Del via

Microsoft Defender for Endpoint på Windows Server med SAP

  • Artikel

Gælder for:

  • Microsoft Defender for Endpoint til servere
  • Microsoft Defender til Servers Plan 1 eller Plan 2

Hvis din organisation bruger SAP, er det vigtigt at forstå kompatibiliteten og supporten mellem EDR-funktioner (antivirus- og slutpunktsregistrering og -svar) i Microsoft Defender for Endpoint og dine SAP-programmer. Denne artikel hjælper dig med at forstå den support, der leveres af SAP til sikkerhedsløsninger til beskyttelse af slutpunkter, f.eks. Defender for Endpoint, og hvordan de interagerer med SAP-programmer.

I denne artikel beskrives det, hvordan du bruger Defender for Endpoint på Windows Server sammen med SAP-programmer, f.eks. NetWeaver og S4 Hana og SAP-separate programmer, f.eks LiveCache. I denne artikel fokuserer vi på antivirus- og EDR-funktioner i Defender for Endpoint. Defender for Endpoint indeholder dog yderligere funktioner. Du kan finde en oversigt over alle funktionerne i Defender for Endpoint under Microsoft Defender for Endpoint.

Denne artikel dækker ikke SAP-klientsoftware, f.eks. SAPGUI eller Microsoft Defender Antivirus på Windows-klientenheder.

Virksomhedssikkerhed og dit SAP Basis-team

Virksomhedssikkerhed er en specialistrolle, og de aktiviteter, der er beskrevet i denne artikel, skal planlægges som en fælles aktivitet mellem dit virksomhedssikkerhedsteam og dit SAP Basis-team. Virksomhedssikkerhedsteamet skal koordinere med SAP Basis-teamet og sammen designe din Defender for Endpoint-konfiguration og analysere eventuelle udeladelser.

Få en oversigt over Defender for Endpoint

Defender for Endpoint er en komponent i Microsoft Defender XDR og kan integreres med din SIEM/SOAR-løsning.

Før du begynder at planlægge eller installere Defender for Endpoint på Windows Server med SAP, skal du bruge et øjeblik på at få et overblik over Defender for Endpoint. Følgende video indeholder en oversigt:

Du kan finde flere detaljerede oplysninger om Defender for Endpoint og Microsoft-sikkerhedstilbud i følgende ressourcer:

Defender for Endpoint indeholder funktioner, der ligger uden for denne artikels område. I denne artikel fokuserer vi på to hovedområder:

  • Næste generations beskyttelse (som omfatter antivirusbeskyttelse). Næste generations beskyttelse er et antivirusprodukt som andre antivirusløsninger til Windows-miljøer.
  • EDR. EDR-funktioner registrerer mistænkelig aktivitet og systemkald og giver et ekstra lag af beskyttelse mod trusler, der har omgået antivirusbeskyttelse.

Microsoft og andre leverandører af sikkerhedssoftware sporer trusler og leverer oplysninger om tendenser. Du kan få flere oplysninger under Cyberthreats, virus og malware – Microsoft Sikkerhedsviden.

Bemærk!

Du kan finde oplysninger om Microsoft Defender til SAP på Linux i Installationsvejledning til Microsoft Defender for Endpoint på Linux til SAP. Defender for Endpoint på Linux er markant anderledes end Windows-versionen.

SAP-supporterklæring om Defender for Endpoint og andre sikkerhedsløsninger

SAP leverer grundlæggende dokumentation til konventionelle antivirusløsninger til filscanning. Konventionelle antivirusløsninger til filscanning sammenligner filsignaturer med en database med kendte trusler. Når en inficeret fil identificeres, giver antivirussoftwaren typisk besked om og sætter filen i karantæne. Mekanismerne og funktionsmåden for antivirusløsninger til filscanning er rimeligt velkendte og forudsigelige; Derfor kan SAP-understøttelse give et grundlæggende niveau af support til SAP-programmer, der interagerer med antivirussoftwaren til filscanning.

Filbaserede trusler er kun én mulig vektor for skadelig software. Filløs malware og malware, der lever af jorden, meget polymorfe trusler, der muterer hurtigere end traditionelle løsninger kan holde op med, og menneskeligt drevne angreb, der tilpasser sig, hvad modstandere finder på kompromitterede enheder. Traditionelle antivirussikkerhedsløsninger er ikke tilstrækkelige til at stoppe sådanne angreb. Funktioner, der understøttes af kunstig intelligens (AI) og enhedslæring (ML), f.eks. funktionsblokering og indeslutning, er påkrævet. Sikkerhedssoftware, f.eks. Defender for Endpoint, har avancerede trusselsbeskyttelsesfunktioner til at afhjælpe moderne trusler.

