2014/12/05

Azure 仮想マシンの Microsoft Antimalware プレビューを GA に更新&カスタム設定

Microsoft Azureの Microsoft Antimalware がちょっと前に GA になってました。

General Availability: Microsoft Antimalware for Cloud Services and VMs (2014/10/27)
[URL] http://azure.microsoft.com/ja-jp/updates/general-availability-microsoft-antimalware-for-cloud-services-and-vms-2/


Microsoft Antimalware プレビューのときに作成した Azure 仮想マシンがそのまま (IaaSAntimalware 1.0) でしたので、GA 後の最新版 (12/1 現在は IaaSAntimalware 1.1) にしておきました。ついでに、除外設定なんかしてみました。

この投稿は Azure 仮想マシンの場合の設定です。ロールの場合を含めてた詳しい設定方法はこちら...

Microsoft Antimalware for Azure Cloud Services and Virtual Machines
[URL] http://go.microsoft.com/fwlink/?linkid=398023&clcid=0x409

Microsoft Antiware プレビュー (1.0) を GA (1.1) に入れ替え
Windows PowerShell でごにょごにょしてもできると思いますが、Azure の新しいポータル (https://portal.azure.com/) を使うと簡単。インストール済みの拡張機能から IaaSAntimalware 1.0 を削除し、もう一度、追加すれば最新バージョン 1.1 に入れ替えることができます。


Windows PowerShell で (Set-AzureVMExtension で) で入れ替える場合は、最新の Windows Azure PowerShell (12/1 現在では 2014/11/12 リリースのもの、Web PI (http://www.microsoft.com/web/downloads/platform.aspx) とかでインストール可) に入れ替えてから実行すること。

なお、GA 以降の作成した Azure 仮想マシンは、最新の Microsoft Antimalware を作成時に有効化できますので、将来、新バージョンが出るときまでこの操作は必要ないかと。

Azure の新しいポータルから IaaSAntimalware 1.1 以降を追加する場合は、追加時にパスや拡張子、プロセスの除外設定、リアルタイム保護の有効化、スケジュール スキャンの有効化を GUI で設定できるようになってました (→)。

通常の Azure 管理ポータルを使用して既に展開済みの仮想マシンの場合や、新しい管理ポータルを使いたくない場合は、Windows Azure PowerShell (最新のものを使用すること!)を使用して、リモートで除外設定やスケジュール スキャン設定を構成できます。

具体的な手順は...


構成ファイル (JSON ) を作成する
この例は、「現在サポートされているバージョンの Windows を搭載しているエンタープライズ コンピューターでウイルス スキャンを行う場合の推奨設定 (http://support.microsoft.com/kb/822158/)」を参考に一般的なサーバーの除外設定と、リアルタイム保護の有効化、毎日 3:00 にクイック スキャンの自動実行を定義したもの。

C:\work\myconfig.json
---ここから---
{
  "AntimalwareEnabled": true,
  "RealtimeProtectionEnabled": true,      ← リアルタイム保護 true または false
  "ScheduledScanSettings": {                ← スケジュール スキャンの設定
    "isEnabled": true, "day": 0,             ← 0 Daily, 1~7 日~土
    "time": 180,                                  ← 開始時刻 (UTC 00:00 からの分数)
    "scanType": "Quick"                      ← Quick または Full
  },  "Exclusions": {
    "Extensions": ".iso; .vhd; .vuhdx",   ←拡張子で除外する場合の参考
    "Paths": "%allusersprofile%\\NTUser.pol;%systemroot%\\system32\\GroupPolicy\\registry.pol;%windir%\\Security\\database\\*.chk;%windir%\\Security\\database\\*.edb;%windir%\\Security\\database\\*.jrs;%windir%\\Security\\database\\*.log;%windir%\\Security\\database\\*.sdb;%windir%\\SoftwareDistribution\\Datastore\\Datastore.edb;%windir%\\SoftwareDistribution\\Datastore\\Logs\\edb.chk;%windir%\\SoftwareDistribution\\Datastore\\Logs\\edb*.log;%windir%\\SoftwareDistribution\\Datastore\\Logs\\Edbres00001.jrs;%windir%\\SoftwareDistribution\\Datastore\\Logs\\Edbres00002.jrs;%windir%\\SoftwareDistribution\\Datastore\\Logs\\Res1.log;%windir%\\SoftwareDistribution\\Datastore\\Logs\\Res2.log;%windir%\\SoftwareDistribution\\Datastore\\Logs\\tmp.edb"
     "Processes": "%windir%\\system32\\vmms.exe; %windir%\\system32\\vmwp.exe"  ←プロセスを除外する場合の参考
  }
}
---ここまで---
(盲点) Azure 仮想マシンは UTC なのでこの設定だと日本時間 12:00 にスキャンが開始されます。日本時間の AM 03:00 にスケジュール スキャンを開始したければ、time を 1080 (UTC 18:00 × 60 min) に。

Windows Azure PowerShell で Azure サブスクリプションに接続する
$cert = Get-Item Cert:\CurrentUser\My\管理証明書の拇印
Set-AzureSubscription -SubscriptionName "サブスクリプション名" -SubscriptionId サブスクリプションID -Certificate $cert
Select-AzureSubscription -SubscriptionName "サブスクリプション名"

Microsoft Antimalware にカスタム設定を適用する
Get-AzureVM -ServiceName "クラウド サービス名" -Name "仮想マシン名" | Set-AzureVMMicrosoftAntimalwareExtension -AntimalwareConfigFile C:\work\myconfig.json" | Update-AzureVM

確認する
Get-AzureVM -ServiceName "クラウド サービス名" -Name "仮想マシン名" | Get-AzureVMExtension

ちゃんと設定されているか心配なので Microsoft Antimalware の GUI で確認してみた

Microsoft Antimalwareの GUI は既定で使用がロックされています。ロックを解除するには、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\UX Configutration\UILockdown を 1 から 0 に変更するといいですよ。以前 (↓)紹介した CleanupPolicy.xml によるポリシーのクリアはやめたほうがいいみたい。Azure 用のポリシー設定 () が GUI のロックダウン以外にもあるみたいなので。

Azure IaaS に Microsoft Antimalware プレビューが来た (2014/05/12)

ところで、Microsoft Azure は Microsoft Antimalware は現時点で Technical Preview をサポートしていないそうです。Windows Server Technical Preview からは Windows Defender が既定でインストールされますけど。

Azure Cloud Services および Virtual Machines 用 Microsoft Antimalware
[URL] http://blogs.msdn.com/b/windowsazurej/archive/2014/11/18/blog-microsoft-antimalware-for-azure-cloud-services-and-virtual-machines.aspx
 

0 件のコメント: