microsoft Defender Antivirus inte är den primära antivirusprodukten och körs i passivt läge. Du kan avgöra om EDR i blockeringsläge är aktiverat genom att köra följande kommando:
Get-MPComputerStatus|select AMRunningMode
Det finns två lägen: Normal och Passivt läge. Vi använde AMRunningMode = Normal
när vi testade SAP-system.
Mer information om det här kommandot finns i Get-MpComputerStatus.
Konfigurera antivirusundantag
Innan du konfigurerar undantag kontrollerar du att SAP Basis-teamet samordnar med ditt säkerhetsteam. Undantag bör konfigureras centralt och inte på VM-nivå. Vissa undantag, till exempel det delade SAPMNT-filsystemets undantag, bör konfigureras med en princip i Microsoft Intune administratörsportalen.
Om du vill visa undantag använder du följande kommando:
Get-MpPreference | Select-Object -Property ExclusionPath
Mer information om det här kommandot finns i Get-MpComputerStatus.
Mer information om undantag finns i följande resurser:
- Översikt över undantag
- Konfigurera anpassade undantag för Microsoft Defender Antivirus
- Kontextuella fil- och mappundantag
Konfigurera EDR-undantag
Vi rekommenderar inte att du exkluderar filer, sökvägar eller processer från EDR, eftersom sådana undantag äventyrar skyddet mot moderna, icke-filbaserade hot. Om det behövs öppnar du ett supportärende i Microsoft Defender-portalen och anger de körbara filer och/eller sökvägar som ska undantas. Mer information finns i Kontakta Microsoft Defender för Endpoint support.
Inaktivera Defender för Endpoint i Windows i testsyfte
Försiktighet
Vi rekommenderar inte att du inaktiverar säkerhetsprogram om det inte finns något annat alternativ för att lösa eller isolera ett problem.
Defender för Endpoint ska konfigureras med manipuleringsskydd aktiverat. Om du tillfälligt vill inaktivera Defender för Endpoint för att isolera problem använder du felsökningsläget.
Om du vill stänga av olika underkomponenter i Microsoft Defender Antivirus-lösningen kör du följande kommandon:
Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled
Mer information om dessa kommandon finns i Set-MpPreference.
Viktigt
Du kan inte inaktivera EDR-underkomponenter på en enhet. Det enda sättet att stänga av EDR är att avregistrera enheten.
Om du vill inaktivera molnbaserat skydd (kallas även Microsoft Advanced Protection Service eller MAPS) kör du följande kommandon:
PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled
Mer information om molnlevererad skydd finns i följande resurser:
- Molnbaserat skydd och Microsoft Defender Antivirus
- Molnskydd och exempelöverföring på Microsoft Defender Antivirus (om du överväger om du vill använda automatisk sändning av exempel med dina säkerhetsprinciper)