如果您的組織使用 SAP,則必須瞭解防毒軟體與端點偵測與回應之間的相容性和支援, (適用於端點的 Microsoft Defender 和 SAP 應用程式中的 EDR) 功能。 本文可協助您瞭解 SAP 針對端點保護安全性解決方案 (例如適用於端點的 Defender) 提供的支援,以及它們如何與 SAP 應用程式互動。
本文說明如何在 Windows Server 上搭配 SAP 應用程式 (例如 NetWeaver 和 S4 Hana) 和 SAP 獨立引擎 (例如 LiveCache) 搭配使用適用於端點的 Defender。 在本文中,我們著重於適用於端點的 Defender 中的防病毒軟體和 EDR 功能;不過,適用於端點的 Defender 包含其他功能。 如需所有適用於端點的 Defender 功能的概觀,請參閱 適用於端點的 Microsoft Defender。
本文不涵蓋 SAP 用戶端軟體,例如 SAPGUI 或 Windows 用戶端裝置上的 Microsoft Defender 防病毒軟體。
企業安全與您的 SAP Basis 團隊
企業安全性是專家角色,本文所述的活動應該規劃為企業安全性小組與 SAP Basis 小組之間的聯合活動。 企業安全性小組必須與 SAP 基礎小組協調,並共同設計適用於端點的 Defender 設定,並分析任何排除專案。
取得適用於端點的 Defender 概觀
適用於端點的 Defender 是 Microsoft Defender 全面偵測回應的元件,而且可以與您的 SIEM/SOAR 解決方案整合。
開始使用 SAP 在 Windows Server 上規劃或部署適用於端點的 Defender,請花點時間取得適用於端點的 Defender 概觀。 下列影片提供概觀:
如需適用於端點的 Defender 和 Microsoft 安全性供應專案的詳細資訊,請參閱下列資源:
適用於端點的 Defender 包含超出本文範圍的功能。 在本文中,我們重點關注兩個主要領域:
- 下一代保護 (包括防病毒保護) 。 新一代保護 是一種防病毒產品,就像適用於 Windows 環境的其他防病毒解決方案一樣。
- EDR的。 EDR 功能 可偵測可疑活動和系統呼叫,並提供額外的保護層,以抵禦繞過防毒保護的威脅。
Microsoft 和其他安全性軟體廠商會追蹤威脅並提供趨勢資訊。 如需詳細資訊,請參閱網路威脅、病毒和惡意代碼 - Microsoft 安全情報。
注意事項
如需適用於 Microsoft Defender for SAP 的 Linux 相關資訊,請參閱適用於 SAP 的 Linux 上適用於適用於端點的 Microsoft Defender 的部署指引。 Linux 上的適用於端點的 Defender 與 Windows 版本有很大不同。
適用於端點的 Defender 和其他安全性解決方案的 SAP 支援聲明
SAP 為傳統檔案掃描防毒解決方案提供基本文件。 傳統的檔案掃描防毒解決方案將檔案簽章與已知威脅的資料庫進行比較。 當識別出受感染的檔案時,防毒軟體通常會發出警報並隔離該檔案。 檔案掃描防毒解決方案的機制和行為相當眾所周知,而且是可預測的;因此,SAP 支援可以為與檔案掃描防毒軟體互動的 SAP 應用程式提供基本等級的支援。
基於文件的威脅只是惡意軟件的一種可能載體。 無檔案惡意軟體和棲息在陸地上的惡意軟體、變異速度比傳統解決方案更快的高度多態性威脅,以及適應對手在受感染裝置上發現的內容的人為操作攻擊。 傳統的防毒安全解決方案不足以阻止此類攻擊。 需要人工智慧 (AI) 和裝置學習 (ML) 支援的功能,例如行為封鎖和遏制。 適用於端點的 Defender 等安全性軟體具有進階威脅防護功能,可減輕新式威脅。
適用於端點的 Defender 會持續監視作業系統呼叫,例如檔案讀取、檔案寫入、建立通訊端和其他進程層級作業。 適用於端點的 Defender EDR 感應器會取得本機 NTFS 檔案系統上的機會鎖定,因此不太可能影響應用程式。 機會鎖定在遠端網路檔案系統上是不可能的。 在極少數情況下,鎖定可能會導致一般非特定錯誤,例如 SAP 應用程式中的 拒絕存取 。
SAP 無法為 EDR/全面偵測回應軟體提供任何層級的支援,例如 Microsoft Defender 全面偵測回應 或適用於端點的 Defender。 此類解決方案中的機制是自適應的;因此,它們是不可預測的。 此外,問題可能無法重現。 當在執行進階安全解決方案的系統上發現問題時,SAP 建議停用安全軟體,然後嘗試重現問題。 然後可以向安全軟體供應商提出支援案例。
