Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A:
2013 
2016 2019 Subscription Edition SharePoint no Microsoft 365
Introdução
O panorama da cibersegurança mudou fundamentalmente, como evidenciado por ataques complexos e em larga escala, e sinais de que o ransomware operado pelo homem está a aumentar. Mais do que nunca, é fundamental manter a sua infraestrutura no local segura e atualizada, incluindo os SharePoint Servers.
Para ajudar os clientes a proteger os seus ambientes e a responder a ameaças associadas dos ataques, estamos a introduzir a integração entre o SharePoint Server e a Interface de Análise Antimalware do Windows (AMSI). O AMSI é um padrão versátil que permite que as aplicações e serviços se integrem em qualquer produto antimalware compatível com AMSI presente num computador.
A funcionalidade de integração do AMSI foi concebida para impedir que pedidos Web maliciosos cheguem aos pontos finais do SharePoint. Por exemplo, para explorar uma vulnerabilidade de segurança num ponto final do SharePoint antes da instalação da correção oficial da vulnerabilidade de segurança.
A partir do Edição de Assinatura do SharePoint Server (SPSE) Versão 25H1, o AMSI expande as suas capacidades de análise para incluir os corpos dos pedidos HTTP. Esta funcionalidade de análise do corpo do pedido é útil para detetar e mitigar ameaças que podem ser incorporadas em payloads de pedidos, fornecendo uma solução de segurança mais abrangente.
Observação
A nova funcionalidade de análise do corpo do pedido só está disponível para Edição de Assinatura do SharePoint Server utilizadores. Está disponível na cadência de Lançamento Antecipado até agora e será incluída na cadência de Standard a partir do PU de setembro do SPSE 2025. Os utilizadores da cadência de Lançamento Antecipado podem ver "Modo Completo" como o modo predefinido para análise do corpo desde o PU de setembro do SPSE 2025.
Integração do AMSI com o SharePoint Server
Quando uma solução antivírus ou antimalware compatível com AMSI é integrada no SharePoint Server, pode examinar HTTP e HTTPS fazer pedidos ao servidor e impedir o SharePoint Server de processar pedidos perigosos. Qualquer programa antivírus ou antimalware compatível com AMSI instalado no servidor efetua a análise assim que o servidor começar a processar o pedido.
O objetivo da integração do AMSI não é substituir as defesas antivírus/antimalware já instaladas no servidor; é fornecer uma camada adicional de proteção contra pedidos Web maliciosos feitos para pontos finais do SharePoint. Os clientes ainda devem implementar soluções antivírus compatíveis com o SharePoint nos respetivos servidores para impedir que os seus utilizadores carreguem ou transfiram ficheiros com vírus.
Pré-requisitos
Antes de ativar a integração do AMSI, marcar os seguintes pré-requisitos em cada SharePoint Server:
- Windows Server 2016 ou superior
- Edição de Assinatura do SharePoint Server Versão 22H2 ou superior
- SharePoint Server 2019 compilação 16.0.10396.20000 ou superior (KB 5002358: atualização de segurança de 14 de março de 2023 para SharePoint Server 2019)
- Compilação 16.0.5391.1000 ou superior do SharePoint Server 2016 (KB 5002385: atualização de segurança de 11 de abril de 2023 para o SharePoint Server 2016)
- Microsoft Defender com a versão do motor AV em 1.1.18300.4 ou superior (em alternativa, um fornecedor antivírus/antimalware compatível com AMSI)
Ativar/Desativar o AMSI para o SharePoint Server
A partir das atualizações de segurança de setembro de 2023 para o SharePoint Server 2016/2019 e da atualização de funcionalidades da Versão 23H2 para Edição de Assinatura do SharePoint Server, a integração do AMSI com o SharePoint Server fica ativada por predefinição para todas as aplicações Web no SharePoint Server. Esta modificação visa melhorar a segurança geral dos ambientes dos clientes e mitigar potenciais falhas de segurança.
Para iniciar as atualizações de segurança de setembro de 2023, os clientes só precisam de instalar a atualização e executar o Assistente de Configuração de Produtos SharePoint.
Observação
Se os clientes ignorarem a instalação da atualização pública de setembro de 2023, esta alteração será ativada após a instalação da atualização pública subsequente que inclui as atualizações de segurança de setembro de 2023 para o SharePoint Server 2016/2019 ou a atualização de funcionalidades versão 23H2 para Edição de Assinatura do SharePoint Server.
A partir da Atualização Pública de setembro de 2025, a integração do AMSI para o Edição de Assinatura do SharePoint Server/2016/2019 é um componente obrigatório e já não pode ser desativado.
Se os clientes preferirem não ter a integração AMSI ativada automaticamente nos respetivos farms do SharePoint Server, podem seguir estes passos:
- Instale as atualizações de segurança de setembro de 2023 para o SharePoint Server 2016/2019 ou a atualização de funcionalidades da Versão 23H2 para Edição de Assinatura do SharePoint Server.
- Execute o Assistente de Configuração de Produtos SharePoint.
- Siga os passos padrão para desativar a funcionalidade de integração AMSI nas suas aplicações Web.
Se seguir estes passos, o SharePoint não tentará reativar a funcionalidade durante a instalação de futuras atualizações públicas.
Configurar o AMSI através da interface de utilizador
Se estiver a utilizar versões anteriores à Atualização Pública de Setembro de 2025 para o SharePoint Server 2016 e 2019 ou versões anteriores do Edição de Assinatura do SharePoint Server Versão 25H1, siga estes passos para desativar ou ativar manualmente a integração do AMSI para cada aplicação Web:
- Abra a Administração Central do SharePoint e selecione Gestão de Aplicações.
- Em Aplicações Web, selecione Gerir aplicações Web.
- Selecione a aplicação Web para a qual pretende ativar a integração do AMSI e selecione Gerir Funcionalidades na barra de ferramentas.
- No ecrã Análise Antimalware do SharePoint Server , selecione Desativar para desativar a integração do AMSI ou selecione Ativar para ativar a integração do AMSI.
Se instalou a atualização de funcionalidades Edição de Assinatura do SharePoint Server Versão 25H1, siga estes passos para ativar ou desativar e configurar as definições de integração do AMSI:
Abra a Administração Central do SharePoint.
Aceda à secção Segurança.
Selecione Configuração amsi.
Na página Configuração da Análise de AMSI, selecione a aplicação Web pretendida.
Em seguida, pode optar por ativar ou desativar a funcionalidade de análise AMSI ao selecionar a opção adequada.
- Para ativar a análise de AMSI, selecione o botão Ativar funcionalidade de análise AMSI . Isto garante que todos os cabeçalhos de pedido HTTP são analisados.
- Para desativar a análise, selecione o botão Desativar totalmente a funcionalidade de análise AMSI .
Depois de ativar, selecione o modo Pedir Análise do Corpo para analisar o corpo do pedido de acordo com os requisitos específicos das seguintes opções disponíveis:
- Desativado: desativa a análise do corpo. Isto não afetará a funcionalidade de análise de cabeçalhos existente.
- Modo Equilibrado: analisa os corpos de pedido que são enviados para pontos finais confidenciais predefinidos pelo sistema e outros pontos finais especificados para serem incluídos na análise do corpo.
- Modo Completo: analisa os organismos de pedido que são enviados para todos os pontos finais, exceto os explicitamente excluídos, para melhorar o desempenho e manter uma garantia de segurança justa.
Especifique os pontos finais que devem ser incluídos ou excluídos da análise do corpo de acordo com o modo que selecionou e clique em Adicionar.
Certifique-se de que os pontos finais contêm todo o caminho do URI do pedido. Por exemplo, inclua
/SitePages/Home.aspx, para que possa analisar URLs comohttp://test.contoso.com/SitePages/Home.aspxehttp://test.contoso.com/sites/marketing/SitePages/Home.aspx. Para compreender a estrutura de sintaxe do URI, veja Uniform Resource Identifier – Wikipedia.
Depois de fazer as alterações necessárias, selecione OK para as aplicar eficazmente.
Observação
- Cada aplicação Web tem de ser configurada para AMSI de forma independente e a lista de pontos finais especificados aplica-se apenas a essa aplicação Web.
- A nova funcionalidade de análise do corpo permanecerá desativada após a atualização se o AMSI estiver desativado para uma aplicação Web.
- A análise do corpo não pode ser ativada sem ativar a análise de cabeçalhos.
- A configuração predefinida para análise corporal é o Modo Equilibrado. Depois de atualizar para a Versão 25H1 do SPSE, qualquer aplicação Web com AMSI ativada também terá a análise do corpo ativada no Modo Equilibrado.
Configurar o AMSI com o PowerShell
Em alternativa, pode ativar/desativar a integração do AMSI para uma aplicação Web com comandos do PowerShell.
Para desativar, execute o seguinte comando do PowerShell:
Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Para ativar, execute o seguinte comando do PowerShell:
Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>
Depois de atualizar para a Edição de Assinatura do SharePoint Server versão 25H1, também pode configurar as definições de análise do corpo com o PowerShell. Para definir o modo de análise do corpo, execute o seguinte comando:
$webAppUrl = "http://spwfe"
$webApp = Get-SPWebApplication -Identity $webAppUrl
$webApp.AMSIBodyScanMode = 1 # 0 = Off, 1 = Balanced, 2 = Full
$webApp.Update() # To save changes
# Iisreset # restarting the IIS service or recycling the app pool may be required when switching modes
Para definir o modo de análise do corpo como Modo Equilibrado com pontos finais de destino, execute o seguinte comando:
# Get current list of targeted endpoints
$webApp.AMSITargetedEndpoints
# Add a targeted endpoint
$webApp.AddAMSITargetedEndpoints('/test/page123', 1)
# Get a certain targeted endpoint
$webApp.GetAMSITargetedEndpoint('/test/page123')
# Remove a targeted endpoint
$webApp.RemoveAMSITargetedEndpoints('/test/page123')
# Update the web app object to save changes
$webApp.Update()
Para definir o modo de análise do corpo como Modo Completo com pontos finais excluídos, execute o seguinte comando:
# Get current list of excluded endpoints
$webApp.AMSIExcludedEndpoints
# Add an excluded endpoint
$webApp.AddAMSIExcludedEndpoints('/test/page123', 1)
# Get a certain excluded endpoint
$webApp.GetAMSIExcludedEndpoint('/test/page123')
# Remove an excluded endpoint
$webApp.RemoveAMSIExcludedEndpoints('test123456')
# Update the web app object to save changes
$webApp.Update()
Testar e verificar a integração do AMSI com o SharePoint Server
Pode testar a funcionalidade de Interface de Análise Antimalware (AMSI) para verificar se está a funcionar corretamente. Isto envolve enviar um pedido para o SharePoint Server com uma cadeia de teste especial que Microsoft Defender reconhece ser para fins de teste. Esta cadeia de teste não é perigosa, mas Microsoft Defender trata-a como se fosse maliciosa, para que possa confirmar o seu comportamento quando encontra pedidos maliciosos.
Se a integração amsi estiver ativada no SharePoint Server e estiver a utilizar Microsoft Defender como motor de deteção de software maligno, a presença desta cadeia de teste faz com que o pedido seja bloqueado pela AMSI em vez de ser processado pelo SharePoint.
A cadeia de teste é semelhante ao ficheiro de teste EICAR , mas difere ligeiramente para evitar confusões na codificação de URL.
Pode testar a integração do AMSI ao adicionar a cadeia de teste como uma cadeia de consulta ou um cabeçalho HTTP no seu pedido ao SharePoint Server.
Utilizar uma cadeia de consulta para testar a integração do AMSI
amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Por exemplo: enviar um pedido para https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET
Utilizar um cabeçalho HTTP para testar a integração do AMSI
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Por exemplo: envie um pedido semelhante ao seguinte.
GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*
Microsoft Defender deteta-o como a seguinte exploração:
Exploit:Script/SharePointEicar.A
Observação
Se estiver a utilizar um motor de deteção de software maligno que não Microsoft Defender, deve marcar com o fornecedor do motor de deteção de software maligno para determinar a melhor forma de testar a integração com a funcionalidade AMSI no SharePoint Server.
Outras referências
Efeitos de desempenho da utilização de Microsoft Defender como a solução de AMSI principal
Por predefinição, o Antivírus Microsoft Defender (MDAV), uma solução compatível com AMSI, é automaticamente ativado e instalado em pontos finais e dispositivos que executem Windows 10, Windows Server 2016 e posteriores. Se não tiver instalado uma aplicação antivírus/antimalware, a integração amSI do SharePoint Server funciona com o MDAV. Se instalar e ativar outra aplicação antivírus/antimalware, o MDAV é desativado automaticamente. Se desinstalar a outra aplicação, o MDAV volta automaticamente a ativar-se e a integração do SharePoint Server funcionará com o MDAV.
As vantagens da utilização do MDAV no SharePoint Server incluem:
- O MDAV obtém assinaturas que correspondem a conteúdo malicioso. Se a Microsoft souber mais sobre uma exploração que pode ser bloqueada, pode implementar uma nova assinatura MDAV para impedir que a exploração afete o SharePoint.
- Utilizar a tecnologia existente para adicionar assinaturas para o conteúdo malicioso.
- Utilizar os conhecimentos da equipa de pesquisa de software maligno da Microsoft para adicionar assinaturas.
- Utilizar as melhores práticas que o MDAV já aplica para adicionar outras assinaturas.
Pode haver um impacto no desempenho na aplicação Web porque a análise de AMSI utiliza recursos da CPU. Não é observado nenhum impacto de desempenho distinto na análise de AMSI quando testado com MDAV e não existem alterações a fazer às exclusões antivírus do SharePoint Server documentadas existentes. Cada fornecedor de antivírus desenvolve as suas próprias definições que utilizam tecnologia AMSI. Por conseguinte, o seu nível de proteção permanece dependente da rapidez com que a sua solução específica pode ser atualizada para detetar as ameaças mais recentes.
Microsoft Defender versão através da linha de comandos
Observação
Se estiver a utilizar Microsoft Defender, pode utilizar a linha de comandos e garantir que atualiza as assinaturas com a versão mais recente.
- Inicie
Command Promptcomo Administrador. - Navegue até
%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. - Execute
mpcmdrun.exe -SignatureUpdate.
Estes passos determinam a versão atual do motor, marcar para definições atualizadas e relatório.
Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>