Defender for Endpoint overvåger løbende operativsystemkald, f.eks. fillæsning, filskrivning, opret socket og andre handlinger på procesniveau. Defender for Endpoint EDR-sensoren henter opportunistiske låse på lokale NTFS-filsystemer og vil derfor næppe påvirke programmer. Opportunistiske låse er ikke mulige på fjernnetværksfilsystemer. I sjældne tilfælde kan en lås medføre generelle ikke-specifikke fejl, f.eks . adgang nægtet i SAP-programmer.

SAP kan ikke yde nogen form for support til EDR/XDR-software, f.eks. Microsoft Defender XDR eller Defender for Endpoint. Mekanismerne i sådanne løsninger er adaptive; derfor er de ikke forudsigelige. Desuden kan problemer muligvis ikke gengives. Når der er identificeret problemer på systemer, der kører avancerede sikkerhedsløsninger, anbefaler SAP, at du deaktiverer sikkerhedssoftwaren og derefter forsøger at genskabe problemet. Der kan derefter oprettes en supportsag med leverandøren af sikkerhedssoftwaren.

Du kan få flere oplysninger om SAP Support-politikken under 3356389 – Antivirus eller anden sikkerhedssoftware, der påvirker SAP-handlinger.

Her er en liste over SAP-artikler, du kan bruge efter behov:

Forsigtighed

Microsoft Defender for Endpoint på indeholder en funktion med navnet Endpoint Data Loss Prevention (Endpoint DLP). Slutpunkt DLP bør ikke aktiveres på nogen Windows Server, der kører NetWeaver, S4, Adobe Document Server, Arkiv Servers, TREX, LiveCache eller Content Server. Det er desuden vigtigt, at Windows-klienter, f.eks. en bærbar Windows-computer, der kører Windows 11 med Slutpunkt DLP aktiveret, aldrig får adgang til et netværksshare, der bruges af et SAP-program. Afhængigt af konfiguration og politikker er det muligt for en Windows-klient-pc at skrive DLP-attributter til et netværksshare.

Adobe Document Servers eller Arkiv systemer, der hurtigt skriver mange filer til SMB-shares og/eller grænsefladefiloverførselsshares med DLP-aktiveret, kan medføre beskadigelse af filer eller "adgang nægtet"-meddelelser.

Vis ikke SAP-filsystemer på eksterne Windows-klient-pc'er, og aktivér ikke Slutpunkt DLP på Windows-servere, der kører SAP-software. Tillad ikke, at Windows-klienter får adgang til SAP-servershares. Brug Robocopy eller et lignende værktøj til at kopiere Adobe Document eller andre grænsefladefiler til en Virksomheds-NAS-løsning.

SAP-programmer på Windows Server: Top 10-anbefalinger

  1. Begræns adgangen til SAP-servere, bloker netværksporte, og udfør alle andre almindelige sikkerhedsbeskyttelsesforanstaltninger. Dette første skridt er vigtigt. Trusselslandskabet har udviklet sig fra filbaserede virus til filfri komplekse og avancerede trusler. Handlinger, f.eks . blokering af porte og begrænsning af logon/adgang til VM'er , anses ikke længere for tilstrækkelige til fuldt ud at afhjælpe moderne trusler.

  2. Udrul Først Defender for Endpoint til ikke-produktionssystemer, før du udruller til produktionssystemer. Udrulning af Defender for Endpoint direkte til produktionssystemer uden test er yderst risikabelt og kan føre til nedetid. Hvis du ikke kan udskyde udrulningen af Defender for Endpoint til dine produktionssystemer, kan du overveje midlertidigt at deaktivere ændringsbeskyttelse og beskyttelse i realtid.

  3. Husk, at beskyttelse i realtid er aktiveret som standard på Windows Server. Hvis der er identificeret problemer, der kan være relateret til Defender for Endpoint, anbefales det at konfigurere udeladelser og/eller åbne en supportsag via Microsoft Defender-portalen.

  4. Få SAP Basis-teamet og dit sikkerhedsteam til at arbejde sammen om udrulningen af Defender for Endpoint. De to teams skal i fællesskab oprette en faseinddelt udrulnings-, test- og overvågningsplan.

  5. Brug værktøjer som PerfMon (Windows) til at oprette en baseline for ydeevne, før du udruller og aktiverer Defender for Endpoint. Sammenlign udnyttelse af ydeevnen før og efter aktivering af Defender for Endpoint. Du kan få flere oplysninger under perfmon.

  6. Udrul den nyeste version af Defender for Endpoint, og brug de nyeste versioner af Windows, ideelt set Windows Server 2019 eller nyere. Se Minimumkrav for Microsoft Defender for Endpoint.

  7. Konfigurer visse udeladelser for Microsoft Defender Antivirus. Disse omfatter:

    • DBMS-datafiler, logfiler og midlertidige filer, herunder diske, der indeholder sikkerhedskopifiler
    • Hele indholdet af SAPMNT-mappen
    • Hele indholdet af SAPLOC-mappen
    • Hele indholdet af TRANS-mappen
    • Hele indholdet af mapper for separate motorer såsom TREX

    Erfarne brugere kan overveje at bruge kontekstafhængige fil- og mappeudeladelser.

    Du kan få flere oplysninger om DBMS-udeladelser ved at bruge følgende ressourcer:

  8. Kontrollér Defender for indstillinger for slutpunkt. Microsoft Defender Antivirus med SAP-programmer skal i de fleste tilfælde have følgende indstillinger:

    
AntivirusEnabled                   : True
AntivirusSignatureAge              : 0
BehaviorMonitorEnabled             : True
DefenderSignaturesOutOfDate        : False
IsTamperProtected                  : True
RealTimeProtectionEnabled          : True

  9. Brug værktøjer, f.eks. Intune eller Defender for Endpoint Security Settings Management til at konfigurere Defender for Endpoint. Disse værktøjer kan hjælpe med at sikre, at Defender for Endpoint er konfigureret korrekt og udrullet ensartet. Hvis du vil bruge Defender til administration af sikkerhedsindstillinger for Slutpunkt, skal du følge disse trin:

    1. I Microsoft Defender-portalen skal du gå til Endpoints>Configuration management>Endpoint security policies.

    2. Vælg Opret ny politik, og følg vejledningen. Du kan finde flere oplysninger under Administrer sikkerhedspolitikker for slutpunkter i Microsoft Defender for Endpoint.

  10. Brug den seneste version af Defender for Endpoint. Der implementeres flere nye funktioner i Defender for Endpoint på Windows, og disse funktioner blev testet med SAP-systemer. Disse nye funktioner reducerer blokering og reducerer CPU-forbruget. Du kan få flere oplysninger om nye funktioner under Nyheder i Microsoft Defender for Endpoint.

Installationsmetodologi

SAP og Microsoft anbefaler begge ikke udrulning af Defender for Endpoint på Windows direkte til alle udviklings-, QAS- og produktionssystemer samtidig og/eller uden omhyggelig test og overvågning. Kunder, der udrullede Defender for Endpoint og anden lignende software på en ikke-kontrollerede måde uden tilstrækkelig test, oplevede derfor systemets nedetid.

Defender for Endpoint på Windows og andre software- eller konfigurationsændringer skal først udrulles i udviklingssystemer, valideres i QAS og først derefter udrulles i produktionsmiljøer.

Brug af værktøjer, f.eks . administration af sikkerhedsindstillinger for Defender for Endpoint til at installere Defender for Endpoint i et helt SAP-liggende format uden test, vil sandsynligvis medføre nedetid.

Her er en liste over, hvad du skal kontrollere:

  1. Installer Defender for Endpoint med tamperbeskyttelse aktiveret. Hvis der opstår problemer, skal du aktivere fejlfindingstilstand, deaktivere beskyttelse mod ændring, deaktivere beskyttelse i realtid og konfigurere planlagte scanninger.

  2. Udelad DBMS-filer og eksekverbare filer efter anbefalingerne fra dbms-forhandleren.

  3. Analysér mapperne SAPMNT, SAP TRANS_DIR, Spool og Joblog. Hvis der er mere end 100.000 filer, kan du overveje at arkivere for at reducere antallet af filer.

  4. Bekræft grænserne for ydeevnen og kvoterne for det delte filsystem, der bruges til SAPMNT. SMB-delingskilden kan være en NetApp-apparat, en Windows Server delt disk eller Azure Files SMB.

