Endpoint Protection

Hesablama resursunun yerləşdiyi lokasiyadan asılı olmayaraq, bütün mümkün vasitələrlə bu resursun təhlükəsizliyin artırmaq vacibdir. Microsoft Antimalware  endpoint-lərdə yarana biləcək təhlükələri aşkar edib qarsısını almaq üçün nəzərdə tutulmuş bir həlldir.

Cloud xidmətləri və Azure virtual maşınları üçün nəzərədə tutulan – Microsoft Anti-malware proqramı Microsoft Security Essentials, Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune və Windows 10 üçün Windows Defender kimi eyni Antimalware platformasına əsaslanır. Microsoft anti-malware, istifadəçi müdaxiləsi olmadan, background-da çalışmaq üçün nəzərdə tutulmuşdur.

Microsoft Antimalware bir neçə xüsusiyyətə malikdir. Bunlar:

• Real Time Protection (Real vaxtda müdafiə)
  • Virtual maşın və Cloud servisləri monitorinq edərək zərərvericiləri aşkar edir və onların execute olmasının qarşısın alır.
• Schedulied Scanning (Planlaşdırma əsasında Skan)
  • Planlaşdırma əsasında (konkret vaxt və tarix göstərilərək) zərərvericilərə qarşı skan funksiyası
• Malware Remediation (zərərvericinin izolyasiyası)
  • Avtomatik olaraq aşkar olunmuş zərərvericilərin karantinə alınması və ya silinməsi
• Signature Updates (İmzaların yenilənməsi)
  • Son təhlükəsizlik imzaları vasitəsilə bazanın yenilənməsi
• Samples reporting (Nümunələrin report edilməsi)
  • Nümunələrin Microsoft servisinə göndərilməsi.
• Antimalware event collection (Zərərvericilərin qeydiyyata alınması)
  • Aşkar edilmiş, silinmiş, blok olunmuş və sairə prosseslərin qeydiyyata alınması
• Exclusions (İstisnalar)
  • Fayl, prosses və ya location-lara görə istisnaların təyini
• Antimalware engine and platform updates (antimalware nüvəsi və platformasının yenilənməsi)
  • Programın ümumi core və platform versiyalarının yenilənməsi.

Microsoft Antimalware işləmə prinsipi (Antimalware Workflow)

Administrator Antimalware xidmətini bir neçə yol ilə deploy edə bilər.

• Virtual maşınlarda – Azure Portalda Security Extensions vasitəsilə
• Virtual maşınlarda – Visual Studio-da Server Explorer vasitəsilə
• Virtual maşın və Cloud servislərdə – Classic deployment vasitəsilə
• Virtual maşın və Cloud servislərdə – Antimalware PowerShell vasitəsilə

Azure portal və ya Powershell əmrləri Antimalware paketlərin Azure sistemində əvvəlcədən təyin olunmuş lokasiyaya yerləşdirir. Azure guest agentləri isə (Fabrik agentlər) həmin paketləri konfiqurasiyalar əsasında tətbiq edir. Heç bir xüsusi konfiqurasiya olmadığı təqdirdə, Antimalware xidməti default olaraq aktivləşdirilir.

Antimalware xidməti birinci dəfə işləməyə başlayan kimi, internetdən axrıncı versiya protection engine (qoruma mühərriki) və signature-ları yükləyib quraşdırır. Antimalware öz servis logların əməliyyat sistemində “Microsoft Antimalware” event source-da (hadisə mənbəyi) saxlayır. Bu event-lərə Antimalware client vəziyyəti, qorunma və görülən tədbirlər, yeni və köhnə sazlanma parametrlərin (Configuration settings), yenilənmələrin (engine updates), signature və digər göstəricilər qeydə alınır.

Antimalware deployment

1. Administrator yetkisi olan bir hesabı istifadə edərək Azure portalına daxil olun.
2. Azure Portal səhifəsində Antimalware quraşdırmaq istədiyiniz Virtual maşını seçin.
3. VM-i seçdikdən sonra sol paneldən Extensions bölümünə keçin

4. Burada + ADD düyməsini basaraq extension siyahısına daxil olun
5. Microsoft Antimalware extension-u seçərək Create düyməsinə click edin.

6. Açılan pəncərədə yuxarıda qeyd etdiyimiz Antimalware funksiyaların görə bilərik, bu konfiqurasiyaları istəyimizə uyğun modifikasiya edib və ya default olaraq saxalayaraq “OK” düyməsinə click edin.

Default olaraq anti-malware % ProgramFiles% \ Microsoft Security Client qovluğuna quraşdırılır.

VM-lərdə Antimalware User İnterface-i yoxdur. Bəzi xüsusi policy-lər vasitəsilə Uİ-ni aktiv etmək mümkündür, lakin 99% hallarda buna ehtiyac olmur.

Prossesin işə düşməsini Task manager-dən görə bilərsiniz.

Hər hansı Antimalware quraşdırılmış Virtual maşında manual scan üçün Command Line vasitəsilə “mpcmdrun” əmrindən də istifadə edə bilərsiniz.

Nümunə üçün “EİCAR” virusunu scan edək:

c:\>”\Program Files\Microsoft Security Client”\mpcmdrun -scan -scantype 3 -file c:\EICAR-131034157784199385.txt Scan starting…

Scan finished.

Scanning c:\EICAR-131034157784199385.txt found 1 threats.

Cleaning started…

Cleaning finished.

Antimalware Silinməsi

Anti-malware vasitəsini Azure portalını istifadə edərək tez bir zamanda silə bilərsiz. Bunun üçün Antimalware silinməli olan Virtual maşını seçərək, install prossesində olduğu kimi extensions bölümünə daxil oluruq. Burada siz İaaSAntimalware extension-un üzərində sağ düyməni click edərək “Uninstal” edə bilərsiniz.

Bundan əlavə “Remove-AzureVMMicrosoftAntimalwareExtension” əmrin istifadə edərək virtual maşından Antimalware-ni silmək mümkündür.