Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
SE APLICA A:
2013 
2016 2019 Subscription Edition SharePoint en Microsoft 365
Introducción
El panorama de la ciberseguridad ha cambiado fundamentalmente, como lo demuestra los ataques complejos a gran escala y las señales de que el ransomware operado por el ser humano está en aumento. Más que nunca, es fundamental mantener la infraestructura local segura y actualizada, incluidos los servidores de SharePoint.
Para ayudar a los clientes a proteger sus entornos y responder a las amenazas asociadas de los ataques, estamos introduciendo la integración entre SharePoint Server y la interfaz de examen antimalware (AMSI) de Windows. AMSI es un estándar versátil que permite a las aplicaciones y servicios integrarse con cualquier producto antimalware compatible con AMSI presente en un equipo.
La funcionalidad de integración de AMSI está diseñada para evitar que las solicitudes web malintencionadas lleguen a los puntos de conexión de SharePoint. Por ejemplo, para aprovechar una vulnerabilidad de seguridad en un punto de conexión de SharePoint antes de que se haya instalado la corrección oficial de la vulnerabilidad de seguridad.
A partir de SharePoint Server Edición de Suscripción (SPSE) versión 25H1, AMSI amplía sus capacidades de examen para incluir los cuerpos de las solicitudes HTTP. Esta característica de examen del cuerpo de la solicitud es útil para detectar y mitigar amenazas que se pueden incrustar en cargas de solicitud, lo que proporciona una solución de seguridad más completa.
Nota:
La nueva característica de examen del cuerpo de la solicitud solo está disponible para SharePoint Server Edición de Suscripción usuarios. Ha estado disponible en el anillo de versión temprana hasta ahora y se incluirá en el anillo de Standard a partir de la PU de septiembre de SPSE 2025. Es posible que los usuarios del anillo de versión temprana vean "Modo completo" como el modo predeterminado para el examen del cuerpo desde la PU de septiembre de SPSE 2025.
Integración de AMSI con SharePoint Server
Cuando una solución antivirus o antimalware compatible con AMSI se integra con SharePoint Server, puede examinar HTTP y HTTPS realizar solicitudes al servidor e impedir que SharePoint Server procese solicitudes peligrosas. Cualquier antivirus o programa antimalware compatible con AMSI que esté instalado en el servidor realiza el examen en cuanto el servidor comienza a procesar la solicitud.
El propósito de la integración de AMSI no es reemplazar las defensas antivirus o antimalware existentes ya instaladas en el servidor; es para proporcionar una capa adicional de protección frente a solicitudes web malintencionadas realizadas a puntos de conexión de SharePoint. Los clientes deben implementar soluciones antivirus compatibles con SharePoint en sus servidores para evitar que sus usuarios carguen o descarguen archivos con virus.
Requisitos previos
Antes de habilitar la integración de AMSI, compruebe los siguientes requisitos previos en cada servidor de SharePoint:
- Windows Server 2016 o superior
- SharePoint Server Edición de Suscripción versión 22H2 o posterior
- SharePoint Server 2019 compilación 16.0.10396.20000 o posterior (KB 5002358: actualización de seguridad del 14 de marzo de 2023 para SharePoint Server 2019)
- SharePoint Server 2016 compilación 16.0.5391.1000 o posterior (KB 5002385: actualización de seguridad del 11 de abril de 2023 para SharePoint Server 2016)
- Microsoft Defender con la versión del motor av en la versión 1.1.18300.4 o posterior (como alternativa, un proveedor compatible de antivirus o antimalware de terceros compatible con AMSI)
Activar o desactivar AMSI para SharePoint Server
A partir de las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 y la actualización de características de la versión 23H2 para SharePoint Server Edición de Suscripción, la integración de AMSI con SharePoint Server se habilita de forma predeterminada para todas las aplicaciones web de SharePoint Server. Esta modificación tiene como objetivo mejorar la seguridad general de los entornos de cliente y mitigar posibles infracciones de seguridad.
Para iniciar las actualizaciones de seguridad de septiembre de 2023, los clientes solo necesitan instalar la actualización y ejecutar el Asistente para configuración de productos de SharePoint.
Nota:
Si los clientes omiten la instalación de la actualización pública de septiembre de 2023, este cambio se activa al instalar la actualización pública posterior que incluye las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 o la actualización de características de la versión 23H2 para SharePoint Server Edición de Suscripción.
A partir de la actualización pública de septiembre de 2025, la integración de AMSI para SharePoint Server Edición de Suscripción/2016/2019 es un componente obligatorio y ya no se puede desactivar.
Si los clientes prefieren no tener habilitada la integración de AMSI automáticamente en sus granjas de servidores de SharePoint Server, pueden seguir estos pasos:
- Instale las actualizaciones de seguridad de septiembre de 2023 para SharePoint Server 2016/2019 o la actualización de características de la versión 23H2 para SharePoint Server Edición de Suscripción.
- Ejecute el Asistente para configuración de productos de SharePoint.
- Siga los pasos estándar para deshabilitar la característica de integración de AMSI en las aplicaciones web.
Si sigue estos pasos, SharePoint no intentará volver a habilitar la característica al instalar futuras actualizaciones públicas.
Configuración de AMSI a través de la interfaz de usuario
Si usa versiones anteriores a la actualización pública de septiembre de 2025 para SharePoint Server 2016 y 2019 o versiones anteriores de SharePoint Server Edición de Suscripción versión 25H1, siga estos pasos para desactivar o activar manualmente la integración de AMSI para cada aplicación web:
- Abra Administración central de SharePoint y seleccione Administración de aplicaciones.
- En Aplicaciones web, seleccione Administrar aplicaciones web.
- Seleccione la aplicación web para la que desea habilitar la integración de AMSI y seleccione Administrar características en la barra de herramientas.
- En la pantalla Examen antimalware de SharePoint Server , seleccione Desactivar para desactivar la integración de AMSI o seleccione Activar para activar la integración de AMSI.
Si instaló la actualización de características de SharePoint Server Edición de Suscripción versión 25H1, siga estos pasos para activar o desactivar y configurar los valores de integración de AMSI:
Abra Administración central de SharePoint.
Vaya a la sección Seguridad.
Seleccione Configuración de AMSI.
En la página Configuración de examen de AMSI, seleccione la aplicación web deseada.
A continuación, puede optar por habilitar o deshabilitar la característica de examen de AMSI seleccionando la opción adecuada.
- Para habilitar el examen de AMSI, seleccione el botón Habilitar característica de examen de AMSI . Esto garantiza que se examinan todos los encabezados de solicitud HTTP.
- Para deshabilitar el examen, seleccione el botón Deshabilitar la característica de examen de AMSI por completo .
Después de habilitar, seleccione el modo Detección del cuerpo de la solicitud para examinar el cuerpo de la solicitud según sus requisitos específicos en las siguientes opciones disponibles:
- Desactivado: deshabilita el examen del cuerpo. Esto no afectará a la característica de examen de encabezados existente.
- Modo equilibrado: examina los cuerpos de solicitud que se envían a puntos de conexión confidenciales predefinidos por el sistema y otros puntos de conexión que se especifican para incluirse en el examen del cuerpo.
- Modo completo: examina los cuerpos de solicitud que se envían a todos los puntos de conexión, excepto los excluidos explícitamente, para mejorar el rendimiento y mantener una garantía de seguridad justa.
Especifique los puntos de conexión que deben incluirse o excluirse del examen del cuerpo según el modo seleccionado y haga clic en Agregar.
Asegúrese de que los puntos de conexión contengan toda la ruta de acceso del URI de solicitud. Por ejemplo, incluya
/SitePages/Home.aspx, para que pueda examinar direcciones URL comohttp://test.contoso.com/SitePages/Home.aspx, yhttp://test.contoso.com/sites/marketing/SitePages/Home.aspx. Para comprender la estructura de sintaxis del URI, consulte Identificador uniforme de recursos: Wikipedia.
Después de realizar los cambios necesarios, seleccione Aceptar para aplicarlos de forma eficaz.
Nota:
- Cada aplicación web debe configurarse para AMSI de forma independiente y la lista de puntos de conexión especificados solo se aplica a esa aplicación web.
- La nueva característica de examen del cuerpo permanecerá deshabilitada después de la actualización si la AMSI está deshabilitada para una aplicación web.
- El examen del cuerpo no se puede habilitar sin habilitar el examen de encabezados.
- La configuración predeterminada para el examen del cuerpo es el modo equilibrado. Después de actualizar a spse versión 25H1, cualquier aplicación web que tenga AMSI habilitado también tendrá habilitado el examen del cuerpo en el modo equilibrado.
Configuración de AMSI mediante PowerShell
Como alternativa, puede activar o desactivar la integración de AMSI para una aplicación web mediante comandos de PowerShell.
Para desactivarlo, ejecute el siguiente comando de PowerShell:
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Para activarlo, ejecute el siguiente comando de PowerShell:
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Después de actualizar a SharePoint Server Edición de Suscripción compilación de la versión 25H1, también puede configurar los valores de examen del cuerpo mediante PowerShell. Para establecer el modo de examen del cuerpo, ejecute el siguiente comando:
$webAppUrl = "http://spwfe"
$webApp = Get-SPWebApplication -Identity $webAppUrl
$webApp.AMSIBodyScanMode = 1 # 0 = Off, 1 = Balanced, 2 = Full
$webApp.Update() # To save changes
# Iisreset # restarting the IIS service or recycling the app pool may be required when switching modes
Para establecer el modo de examen del cuerpo en Modo equilibrado con puntos de conexión de destino, ejecute el siguiente comando:
# Get current list of targeted endpoints
$webApp.AMSITargetedEndpoints
# Add a targeted endpoint
$webApp.AddAMSITargetedEndpoints('/test/page123', 1)
# Get a certain targeted endpoint
$webApp.GetAMSITargetedEndpoint('/test/page123')
# Remove a targeted endpoint
$webApp.RemoveAMSITargetedEndpoints('/test/page123')
# Update the web app object to save changes
$webApp.Update()
Para establecer el modo de examen del cuerpo en Modo completo con puntos de conexión excluidos, ejecute el siguiente comando:
# Get current list of excluded endpoints
$webApp.AMSIExcludedEndpoints
# Add an excluded endpoint
$webApp.AddAMSIExcludedEndpoints('/test/page123', 1)
# Get a certain excluded endpoint
$webApp.GetAMSIExcludedEndpoint('/test/page123')
# Remove an excluded endpoint
$webApp.RemoveAMSIExcludedEndpoints('test123456')
# Update the web app object to save changes
$webApp.Update()
Prueba y comprobación de la integración de AMSI con SharePoint Server
Puede probar la característica Antimalware Scan Interface (AMSI) para comprobar que funciona correctamente. Esto implica el envío de una solicitud a SharePoint Server con una cadena de prueba especial que Microsoft Defender reconoce es con fines de prueba. Esta cadena de prueba no es peligrosa, pero Microsoft Defender la trata como si fuera malintencionada para que pueda confirmar cómo se comporta cuando encuentra solicitudes malintencionadas.
Si la integración de AMSI está habilitada en SharePoint Server y usa Microsoft Defender como motor de detección de malware, la presencia de esta cadena de prueba hace que AMSI bloquee la solicitud en lugar de que SharePoint la procese.
La cadena de prueba es similar al archivo de prueba EICAR , pero difiere ligeramente para evitar la confusión de codificación de direcciones URL.
Puede probar la integración de AMSI agregando la cadena de prueba como una cadena de consulta o un encabezado HTTP en la solicitud a SharePoint Server.
Uso de una cadena de consulta para probar la integración de AMSI
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Por ejemplo: envíe una solicitud a https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET
Uso de un encabezado HTTP para probar la integración de AMSI
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Por ejemplo: envíe una solicitud similar a la siguiente.
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defender detecta esto como la siguiente vulnerabilidad de seguridad:
Exploit:Script/SharePointEicar.A
Nota:
Si usa un motor de detección de malware distinto de Microsoft Defender, debe consultar con el proveedor del motor de detección de malware para determinar la mejor manera de probar su integración con la característica AMSI en SharePoint Server.
Otras referencias
Efectos de rendimiento del uso de Microsoft Defender como solución de AMSI principal
De forma predeterminada, Microsoft Defender Antivirus (MDAV), una solución compatible con AMSI, se habilita e instala automáticamente en puntos de conexión y dispositivos que ejecutan Windows 10, Windows Server 2016 y versiones posteriores. Si no ha instalado una aplicación antivirus o antimalware, la integración de AMSI de SharePoint Server funciona con MDAV. Si instala y habilita otra aplicación antivirus o antimalware, MDAV se desactiva automáticamente. Si desinstala la otra aplicación, MDAV vuelve a activarse automáticamente y la integración de SharePoint Server funcionará con MDAV.
Las ventajas de usar MDAV en SharePoint Server incluyen:
- MDAV captura firmas que coinciden con contenido malintencionado. Si Microsoft aprende sobre una vulnerabilidad de seguridad que se puede bloquear, se puede implementar una nueva firma MDAV para impedir que la vulnerabilidad de seguridad afecte a SharePoint.
- Usar la tecnología existente para agregar firmas para el contenido malintencionado.
- Usar la experiencia del equipo de investigación de malware de Microsoft para agregar firmas.
- Usar los procedimientos recomendados que MDAV ya aplica para agregar otras firmas.
Puede haber un impacto en el rendimiento en la aplicación web porque el examen de AMSI usa recursos de CPU. No hay ningún impacto en el rendimiento distinto observado en el examen de AMSI cuando se prueba con MDAV y no se deben realizar cambios en las exclusiones de antivirus de SharePoint Server documentadas existentes. Cada proveedor de antivirus desarrolla sus propias definiciones que usan la tecnología AMSI. Por lo tanto, el nivel de protección sigue dependiendo de la rapidez con la que se pueda actualizar la solución específica para detectar las amenazas más recientes.
Microsoft Defender versión a través de la línea de comandos
Nota:
Si usa Microsoft Defender, puede usar la línea de comandos y asegurarse de actualizar las firmas con la versión más reciente.
- Inicie
Command Promptcomo administrador. - Vaya a
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. - Ejecute
mpcmdrun.exe -SignatureUpdate.
Estos pasos determinan la versión actual del motor, comprueban las definiciones actualizadas y notifican.
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>