  5. Konfigurer udeladelser, så alle SAP-programservere ikke scanner SAPMNT-sharet samtidig, da det kan overbelaste din delte lagerserver.

  6. Generelt er værtsgrænsefladefiler på en dedikeret ikke-SAP-filserver. Grænsefladefiler genkendes som en angrebsvektor. Beskyttelse i realtid skal aktiveres på denne dedikerede filserver. SAP-servere bør aldrig bruges som filservere til grænsefladefiler.

    Bemærk!

    Nogle store SAP-systemer har mere end 20 SAP-programservere, der hver har en forbindelse til det samme SAPMNT SMB-share. 20 programservere, der scanner den samme SMB-server samtidigt, kan overbelaste SMB-serveren. Det anbefales at udelade SAPMNT fra almindelige scanninger.

Vigtige konfigurationsindstillinger for Defender for Endpoint på Windows Server med SAP

  1. Få et overblik over Microsoft Defender for Endpoint. Gennemgå især oplysninger om næste generations beskyttelse og EDR.

    Bemærk!

    Udtrykket Defender bruges nogle gange til at henvise til en hel pakke af produkter og løsninger. Se Hvad er Microsoft Defender XDR?. I denne artikel fokuserer vi på antivirus- og EDR-funktioner i Defender for Endpoint.

  2. Kontrollér status for Microsoft Defender Antivirus. Åbn kommandoprompten, og kør følgende PowerShell-kommandoer:

    Get-MpComputerStatus på følgende måde:

    
Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Forventet output for Get-MpComputerStatus:

    
DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference på følgende måde:

    
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Forventet output for Get-MpPreference:

    
AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Kontrollér EDR-status. Åbn kommandoprompten, og kør derefter følgende kommando:

    
PS C:\Windows\System32> Get-Service -Name sense | FL *

    Du får vist output, der ligner følgende kodestykke:

    
Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    De værdier, du vil have vist, er Status: Running og StartType: Automatic. Du kan få flere oplysninger under Gennemse hændelser og fejl ved hjælp af Logbog.

  4. Sørg for, at Microsoft Defender Antivirus er opdateret. Den bedste måde at sikre, at din antivirusbeskyttelse er opdateret på, er ved hjælp af Windows Update. Hvis du støder på problemer eller får vist en fejl, skal du kontakte dit sikkerhedsteam.

    Du kan få flere oplysninger om opdateringer under Microsoft Defender Sikkerhedsintelligens og produktopdateringer til Antivirus.

  5. Kontrollér, at overvågning af funktionsmåde er slået til. Når beskyttelse mod ændring er aktiveret, er overvågning af funktionsmåde slået til som standard. Brug standardkonfigurationen for aktiveret beskyttelse mod manipulation, aktiveret overvågning af funktionsmåde og overvågning i realtid aktiveret, medmindre der identificeres et bestemt problem.

    Du kan få flere oplysninger under Indbygget beskyttelse hjælper med at beskytte mod ransomware.

  6. Sørg for, at beskyttelse i realtid er aktiveret. Den aktuelle anbefaling for Defender for Endpoint på Windows er at aktivere scanning i realtid, hvor manipulationsbeskyttelse er aktiveret, overvågning af funktionsmåde er aktiveret og overvågning i realtid aktiveret, medmindre der identificeres et specifikt problem.

    Du kan få flere oplysninger under Indbygget beskyttelse hjælper med at beskytte mod ransomware.

  7. Vær opmærksom på, hvordan scanninger fungerer med netværksshares. Som standard scanner komponenten Microsoft Defender Antivirus på Windows SMB-delte netværksfilsystemer (f.eks. et Windows-servershare \\server\smb-share eller et NetApp-share), når disse filer tilgås af processer.

    EDR i Defender for Endpoint på Windows scanner muligvis SMB-delte netværksfilsystemer. EDR-sensoren scanner visse filer, der er identificeret som interessante for EDR-analyse under filændring, sletning og flytning.

    Defender for Endpoint på Linux scanner ikke NFS-filsystemer under planlagte scanninger.

  8. Foretag fejlfinding af problemer med sansetilstand eller pålidelighed. Hvis du vil foretage fejlfinding af sådanne problemer, skal du bruge værktøjet Defender for Endpoint-klientanalyse. Defender for Endpoint-klientanalysen kan være nyttig, når du diagnosticerer problemer med sensortilstand eller pålidelighed på onboardede Windows-, Linux- eller Mac-enheder. Hent den nyeste version af Defender for Endpoint-klientanalysen her: https://aka.ms/MDEClientAnalyzer.

  9. Åbn en supportsag , hvis du har brug for hjælp. Se Kontakt Microsoft Defender for Endpoint support.

  10. Hvis du bruger SAP VM'er til produktion med Microsoft Defender til Cloud, skal du huske på, at Defender for Cloud udruller Defender for Endpoint-udvidelsen til alle VM'er. Hvis en VM ikke er onboardet til Defender for Endpoint, kan den bruges som en angrebsvektor. Hvis du har brug for mere tid til at teste Defender for Endpoint, før du udruller til dit produktionsmiljø, skal du kontakte support.

Nyttige kommandoer: Microsoft Defender for Endpoint med SAP på Windows Server

Dette afsnit indeholder kommandoer til at bekræfte eller konfigurere Defender for Endpoint-indstillinger ved hjælp af PowerShell og kommandoprompt:

Opdater Microsoft Defender Antivirus-definitioner manuelt

Brug Windows Update, eller kør følgende kommando:


PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Du får vist et output, der ligner følgende kodestykke:


Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

En anden mulighed er at bruge denne kommando:


PS C:\Program Files\Windows Defender> Update-MpSignature

Du kan få flere oplysninger om disse kommandoer i følgende ressourcer:

Find ud af, om EDR i bloktilstand er slået til

EDR i blokeringstilstand giver ekstra beskyttelse mod skadelige artefakter, når Microsoft Defender Antivirus ikke er det primære antivirusprodukt og kører i passiv tilstand. Du kan afgøre, om EDR i bloktilstand er aktiveret, ved at køre følgende kommando:


Get-MPComputerStatus|select AMRunningMode

Der er to tilstande: Normal og Passiv tilstand. Vi brugte AMRunningMode = Normal ved test af SAP-systemer.

Du kan få flere oplysninger om denne kommando under Get-MpComputerStatus.

Konfigurer antivirusudeladelser

Før du konfigurerer udeladelser, skal du sørge for, at SAP Basis-teamet koordinerer med dit sikkerhedsteam. Udeladelser skal konfigureres centralt og ikke på VM-niveau. Nogle undtagelser, f.eks. den delte udeladelse af SAPMNT-filsystemet, skal konfigureres med en politik på Microsoft Intune administrationsportalen.

Hvis du vil have vist udeladelser, skal du bruge følgende kommando:


Get-MpPreference | Select-Object -Property ExclusionPath

Du kan få flere oplysninger om denne kommando under Get-MpComputerStatus.

Du kan få flere oplysninger om udeladelser i følgende ressourcer:

Konfigurer EDR-udeladelser

Det anbefales ikke at udelade filer, stier eller processer fra EDR, fordi sådanne undtagelser kompromitterer beskyttelsen mod moderne, ikke-filbaserede trusler. Hvis det er nødvendigt, skal du åbne en supportsag på Microsoft Defender-portalen og angive de eksekverbare filer og/eller stier, der skal udelades. Du kan få flere oplysninger under Kontakt Microsoft Defender for Endpoint support.

Deaktiver Defender for Endpoint på Windows til testformål

Forsigtighed

Det anbefales ikke at deaktivere sikkerhedssoftware, medmindre der ikke er noget andet alternativ til at løse eller isolere et problem.

Defender for Endpoint skal konfigureres med manipulationsbeskyttelse slået til. Hvis du vil deaktivere Defender for Endpoint midlertidigt for at isolere problemer, skal du bruge fejlfindingstilstand.

Hvis du vil lukke forskellige underkomponenter i Microsoft Defender Antivirus-løsningen, skal du køre følgende kommandoer:


Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Du kan få flere oplysninger om disse kommandoer under Angiv-MpPreference.

Vigtigt!

Du kan ikke slå EDR-underkomponenter fra på en enhed. Den eneste måde at slå EDR fra på er ved at gå om bord på enheden.

Hvis du vil slå skybaseret beskyttelse fra (også kaldet Microsoft Advanced Protection Service eller MAPS), skal du køre følgende kommandoer:


PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Du kan få flere oplysninger om skybaseret beskyttelse i følgende ressourcer: