通过

使用 SAP Windows Server Microsoft Defender for Endpoint

  • 项目

适用于

如果组织使用 SAP,必须了解Microsoft Defender for Endpoint和 SAP 应用程序中防病毒EDR 之间的兼容性和支持。 本文可帮助你了解 SAP 为 Defender for Endpoint 等终结点保护安全解决方案提供的支持,以及它们如何与 SAP 应用程序交互。

本文介绍如何在 Windows Server 上使用 Microsoft Defender for Endpoint,以及 SAP 应用程序(例如 NetWeaver 和 S4 Hana)以及 SAP 独立引擎(如 LiveCache)。 本文重点介绍 Defender for Endpoint 中的防病毒和 EDR 功能。 有关所有 Defender for Endpoint 功能的概述,请参阅 Microsoft Defender for Endpoint

本文不介绍 SAP 客户端软件,例如 Windows 客户端设备上的 SAPGUI 或 Microsoft Defender 防病毒。

企业安全性和 SAP 基础团队

企业安全性是一个专家角色,本文中所述的活动应规划为企业安全团队与 SAP 基础团队之间的联合活动。 企业安全团队需要与 SAP Basis 团队协调,共同设计 Defender for Endpoint 配置并分析任何排除项。

获取 Defender for Endpoint 的概述

Defender for Endpoint 是 Microsoft Defender XDR 的一个组件,可与 SIEM/SOAR 解决方案集成。

在开始使用 SAP 在 Windows Server 上规划或部署 Defender for Endpoint 之前,请花点时间大致了解 Defender for Endpoint。 以下视频提供概述:

有关 Defender for Endpoint 和Microsoft安全产品/服务的更多详细信息,请参阅以下资源:

Defender for Endpoint 包含本文范围之外的功能。 本文重点介绍两个main领域:

  • 下一代保护 (,其中包括防病毒保护) 。 下一代保护 是一种防病毒产品,类似于适用于 Windows 环境的其他防病毒解决方案。
  • 终结点检测和响应 (EDR) 。 EDR 功能 可检测可疑活动和系统调用,并提供额外的一层保护来防范绕过防病毒保护的威胁。

Microsoft和其他安全软件供应商跟踪威胁并提供趋势信息。 有关信息,请参阅网络威胁、病毒和恶意软件 - Microsoft 安全智能

注意

有关适用于 Linux 上的 SAP 的Microsoft Defender的信息,请参阅适用于 sap 的 linux 上的Microsoft Defender for Endpoint部署指南。 Linux 上的 Defender for Endpoint 与 Windows 版本明显不同。

Defender for Endpoint 和其他安全解决方案上的 SAP 支持声明

SAP 提供传统文件扫描防病毒解决方案的基本文档。 传统的文件扫描防病毒解决方案将文件签名与已知威胁的数据库进行比较。 识别受感染的文件后,防病毒软件通常会对文件发出警报并隔离。 文件扫描防病毒解决方案的机制和行为是众所周知的,并且是可预测的:因此,SAP 支持可以为与文件扫描防病毒软件交互的 SAP 应用程序提供基本级别的支持。

基于文件的威胁现在只是恶意软件的一种可能途径。 生活在陆地上的无文件恶意软件和恶意软件、比传统解决方案变化得快的高度多态威胁,以及适应攻击者在受入侵设备上发现的内容的人工操作攻击。 传统的防病毒安全解决方案不足以阻止此类攻击。 需要人工智能 (AI) 和设备学习 (ML) 支持的功能,例如行为阻止和遏制。 Defender for Endpoint 等安全软件具有高级威胁防护功能,可缓解新式威胁。

Defender for Endpoint 持续监视操作系统调用,例如文件读取、文件写入、创建套接字和其他进程级操作。 Defender for Endpoint EDR 传感器在本地 NTFS 文件系统上获取机会锁,因此不太可能影响应用程序。 在远程网络文件系统上不能使用机会性锁。 在极少数情况下,锁可能会导致一般非特定错误,例如 SAP 应用程序中 的访问被拒绝

SAP 无法为 EDR/XDR 软件(如 Microsoft Defender XDRDefender for Endpoint)提供任何级别的支持。 此类解决方案中的机制是自适应的:因此,它们不可预测。 此外,问题可能不可重现。 在运行高级安全解决方案的系统上发现问题时,SAP 建议禁用安全软件,然后尝试重现问题。 然后,可以向安全软件供应商提出支持案例。

有关 SAP 支持策略的详细信息,请参阅 3356389 - 防病毒或其他影响 SAP 操作的安全软件

下面是可根据需要使用的 SAP 文章列表:

Windows Server上的 SAP 应用程序:十大建议

  1. 限制对 SAP 服务器的访问,阻止网络端口,并采取所有其他常见安全保护措施。 第一步至关重要。 威胁形势已从基于文件的病毒演变为无文件的复杂和复杂的威胁。 阻止端口和限制对 VM 的登录/访问等操作不再足以完全缓解现代威胁。

  2. 在部署到生产系统之前,请先将 Defender for Endpoint 部署到非生产系统。 无需测试即可将 Defender for Endpoint 直接部署到生产系统,风险很高,并可能导致停机。 如果无法延迟将 Defender for Endpoint 部署到生产系统,请考虑暂时禁用 篡改防护实时保护

  3. 请记住,Windows Server中默认启用实时保护。 如果发现可能与 Defender for Endpoint 相关的问题,建议通过 Microsoft Defender 门户配置排除项和/或打开支持案例

  4. 让 SAP 基础团队和安全团队共同处理 Defender for Endpoint 部署。 这两个团队需要共同创建分阶段部署、测试和监视计划。

  5. 在部署和激活 Defender for Endpoint 之前,请使用 PerfMon (Windows) 等工具创建性能基线。 比较激活 Defender for Endpoint 之前和之后的性能利用率。 请参阅 perfmon

  6. 部署最新版本的 Defender for Endpoint 并使用最新版本的 Windows,最好Windows Server 2019 或更高版本。 请参阅Microsoft Defender for Endpoint的最低要求

  7. 为Microsoft Defender防病毒配置某些排除项。 包括:

    • DBMS 数据文件、日志文件和临时文件,包括包含备份文件的磁盘
    • SAPMNT 目录的全部内容
    • SAPLOC 目录的全部内容
    • TRANS 目录的全部内容
    • 独立引擎(如 TREX)的目录的全部内容

    高级用户可以考虑使用 上下文文件和文件夹排除项。

    有关 DBMS 排除项的详细信息,请使用以下资源:

  8. 验证 Defender for Endpoint 设置。 在大多数情况下,Microsoft Defender SAP 应用程序的防病毒应具有以下设置:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. 使用 IntuneDefender for Endpoint 安全设置管理等工具设置 Defender for Endpoint。 此类工具可帮助确保正确配置 Defender for Endpoint 且统一部署。

    若要使用 Defender for Endpoint 安全设置管理,请在Microsoft Defender门户中转到“终结点>配置管理>终结点安全策略”,然后选择“创建新策略”。 有关详细信息,请参阅在 Microsoft Defender for Endpoint 中管理终结点安全策略

  10. 使用最新版本的 Defender for Endpoint。 Windows 上的 Defender for Endpoint 中正在实现一些新功能,这些功能已通过 SAP 系统进行测试。 这些新功能可减少阻塞并降低 CPU 消耗。 有关新功能的详细信息,请参阅 Microsoft Defender for Endpoint 中的新增功能

部署方法

SAP 和 Microsoft都不建议同时将 Windows 上的 Defender for Endpoint 直接部署到所有开发、QAS 和生产系统,也不建议在没有仔细测试和监视的情况下部署。 在没有充分测试的情况下,以不受控制的方式部署 Defender for Endpoint 和其他类似软件的客户因此而遇到系统停机。

Windows 上的 Defender for Endpoint 和任何其他软件或配置更改应首先部署到开发系统,在 QAS 中验证,然后才部署到生产环境中。

使用 Defender for Endpoint 安全设置管理 等工具在不进行测试的情况下将 Defender for Endpoint 部署到整个 SAP 环境可能会导致停机。

下面是要检查的内容的列表:

  1. 部署启用了 篡改防护 的 Defender for Endpoint。 如果出现问题,请启用 故障排除模式、禁用 篡改保护、禁用 实时保护并配置 计划扫描

  2. 按照 DBMS 供应商建议排除 DBMS 文件和可执行文件。

  3. 分析 SAPMNT、SAP TRANS_DIR、Spool 和作业日志目录。 如果文件数超过 100,000 个,请考虑存档以减少文件数。

  4. 确认用于 SAPMNT 的共享文件系统的性能限制和配额。 SMB 共享源可以是 NetApp 设备、Windows Server共享磁盘或Azure 文件存储 SMB。

  5. 配置排除项,以便所有 SAP 应用程序服务器不会同时扫描 SAPMNT 共享,因为它可能会重载共享存储服务器。

  6. 通常,托管专用非 SAP 文件服务器上的接口文件。 接口文件被识别为攻击途径。 应在此专用文件服务器上激活实时保护。 不应将 SAP 服务器用作接口文件的文件服务器。

    注意

    某些大型 SAP 系统具有 20 个以上的 SAP 应用程序服务器,每个服务器都连接到同一 SAPMNT SMB 共享。 同时扫描同一 SMB 服务器的 20 个应用程序服务器可能会使 SMB 服务器过载。 建议从常规扫描中排除 SAPMNT。

使用 SAP Windows Server Defender for Endpoint 的重要配置设置

  1. 获取Microsoft Defender for Endpoint的概述。 具体而言,请查看有关 下一代保护和EDR 的信息。

    注意

    术语 Defender 有时用于指代整个产品和解决方案套件。 请参阅什么是Microsoft Defender XDR?。 本文重点介绍 Defender for Endpoint 中的防病毒和 EDR 功能。

  2. 检查Microsoft Defender防病毒的状态。 打开命令提示符,并运行以下 PowerShell 命令:

    Get-MpComputerStatus,如下所示:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    的预期输出 Get-MpComputerStatus

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference,如下所示:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    的预期输出 Get-MpPreference

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. 检查 EDR 的状态。 打开命令提示符,然后运行以下命令:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    应会看到类似于以下代码片段的输出:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    要查看的值是 Status: RunningStartType: Automatic

    有关输出的详细信息,请参阅使用 事件查看器 查看事件和错误

  4. 确保Microsoft Defender防病毒是最新的。 确保防病毒保护处于最新状态的最佳方法是使用 Windows 更新。 如果遇到问题或出现错误,请联系安全团队。

    有关更新的详细信息,请参阅Microsoft Defender防病毒安全智能和产品更新

  5. 确保已打开行为监视。 启用篡改防护后,默认启用行为监视。 使用默认配置,即启用篡改防护、启用行为监视和启用实时监视,除非识别出特定问题。

    有关详细信息,请参阅 内置保护有助于防范勒索软件

  6. 确保 已启用实时保护。 Windows 上的 Defender for Endpoint 的当前建议是启用实时扫描、启用篡改防护、启用行为监视并启用实时监视,除非发现特定问题。

    有关详细信息,请参阅 内置保护有助于防范勒索软件

  7. 请记住扫描如何与网络共享配合使用。 默认情况下,Windows 上的 Microsoft Defender 防病毒组件扫描 SMB 共享网络文件系统 (例如,当进程访问这些文件时,Windows 服务器共享\\server\smb-share或 NetApp 共享) 。

    Windows 上的 Defender for Endpoint EDR 可能会扫描 SMB 共享网络文件系统。 在文件修改、删除和移动操作期间,EDR 传感器会扫描某些被标识为 EDR 分析感兴趣的文件。

    Linux 上的 Defender for Endpoint 在 计划扫描期间不会扫描 NFS 文件系统。

  8. 排查感知运行状况或可靠性问题。 若要排查此类问题,请使用 Defender for Endpoint 客户端分析器工具。 在运行 Windows、Linux 或 macOS 的已载入设备上诊断传感器运行状况或可靠性问题时,Defender for Endpoint 客户端分析器非常有用。 在此处获取最新版本的 Defender for Endpoint 客户端分析器: https://aka.ms/MDEAnalyzer

  9. 如果需要帮助,请提交支持案例。 请参阅联系Microsoft Defender for Endpoint支持人员

  10. 如果将生产 SAP VM 与 Microsoft Defender for Cloud 配合使用,请记住 Defender for Cloud 会将 Defender for Endpoint 扩展部署到所有 VM。 如果 VM 未加入 Defender for Endpoint,则它可以用作攻击途径。 如果需要更多时间来测试 Defender for Endpoint,然后再部署到生产环境, 请联系支持人员

有用的命令:Microsoft Defender for Endpoint sap on Windows Server

以下部分介绍如何使用 PowerShell 和命令提示符确认或配置 Defender for Endpoint 设置:

手动更新Microsoft Defender防病毒定义

使用Windows 更新,或运行以下命令:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

应会看到类似于以下代码片段的输出:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

另一个选项是使用此命令:

PS C:\Program Files\Windows Defender> Update-MpSignature

有关这些命令的详细信息,请参阅以下资源:

确定是否打开块模式下的 EDR

当Microsoft Defender防病毒不是主要防病毒产品且在被动模式下运行时,块模式下的 EDR 可提供针对恶意项目的附加保护。 可以通过运行以下命令确定是否启用块模式下的 EDR:

Get-MPComputerStatus|select AMRunningMode

有两种模式:正常模式和被动模式。 仅 AMRunningMode = Normal 对 SAP 系统执行 SAP 系统测试。

有关此命令的详细信息,请参阅 Get-MpComputerStatus

配置防病毒排除项

在配置排除项之前,请确保 SAP Basis 团队与安全团队协调。 排除项应集中配置,而不是在 VM 级别配置。 应使用Intune管理门户通过策略排除共享 SAPMNT 文件系统等排除项。

若要查看排除项,请使用以下命令:

Get-MpPreference | Select-Object -Property ExclusionPath

有关此命令的详细信息,请参阅 Get-MpComputerStatus

有关排除项的详细信息,请参阅以下资源:

配置 EDR 排除项

不建议从 EDR 中排除文件、路径或进程,因为此类排除包括对基于新式非文件的威胁的保护。 如有必要,请通过Microsoft Defender门户创建一个支持案例,其中Microsoft 支持部门指定要排除的可执行文件和/或路径。 请参阅联系Microsoft Defender for Endpoint支持人员

在 Windows 上完全禁用 Defender for Endpoint 以进行测试

警告

除非没有其他方法可以解决或隔离问题,否则不建议禁用安全软件。

应为 Defender for Endpoint 配置 并启用篡改防护 。 若要暂时禁用 Defender for Endpoint 以隔离问题,请使用 故障排除模式

若要关闭 Microsoft Defender 防病毒解决方案的各种子组件,请运行以下命令:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

有关这些命令的详细信息,请参阅 Set-MpPreference

重要

无法在设备上关闭 EDR 子组件。 关闭 EDR 的唯一方法是 关闭设备

若要关闭 云提供的保护 (Microsoft高级保护服务或 MAPS) ,请运行以下命令:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

有关云提供的保护的详细信息,请参阅以下资源: