次の方法で共有

Windows 用の Microsoft マルウェア対策拡張機能

概要

クラウド環境における脅威の状況は絶えず進化しており、組織は強力なセキュリティとコンプライアンスを維持することが不可欠です。 Microsoft Antimalware for Azure は、ウイルス、スパイウェア、その他の悪意のあるソフトウェアの検出と削除に役立つ無料のリアルタイム保護を提供します。 既知の脅威や不要なソフトウェアが Azure システムにインストールまたは実行しようとすると、構成可能なアラートが提供されます。 このソリューションは、Microsoft Security Essentials (MSE)、Microsoft Forefront Endpoint Protection、Microsoft System Center Endpoint Protection、Windows Intune、Windows Defender for Windows 8.0 以降と同じマルウェア対策プラットフォーム上に構築されています。

Azure 向け Microsoft マルウェア対策は、アプリケーションおよびテナント環境のための単一エージェント ソリューションであり、ユーザーの介入なしにバック グラウンドで実行するように作られています。 アプリケーションのワークロードのニーズに基づいて、マルウェア対策監視など、基本的な既定のセキュリティまたは高度なカスタム構成で、保護をデプロイできます。

前提条件

オペレーティング システム

Azure 向け Microsoft マルウェア対策ソリューションには、Microsoft マルウェア対策クライアントとサービス、マルウェア対策クラシック デプロイ モデル、マルウェア対策 PowerShell コマンドレット、および Azure Diagnostics 拡張機能が含まれます。 Microsoft マルウェア対策ソリューションは、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 の各オペレーティング システム ファミリでサポートされます。 Windows Server 2008 オペレーティング システムではサポートされず、Linux でもサポートされません。

Windows Defender は Windows Server 2016 で有効になっている組み込みのマルウェア対策です。 Windows Defender インターフェイスは、一部の Windows Server 2016 SKU でも既定で有効になっています。 Azure VM マルウェア対策拡張機能は、Windows Defender を含む Windows Server 2016 以上の Azure VM に引き続き追加できます。 このシナリオでは、Windows Defender で使用されるオプション の構成ポリシー が拡張機能によって適用されます。 拡張機能では、他のマルウェア対策サービスは展開されません。 詳細については、「 Azure Cloud Services と Virtual Machines の Microsoft マルウェア対策: サンプル」を参照してください。

インターネット接続

Windows 用の Microsoft マルウェア対策では、定期的なエンジンとシグネチャの更新を受信するために、ターゲットの仮想マシンがインターネットに接続されている必要があります。

テンプレートのデプロイ

Azure VM 拡張機能は、Azure Resource Manager テンプレートでデプロイできます。 テンプレートは、デプロイ後の構成 (Azure マルウェア対策へのオンボードなど) が必要な仮想マシンを 1 つ以上デプロイするときに最適です。

仮想マシン拡張機能の JSON 構成は、仮想マシン リソース内に入れ子にすることも、Resource Manager JSON テンプレートのルートまたは最上位レベルに配置することもできます。 JSON 構成の配置は、リソースの名前と種類の値に影響します。 詳細については、子リソースの名前と種類の設定に関する記事を参照してください。

次の例では、VM 拡張機能が仮想マシン リソース内で入れ子になっていることを前提としています。 拡張機能リソースが入れ子になっていると、JSON は仮想マシンの "resources": [] オブジェクトに配置されます。

{
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "name": "[concat(parameters('vmName'),'/', parameters('vmExtensionName'))]",
      "apiVersion": "2019-07-01",
      "___location": "[resourceGroup().___location]",
      "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('vmName'))]"
      ],

      "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.3",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "AntimalwareEnabled": "true",
          "Exclusions": {
            "Extensions": ".ext1;.ext2",
            "Paths": "c:\excluded-path-1;c:\excluded-path-2",
            "Processes": "excludedproc1.exe;excludedproc2.exe"
          },

          "RealtimeProtectionEnabled": "true",
          "ScheduledScanSettings": {
            "isEnabled": "true",
            "scanType": "Quick",
            "day": "7",
            "time": "120"
          }
        },
        "protectedSettings": null
      }
}

Microsoft Antimalware 拡張機能を有効にするには、少なくとも次の内容を含める必要があります。

{ "AntimalwareEnabled": true }

Microsoft Antimalware の JSON 構成のサンプル:

{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 1, "time": 120, "scanType": "Full" },

"Exclusions": { "Extensions": ".ext1;.ext2", "Paths": "c:\excluded-path-1;c:\excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe" }
}

AntimalwareEnabled:

  • 必須パラメーター

  • 値: true/false

    • true = 有効
    • false = エラー出力 (false はサポートされている値ではないため)

リアルタイム保護が有効

  • 値: true/false、既定値は true

    • true = 有効
    • false = 無効

予約スキャン設定

  • 有効かどうか = true/false

  • day = 0 - 8 (0 - 毎日、1 - 日曜日、2 - 月曜日、 ....、7 - 土曜日、8 - 無効)

  • time = 0 - 1440 (深夜 0 時からの分数 - 60 - > 午前 1 時、120 -> 午前 2 時、 ... )

  • scanType = Quick/Full、既定値は Quick

  • isEnabled = true が指定されている唯一の設定である場合、既定値は次のように設定されます: day = 7 (土曜日)、time = 120 (午前 2 時)、scanType = "Quick"

除外

  • セミコロンは、同じリスト内の複数の除外を区切ります。
  • 除外が指定されていない場合、既存の除外は空白で上書きされます。

PowerShell でのデプロイ

適切なコマンドを使用して、デプロイの種類に基づいて、既存の仮想マシンに Azure マルウェア対策拡張機能をデプロイします。

トラブルシューティングとサポート

[トラブルシューティング]

Microsoft マルウェア対策拡張機能のログは、%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(または PaaSAntimalware)\1.5.5.x(バージョン #)\CommandExecution.log で入手できます

エラー コードとその意味

エラー コード 意味 可能なアクション
-2147156224 MSI が別のインストールでビジー状態です 後でインストールを実行してみてください
-2147156221 MSE セットアップが既に実行されています 一度に 1 つインスタンスのみを実行してください
-2147156208 ディスク領域不足 (200 MB 未満) 使用されていないファイルを削除し、インストールを再試行してください
-2147156187 前回のインストール、アップグレード、更新、またはアンインストールによって再起動が要求されました 再起動して、インストールを再試行してください
-2147156121 セットアップで競合他社製品の削除が試みられました。 しかし、競合他社製品のアンインストールが失敗しました 競合他社製品を手動で削除し、再起動してから、インストールを再試行してみてください
-2147156116 ポリシー ファイルの検証に失敗しました 必ず、有効なポリシー XML ファイルを渡して設定してください
-2147156095 セットアップでマルウェア対策サービスを開始できませんでした すべてのバイナリが正しく署名されていて、適切なライセンス ファイルがインストールされていることを確認してください
-2147023293 インストール中に致命的なエラーが発生しました。 Epp.msi AMサービスやミニフィルタードライバーを登録、開始、停止できない 今後の調査のために、ここで EPP.msi からの MSI ログが必要です
-2147023277 インストール パッケージを開くことができませんでした パッケージが存在し、アクセス可能であることを確認するか、アプリケーション ベンダーに連絡して有効な Windows インストーラー パッケージであることを確認してください
-2147156109 Windows Defender は前提条件として必須です
-2147205073 Websso 発行者がサポートされていません
-2147024893 指定されたパスが見つかりません
-2146885619 暗号メッセージではないか、暗号メッセージの形式が正しくありません
-1073741819 0x %p にある命令が 0x%p にあるメモリを参照していました。 メモリを %s にすることができませんでした
1 関数が正しくありません

サポート

この記事についてさらに支援が必要な場合は、Azure と Stack Overflow のフォーラムで Azure エキスパートに問い合わせることができます。 または、Azure サポート インシデントを送信できます。 Azure サポートのサイトに移動して、[サポートの要求] をクリックしてください。 Azure サポートの使用方法の詳細については、「 Microsoft Azure サポートに関する FAQ」を参照してください。