Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’APPLIQUE À :
2013 
2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Introduction
Le paysage de la cybersécurité a fondamentalement changé, comme en témoignent les attaques complexes à grande échelle et les signaux indiquant que les rançongiciels gérés par l’homme sont en hausse. Plus que jamais, il est essentiel de maintenir votre infrastructure locale sécurisée et à jour, y compris les serveurs SharePoint.
Pour aider les clients à sécuriser leurs environnements et à répondre aux menaces associées des attaques, nous introduisons l’intégration entre SharePoint Server et l’interface d’analyse anti-programme malveillant Windows (AMSI). AMSI est une norme polyvalente qui permet aux applications et services de s’intégrer à n’importe quel produit anti-programme malveillant compatible AMSI présent sur un ordinateur.
La fonctionnalité d’intégration AMSI est conçue pour empêcher les requêtes web malveillantes d’atteindre des points de terminaison SharePoint. Par exemple, pour exploiter une vulnérabilité de sécurité dans un point de terminaison SharePoint avant l’installation du correctif officiel pour la vulnérabilité de sécurité.
À compter de SharePoint Server Édition d'abonnement (SPSE) version 25H1, AMSI étend ses fonctionnalités d’analyse pour inclure les corps des requêtes HTTP. Cette fonctionnalité d’analyse du corps de la demande est utile pour détecter et atténuer les menaces qui peuvent être incorporées dans les charges utiles des requêtes, ce qui fournit une solution de sécurité plus complète.
Remarque
La nouvelle fonctionnalité d’analyse du corps de la demande est disponible uniquement pour les utilisateurs SharePoint Server Édition d'abonnement. Il était disponible dans l’anneau de mise en production anticipée jusqu’à présent et sera inclus dans l’anneau Standard à partir de la PU SPSE 2025. Les utilisateurs de la version préliminaire peuvent voir « Mode complet » comme mode par défaut pour l’analyse du corps depuis SPSE 2025 septembre 2025 PU.
Intégration d’AMSI à SharePoint Server
Lorsqu’une solution antivirus ou anti-programme malveillant compatible AMSI est intégrée à SharePoint Server, elle peut examiner et HTTPS les HTTP demandes adressées au serveur et empêcher SharePoint Server de traiter les requêtes dangereuses. Tout programme antivirus ou anti-programme malveillant compatible AMSI installé sur le serveur effectue l’analyse dès que le serveur commence à traiter la demande.
L’objectif de l’intégration d’AMSI n’est pas de remplacer les défenses antivirus/anti-programme malveillant existantes déjà installées sur le serveur ; il s’agit de fournir une couche supplémentaire de protection contre les requêtes web malveillantes adressées aux points de terminaison SharePoint. Les clients doivent toujours déployer des solutions antivirus compatibles avec SharePoint sur leurs serveurs pour empêcher leurs utilisateurs de charger ou de télécharger des fichiers contenant des virus.
Configuration requise
Avant d’activer l’intégration d’AMSI, case activée les prérequis suivants sur chaque serveur SharePoint :
- Windows Server 2016 ou supérieur
- SharePoint Server Édition d'abonnement version 22H2 ou ultérieure
- SharePoint Server 2019 build 16.0.10396.20000 ou ultérieure (kb 5002358 : mise à jour de sécurité du 14 mars 2023 pour SharePoint Server 2019)
- SharePoint Server 2016 build 16.0.5391.1000 ou version ultérieure (Kb 5002385 : Mise à jour de sécurité du 11 avril 2023 pour SharePoint Server 2016)
- Microsoft Defender avec la version 1.1.1.18300.4 ou ultérieure du moteur AV (vous pouvez également utiliser un antivirus/logiciel anti-programme malveillant tiers compatible avec AMSI)
Activer/désactiver AMSI pour SharePoint Server
À compter des mises à jour de sécurité de septembre 2023 pour SharePoint Server 2016/2019 et de la mise à jour des fonctionnalités version 23H2 pour SharePoint Server Édition d'abonnement, l’intégration d’AMSI à SharePoint Server devient activée par défaut pour toutes les applications web au sein de SharePoint Server. Cette modification vise à améliorer la sécurité générale des environnements clients et à atténuer les violations de sécurité potentielles.
Pour lancer les mises à jour de sécurité de septembre 2023, les clients doivent uniquement installer la mise à jour et exécuter l’Assistant Configuration des produits SharePoint.
Remarque
Si les clients ignorent l’installation de la mise à jour publique de septembre 2023, cette modification est activée lors de l’installation de la mise à jour publique suivante qui inclut les mises à jour de sécurité de septembre 2023 pour SharePoint Server 2016/2019 ou la mise à jour des fonctionnalités version 23H2 pour SharePoint Server Édition d'abonnement.
À compter de la mise à jour publique de septembre 2025, l’intégration d’AMSI pour SharePoint Server Édition d'abonnement/2016/2019 est un composant obligatoire et ne peut plus être désactivée.
Si les clients préfèrent ne pas activer automatiquement l’intégration AMSI dans leurs batteries de serveurs SharePoint Server, ils peuvent suivre les étapes suivantes :
- Installez les mises à jour de sécurité de septembre 2023 pour SharePoint Server 2016/2019 ou la mise à jour des fonctionnalités version 23H2 pour SharePoint Server Édition d'abonnement.
- Exécutez l’Assistant Configuration des produits SharePoint.
- Suivez les étapes standard pour désactiver la fonctionnalité d’intégration AMSI dans vos applications web.
Si vous suivez ces étapes, SharePoint ne tentera pas de réactiver la fonctionnalité lors de l’installation des futures mises à jour publiques.
Configurer AMSI via l’interface utilisateur
Si vous utilisez des versions antérieures à la mise à jour publique de septembre 2025 pour SharePoint Server 2016 et 2019 ou des versions antérieures de SharePoint Server Édition d'abonnement version 25H1, procédez comme suit pour désactiver ou activer manuellement l’intégration AMSI pour chaque application web :
- Ouvrez l’Administration centrale de SharePoint, puis sélectionnez Gestion des applications.
- Sous Applications web, sélectionnez Gérer les applications web.
- Sélectionnez l’application web pour laquelle vous souhaitez activer l’intégration AMSI, puis sélectionnez Gérer les fonctionnalités dans la barre d’outils.
- Dans l’écran Analyse anti-programme malveillant SharePoint Server , sélectionnez Désactiver pour désactiver l’intégration d’AMSI, ou sélectionnez Activer pour activer l’intégration d’AMSI.
Si vous avez installé la mise à jour des fonctionnalités SharePoint Server Édition d'abonnement version 25H1, procédez comme suit pour activer ou désactiver et configurer les paramètres d’intégration AMSI :
Ouvrez l’Administration centrale de SharePoint.
Accédez à la section Sécurité.
Sélectionnez Configuration AMSI.
Dans la page Configuration de l’analyse AMSI, sélectionnez l’application web souhaitée.
Ensuite, vous pouvez choisir d’activer ou de désactiver la fonctionnalité d’analyse AMSI en sélectionnant l’option appropriée.
- Pour activer l’analyse AMSI, sélectionnez le bouton Activer la fonctionnalité d’analyse AMSI . Cela garantit que tous les en-têtes de requête HTTP sont analysés.
- Pour désactiver l’analyse, sélectionnez le bouton Désactiver complètement la fonctionnalité d’analyse AMSI .
Après l’activation, sélectionnez le mode Analyse du corps de la demande pour analyser le corps de la demande en fonction de vos besoins spécifiques parmi les options disponibles suivantes :
- Désactivé : désactive l’analyse du corps. Cela n’affecte pas la fonctionnalité d’analyse d’en-tête existante.
- Mode équilibré : analyse les corps de requête envoyés aux points de terminaison sensibles prédéfinis du système et à d’autres points de terminaison spécifiés pour être inclus dans l’analyse du corps.
- Mode complet : analyse les corps de requête envoyés à tous les points de terminaison, sauf ceux explicitement exclus, pour améliorer les performances tout en conservant une assurance de sécurité équitable.
Spécifiez les points de terminaison qui doivent être inclus ou exclus de l’analyse du corps en fonction du mode que vous avez sélectionné, puis cliquez sur Ajouter.
Vérifiez que les points de terminaison contiennent l’intégralité du chemin de l’URI de requête. Par exemple, incluez
/SitePages/Home.aspx, afin qu’il puisse analyser des URL telles quehttp://test.contoso.com/SitePages/Home.aspx, ethttp://test.contoso.com/sites/marketing/SitePages/Home.aspx. Pour comprendre la structure syntaxique de l’URI, reportez-vous à Uniform Resource Identifier - Wikipédia.
Après avoir apporté les modifications nécessaires, sélectionnez OK pour les appliquer efficacement.
Remarque
- Chaque application web doit être configurée pour AMSI indépendamment, et la liste des points de terminaison spécifiés s’applique uniquement à cette application web.
- La nouvelle fonctionnalité d’analyse du corps reste désactivée après la mise à niveau si AMSI est désactivé pour une application web.
- L’analyse du corps ne peut pas être activée sans activer l’analyse d’en-tête.
- La configuration par défaut de l’analyse du corps est le mode équilibré. Après la mise à niveau vers SPSE version 25H1, l’analyse du corps est également activée pour toute application web pour laquelle AMSI est activé en mode équilibré.
Configurer AMSI à l’aide de PowerShell
Vous pouvez également activer/désactiver l’intégration AMSI pour une application web à l’aide de commandes PowerShell.
Pour désactiver, exécutez la commande PowerShell suivante :
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Pour activer, exécutez la commande PowerShell suivante :
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Après la mise à niveau vers SharePoint Server Édition d'abonnement build version 25H1, vous pouvez également configurer les paramètres d’analyse du corps à l’aide de PowerShell. Pour définir le mode d’analyse du corps, exécutez la commande suivante :
$webAppUrl = "http://spwfe"
$webApp = Get-SPWebApplication -Identity $webAppUrl
$webApp.AMSIBodyScanMode = 1 # 0 = Off, 1 = Balanced, 2 = Full
$webApp.Update() # To save changes
# Iisreset # restarting the IIS service or recycling the app pool may be required when switching modes
Pour définir le mode d’analyse du corps sur Mode équilibré avec des points de terminaison ciblés, exécutez la commande suivante :
# Get current list of targeted endpoints
$webApp.AMSITargetedEndpoints
# Add a targeted endpoint
$webApp.AddAMSITargetedEndpoints('/test/page123', 1)
# Get a certain targeted endpoint
$webApp.GetAMSITargetedEndpoint('/test/page123')
# Remove a targeted endpoint
$webApp.RemoveAMSITargetedEndpoints('/test/page123')
# Update the web app object to save changes
$webApp.Update()
Pour définir le mode d’analyse du corps sur Mode complet avec des points de terminaison exclus, exécutez la commande suivante :
# Get current list of excluded endpoints
$webApp.AMSIExcludedEndpoints
# Add an excluded endpoint
$webApp.AddAMSIExcludedEndpoints('/test/page123', 1)
# Get a certain excluded endpoint
$webApp.GetAMSIExcludedEndpoint('/test/page123')
# Remove an excluded endpoint
$webApp.RemoveAMSIExcludedEndpoints('test123456')
# Update the web app object to save changes
$webApp.Update()
Tester et vérifier l’intégration d’AMSI à SharePoint Server
Vous pouvez tester la fonctionnalité AMSI (Antimalware Scan Interface) pour vérifier qu’elle fonctionne correctement. Cela implique l’envoi d’une requête à SharePoint Server avec une chaîne de test spéciale que Microsoft Defender reconnaît à des fins de test. Cette chaîne de test n’est pas dangereuse, mais Microsoft Defender la traite comme si elle était malveillante afin que vous puissiez confirmer son comportement lorsqu’elle rencontre des requêtes malveillantes.
Si l’intégration d’AMSI est activée dans SharePoint Server et utilise Microsoft Defender comme moteur de détection de programmes malveillants, la présence de cette chaîne de test entraîne le blocage de la requête par AMSI au lieu d’être traitée par SharePoint.
La chaîne de test est similaire au fichier de test EICAR , mais elle diffère légèrement pour éviter toute confusion d’encodage d’URL.
Vous pouvez tester l’intégration d’AMSI en ajoutant la chaîne de test en tant que chaîne de requête ou en-tête HTTP dans votre demande à SharePoint Server.
Utiliser une chaîne de requête pour tester l’intégration d’AMSI
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Par exemple : envoyer une requête à https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET
Utiliser un en-tête HTTP pour tester l’intégration d’AMSI
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Par exemple : envoyez une requête qui ressemble à ce qui suit.
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defender détecte cela comme étant l’exploit suivant :
Exploit:Script/SharePointEicar.A
Remarque
Si vous utilisez un moteur de détection de programmes malveillants autre que Microsoft Defender, vous devez case activée avec votre fournisseur de moteur de détection de programmes malveillants pour déterminer la meilleure façon de tester son intégration à la fonctionnalité AMSI dans SharePoint Server.
Autres références
Effets sur les performances de l’utilisation de Microsoft Defender comme solution AMSI principale
Par défaut, Microsoft Defender Antivirus (MDAV), une solution compatible AMSI, est automatiquement activé et installé sur les points de terminaison et les appareils qui exécutent Windows 10, Windows Server 2016 et versions ultérieures. Si vous n’avez pas installé d’application antivirus/anti-programme malveillant, l’intégration d’AMSI sharePoint Server fonctionne avec MDAV. Si vous installez et activez une autre application antivirus/anti-programme malveillant, MDAV se désactive automatiquement. Si vous désinstallez l’autre application, MDAV se réactive automatiquement et l’intégration de SharePoint Server fonctionne avec MDAV.
Les avantages de l’utilisation de MDAV sur SharePoint Server sont les suivants :
- MDAV récupère les signatures qui correspondent au contenu malveillant. Si Microsoft découvre une attaque qui peut être bloquée, une nouvelle signature MDAV peut être déployée pour empêcher l’exploit d’affecter SharePoint.
- Utilisation de la technologie existante pour ajouter des signatures pour le contenu malveillant.
- En utilisant l’expertise de l’équipe de recherche sur les logiciels malveillants de Microsoft pour ajouter des signatures.
- Utilisation des meilleures pratiques que MDAV applique déjà pour l’ajout d’autres signatures.
Il peut y avoir un impact sur les performances de l’application web, car l’analyse AMSI utilise des ressources processeur. Il n’y a pas d’impact distinct sur les performances observé à partir de l’analyse AMSI lors du test avec MDAV et aucune modification à apporter aux exclusions d’antivirus SharePoint Server documentées existantes. Chaque fournisseur d’antivirus développe ses propres définitions qui utilisent la technologie AMSI. Par conséquent, votre niveau de protection dépend de la vitesse à laquelle votre solution spécifique peut être mise à jour pour détecter les dernières menaces.
Microsoft Defender version via la ligne de commande
Remarque
Si vous utilisez Microsoft Defender, vous pouvez utiliser la ligne de commande et veiller à mettre à jour les signatures avec la dernière version.
- Lancez
Command Prompten tant qu’administrateur. - Accédez à la page
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. - Exécutez
mpcmdrun.exe -SignatureUpdate.
Ces étapes déterminent votre version actuelle du moteur, case activée pour les définitions mises à jour et le rapport.
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>