如需 SAP 支援原則的詳細資訊,請參閱 3356389 - 防毒軟體或其他影響 SAP 作業的安全性軟體。
建議的 SAP OSS 附註
以下是您可以根據需要使用的 SAP 文章清單:
- 3356389 - 影響 SAP 作業的防毒軟體或其他安全性軟體 - SAP for Me
- 106267 - Windows 上的病毒掃描程式軟體 - SAP for Me
- 690449 - 傳輸緩衝區鎖定檔案 (。LOB) 在 Windows 上仍會遭到封鎖 - SAP for Me
- 2311946 - Windows 上的檔案系統錯誤 - SAP for Me
- 2496239 - Windows 上的勒索軟體/惡意軟體 - SAP for Me
- 1497394 - 應從 Windows 中 SAP BusinessObjects Business Intelligence Platform 產品的防毒掃描中排除哪些檔案和目錄? - SAP for Me
注意
適用於端點的 Microsoft Defender on 包含稱為端點資料外洩防護 (端點 DLP) 的功能。 不應在執行 NetWeaver、S4、Adobe Document Server、封存伺服器、TREX、LiveCache 或 Content Server 的任何 Windows Server 上啟用端點 DLP。 此外,Windows 用戶端 (例如執行已啟用端點 DLP 的 Windows 11 的 Windows 膝上型電腦) 絕不能存取任何 SAP 應用程式所使用的網路共用,這一點至關重要。 根據配置和策略,Windows 客戶端 PC 可以將 DLP 屬性寫入網絡共享。
Adobe Document Server 或封存系統將許多檔案快速寫入已啟用 DLP 的 SMB 共用和/或介面檔案傳輸共用上,可能會導致檔案損毀或「拒絕存取」訊息。
請勿將 SAP 檔案系統公開給外部 Windows 用戶端電腦,也不要在執行 SAP 軟體的 Windows Server 上啟用端點 DLP。 不允許 Windows 用戶端存取 SAP 伺服器共用。 使用 Robocopy 或類似工具將 Adobe 文件或其他介面檔案複製到企業 NAS 解決方案。
Windows Server 上的 SAP 應用程式:前 10 個建議
限制對 SAP 伺服器的存取、封鎖網路連接埠,並採取所有其他常見的安全防護措施。 這第一步至關重要。 威脅形勢已從基於檔案的病毒演變為無檔案的複雜威脅。 封鎖連接埠和限制登入/存取 VM 等動作不再被認為足以完全緩解新式威脅。
先將適用於端點的 Defender 部署至非生產系統,再部署至生產系統。 將適用於端點的 Defender 直接部署至生產系統而不進行測試,風險很高,而且可能會導致停機。 如果您無法延遲將適用於端點的 Defender 部署至生產系統,請考慮暫時停用 竄改保護 和 即時保護。
請記住,Windows Server 預設會啟用即時保護。 如果發現可能與適用於端點的 Defender 相關的問題,建議您設定排除項目和/或透過 Microsoft Defender 入口網站開啟支援案例。
讓 SAP Basis 小組和您的安全性小組共同處理適用於端點的 Defender 部署。 兩個團隊需要共同制定分階段的部署、測試和監控計劃。
在部署和啟用適用於端點的 Defender 之前,使用 PerfMon (Windows) 等工具來建立效能基準。 比較啟用適用於端點的 Defender 之前和之後的效能使用率。 如需詳細資訊,請參閱 perfmon。
部署最新版本的適用於端點的 Defender,並使用最新版本的 Windows,最好是 Windows Server 2019 或更新版本。 請參閱 適用於端點的 Microsoft Defender 的最低需求。
設定 Microsoft Defender 防病毒軟體的特定排除專案。 包括:
- DBMS 資料檔案、記錄檔和暫存檔,包括包含備份檔案的磁碟
- SAPMNT 目錄的全部內容
- SAPLOC 目錄的全部內容
- TRANS 目錄的全部內容
- 獨立引擎 (例如 TREX) 目錄的全部內容
進階使用者可以考慮使用內容檔案和資料夾排除。
如需 DBMS 排除的詳細資訊,請使用下列資源:
- SQL Server:設定防毒軟體以搭配 SQL Server 使用
- Oracle: 如何在 Oracle 資料庫伺服器上設定防毒軟體 (文件 ID 782354.1)
- DB2:要從 Linux 防毒軟體中排除哪些 DB2 目錄 (在 Windows Server) 上使用相同的指令
- SAP ASE:聯絡 SAP
- MaxDB:聯絡 SAP
確認適用於端點的 Defender 設定。 在大部分情況下,具有 SAP 應用程式的 Microsoft Defender 防病毒軟體應該具有下列設定:
AntivirusEnabled : True AntivirusSignatureAge : 0 BehaviorMonitorEnabled : True DefenderSignaturesOutOfDate : False IsTamperProtected : True RealTimeProtectionEnabled : True使用工具,例如 Intune 或 適用於端點的 Defender 安全性設定管理 來設定適用於端點的 Defender。 這類工具可協助確保適用於端點的 Defender 已正確設定並統一部署。 若要使用適用於端點的 Defender 安全性設定管理,請遵循下列步驟:
在 Microsoft Defender 入口網站中,移至 端點設定管理> 端>點安全性原則。
選取 [建立新的原則],然後遵循指引。 如需詳細資訊,請參閱在 適用於端點的 Microsoft Defender 中管理端點安全性原則。
使用最新版本的適用於端點的 Defender。 Windows 上的適用於端點的 Defender 中正在實作數個新功能,而且這些功能已使用 SAP 系統進行測試。 這些新功能可減少阻塞並降低 CPU 消耗。 如需新功能的詳細資訊,請參閱 適用於端點的 Microsoft Defender 中的新功能。
部署方法
SAP 和 Microsoft 都不建議將適用於端點的 Defender 直接在 Windows 上部署至所有開發、QAS 和生產系統,和/或沒有仔細測試和監視。 以不受控制的方式部署適用於端點的 Defender 和其他類似軟體的客戶,而沒有充分的測試,因此會經歷系統停機。
Windows 上的適用於端點的 Defender 和任何其他軟體或設定變更應該先部署至開發系統、在 QAS 中進行驗證,然後才能部署至生產環境。
使用適用於 端點的 Defender 安全性設定管理 等工具,將適用於端點的 Defender 部署至整個 SAP 環境,而不進行測試,可能會導致停機。
以下是要檢查的內容清單:
部署已啟用 竄改保護 的適用於端點的 Defender。 如果發生問題,請啟用 疑難排解模式、停用 竄改保護、停用 即時保護,以及設定 排程掃描。
按照 DBMS 供應商的建議排除 DBMS 檔案和可執行檔。
分析 SAPMNT、SAP TRANS_DIR、多工處理和工作日誌目錄。 如果檔案超過 100,000 個,請考慮封存以減少檔案數量。
確認用於 SAPMNT 的共用檔案系統的效能限制和配額。 SMB 共用來源可以是 NetApp 應用裝置、Windows Server 共用磁碟或 Azure 檔案儲存體 SMB。
設定排除項目,讓所有 SAP 應用程式伺服器都不會同時掃描 SAPMNT 共用,因為這可能會讓您的共用儲存體伺服器超載。
一般而言,在專用的非 SAP 檔案伺服器上主機介面檔案。 介面檔案會辨識為攻擊媒介。 應在此專用檔案伺服器上啟動即時保護。 SAP 伺服器絕不應用作介面檔案的檔案伺服器。
注意事項
一些大型 SAP 系統有超過 20 部 SAP 應用程式伺服器,每部伺服器都有與相同 SAPMNT SMB 共用的連線。 同時掃描同一 SMB 伺服器的 20 個應用程式伺服器可能會使 SMB 伺服器過載。 建議從定期掃描中排除 SAPMNT。
適用於端點的 Defender 與 SAP 搭配 Windows Server 的重要組態設定
取得適用於端點的 Microsoft Defender 概觀。 特別是,檢閱 有關下一代保護 和 EDR 的資訊。
注意事項
Defender 一詞有時用於指代整套產品和解決方案。 請參閱什麼是 Microsoft Defender 全面偵測回應?。 在本文中,我們著重於適用於端點的 Defender 中的防病毒軟體和 EDR 功能。
檢查 Microsoft Defender 防病毒軟體的狀態。 開啟命令提示字元,然後執行下列 PowerShell 命令:
Get-MpComputerStatus,如下所示:
Get-MpPreference |Select-Object -Property DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting預期輸出
Get-MpComputerStatus:DisableCpuThrottleOnIdleScans : True DisableRealtimeMonitoring : False DisableScanningMappedNetworkDrivesForFullScan : True DisableScanningNetworkFiles : False ExclusionPath : <<configured exclusions will show here>> MAPSReporting : 2Get-Mp偏好設定,如下所示:
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled預期輸出
Get-MpPreference:AMRunningMode : Normal AntivirusEnabled : True BehaviorMonitorEnabled : True IsTamperProtected : True OnAccessProtectionEnabled : True RealTimeProtectionEnabled : True檢查 EDR 的狀態。 開啟命令提示字元,然後執行下列命令:
PS C:\Windows\System32> Get-Service -Name sense | FL *您應該會看到類似下列程式碼片段的輸出:
Name : sense RequiredServices : {} CanPauseAndContinue : False CanShutdown : False CanStop : False DisplayName : Windows Defender Advanced Threat Protection Service DependentServices : {} MachineName : . ServiceName : sense ServicesDependedOn : {} ServiceHandle : Status : Running ServiceType : Win32OwnProcess StartType : Automatic Site : Container :您想要看到的值是
Status: Running和StartType: Automatic。 如需詳細資訊,請參閱使用事件檢視器檢閱事件和錯誤。請確定 Microsoft Defender 防病毒軟體是最新的。 確保您的防病毒保護是最新的最佳方法是使用 Windows Update。 如果您遇到問題或錯誤,請聯絡您的安全團隊。
如需更新的詳細資訊,請參閱 Microsoft Defender 防病毒軟體安全性情報和產品更新。
確保 行為監控 已開啟。 啟用竄改保護時,預設會開啟行為監視。 除非識別出特定問題,否則請使用已啟用竄改保護、已啟用行為監視及已啟用即時監視的預設組態。
如需詳細資訊,請參閱 內建保護有助於防範勒索軟體。
確保 已啟用即時保護。 Windows 上適用於端點的 Defender 目前的建議是啟用即時掃描,並啟用竄改保護、啟用行為監視,以及啟用即時監視,除非識別到特定問題。
如需詳細資訊,請參閱 內建保護有助於防範勒索軟體。
請記住掃描如何與網路共用搭配使用。 根據預設、Windows上的Microsoft Defender防毒元件會在處理程序存取這些檔案時、掃描SMB共用網路檔案系統 (例如Windows伺服器共用或
\\server\smb-shareNetApp共用) 。Windows 上適用於端點的 Defender 中的 EDR 可能會掃描 SMB 共用網路檔案系統。 EDR 感應器會在檔案修改、刪除和移動作業期間掃描特定檔案,這些檔案會識別為 EDR 分析感興趣。
Linux 上的適用於端點的 Defender 不會在 排程掃描期間掃描 NFS 檔案系統。
針對感知健康情況或可靠性問題進行疑難排解。 若要針對這類問題進行疑難排解,請使用 適用於端點的 Defender 用戶端分析器工具。 適用於端點的 Defender 用戶端分析器在診斷已上線的 Windows、Linux 或 Mac 裝置上的感應器健康情況或可靠性問題時非常有用。 在這裡取得最新版本的適用於端點的 Defender 用戶端分析器: https://aka.ms/MDEClientAnalyzer。
如果您需要協助,請開啟支援案例。 請參閱連絡適用於端點的 Microsoft Defender 支援。
如果您搭配適用於雲端的 Microsoft Defender 使用生產 SAP VM,請記住,適用於雲端的 Defender 會將適用於端點的 Defender 延伸模組部署至所有 VM。 如果 VM 未上線至適用於端點的 Defender,則可以作為攻擊媒介使用。 如果您在部署至生產環境之前需要更多時間來測試適用於端點的 Defender,請 連絡支援人員。
有用的命令:適用於端點的 Microsoft Defender 搭配 Windows Server 上的 SAP
本節包含使用 PowerShell 和命令提示字元來確認或設定適用於端點的 Defender 設定的命令:
手動更新 Microsoft Defender 防病毒軟體定義
使用 Windows Update,或執行下列命令:
PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate
您應該會看到類似下列程式碼片段的輸出:
Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>
另一個選項是使用此命令:
PS C:\Program Files\Windows Defender> Update-MpSignature
如需這些命令的詳細資訊,請參閱下列資源:
判斷區塊模式中的 EDR 是否已開啟
當 Microsoft Defender 防病毒軟體不是主要防病毒軟體產品,而且以被動模式執行時,封鎖模式中的 EDR 會提供額外的惡意成品保護。 您可以執行下列命令來判斷是否啟用區塊模式下的 EDR:
Get-MPComputerStatus|select AMRunningMode
有兩種模式:正常模式和被動模式。 我們在測試 SAP 系統時使用 AMRunningMode = Normal 。
如需此命令的詳細資訊,請參閱 Get-MpComputerStatus。
設定防毒排除項目
在設定排除項目之前,請確定 SAP 基礎小組與您的安全小組協調。 排除項目應該集中設定,而不是在 VM 層級設定。 某些排除項目,例如共用 SAPMNT 檔案系統排除項目,應該使用 Microsoft Intune 系統管理入口網站中的原則來設定。
若要檢視排除項目,請使用下列命令:
Get-MpPreference | Select-Object -Property ExclusionPath
如需此命令的詳細資訊,請參閱 Get-MpComputerStatus。
如需排除專案的詳細資訊,請參閱下列資源:
設定 EDR 排除項目
不建議從 EDR 中排除檔案、路徑或進程,因為這類排除會損害對新式非檔案型威脅的保護。 如有必要,請在 Microsoft Defender 入口網站中開啟支援案例,並指定要排除的可執行檔和/或路徑。 如需詳細資訊,請參閱連絡適用於端點的 Microsoft Defender 支援。
在 Windows 上停用適用於端點的 Defender 以進行測試
注意
除非沒有其他替代方案來解決問題或隔離問題,否則不建議禁用安全軟件。
適用於端點的 Defender 應該設定為開啟 竄改保護 。 若要暫時停用適用於端點的 Defender 以隔離問題,請使用 疑難排解模式。
若要關閉 Microsoft Defender 防病毒軟體解決方案的各種子元件,請執行下列命令:
Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled
如需這些命令的詳細資訊,請參閱 Set-MpPreference。
重要事項
您無法關閉裝置上的 EDR 子元件。 關閉 EDR 的唯一方法是 將裝置下架。
若要關閉 雲端提供的保護 (也稱為Microsoft進階保護服務或 MAPS) ,請執行下列命令:
PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled
如需雲端傳遞保護的詳細資訊,請參閱下列資源:
- 雲端保護與 Microsoft Defender 防毒軟體
- Microsoft Defender 防病毒軟體的雲端保護和範例提交,如果您正在考慮是否要搭配安全性原則使用自動範例提交, ()