共用方式為

設定 AMSI 與 SharePoint Server 的整合

適用於:no-img-132013 yes-img-162016 yes-img-192019 yes-img-se訂閱版 no-img-sopMicrosoft 365 中的 SharePoint

簡介

網路安全格局已經發生了根本性的變化,大規模、複雜的攻擊以及 人為操作的勒索軟體 正在增加的訊號就證明了這一點。 比以往任何時候都更重要的是,讓您的內部部署基礎結構保持安全且最新狀態,包括 SharePoint Server。

為了協助客戶保護其環境,並回應來自攻擊的相關威脅,我們引進了 SharePoint Server 與 Windows 反惡意程式碼掃描介面 (AMSI) 之間的整合。 AMSI 是一種多功能標準,允許應用程式和服務與電腦上存在的任何支援 AMSI 的反惡意軟體產品整合。

AMSI 整合功能旨在防止惡意 Web 要求到達 SharePoint 端點。 例如,在安裝安全性弱點的官方修正程式之前,利用 SharePoint 端點中的安全性弱點。

從 SPSE) 25H1 版開始SharePoint Server 訂閱版本 (AMSI 會延伸其掃描功能,以包括 HTTP 要求內文。 此請求正文掃描功能可用於偵測和減輕可能嵌入在請求有效負載中的威脅,從而提供更全面的安全解決方案。

注意事項

新的要求本文掃描功能僅適用於 SharePoint Server 訂閱版本使用者。 到目前為止,它一直在早期發布環中可用,並將從 SPSE 2025 年 9 月 PU 開始包含在 Standard 環中。 自 SPSE 2025 年 9 月 PU 以來,早期發布環用戶可能會看到“完整模式”作為身體掃描的默認模式。

AMSI 與 SharePoint Server 的整合

當支援 AMSI 的防病毒軟體或反惡意代碼解決方案與 SharePoint Server 整合時,它可以檢查 HTTPHTTPS 向伺服器提出的要求,並防止 SharePoint Server 處理危險的要求。 伺服器上安裝的任何支援 AMSI 的防毒軟體或反惡意程式碼程式都會在伺服器開始處理要求時立即執行掃描。

AMSI 整合的目的不是取代伺服器上已安裝的現有防病毒軟體/反惡意代碼防禦;這是為了提供額外的保護層,防止對 SharePoint 端點發出的惡意 Web 請求。 客戶仍應在其伺服器上部署與 SharePoint 相容的防毒解決方案,以防止使用者上傳或下載帶有病毒的檔案。

必要條件

啟用 AMSI 整合之前,請檢查每個 SharePoint Server 上的下列必要條件:

  • Windows Server 2016 或更高版本
  • SharePoint Server 訂閱版本 22H2 或更新版本
  • SharePoint Server 2019組建 16.0.10396.20000 或更新版本 (KB 5002358:2023 年 3 月 14 日 SharePoint Server 2019) 安全性更新
  • SharePoint Server 2016 組建 16.0.5391.1000 或更新版本 (KB 5002385:SharePoint Server 2016) 的 2023 年 4 月 11 日安全性更新
  • AV 引擎版本為 1.1.18300.4 或更高版本的Microsoft Defender, (相容的支援 AMSI 的第三方防毒/反惡意軟體供應商)

啟用/停用 SharePoint Server 的 AMSI

從 SharePoint Server 2016/2019 的 2023 年 9 月安全性更新和 SharePoint Server 訂閱版本的 23H2 版功能更新開始,根據預設,SharePoint Server 內的所有 Web 應用程式都會啟用 AMSI 與 SharePoint Server 的整合。 此修改旨在增強客戶環境的整體安全性並減少潛在的安全漏洞。

若要啟動 2023 年 9 月安全性更新,客戶只需要安裝更新並執行 SharePoint 產品設定精靈。

注意事項

如果客戶略過安裝 2023 年 9 月公開更新,則會在安裝後續公開更新時啟用此變更,其中包含 SharePoint Server 2016/2019 的 2023 年 9 月安全性更新或 SharePoint Server 訂閱版本的 23H2 版功能更新。

從 2025 年 9 月公開更新開始,SharePoint Server 訂閱版本/2016/2019 的 AMSI 整合是必要元件,無法再停用。

如果客戶不想在其 SharePoint Server 伺服器陣列中自動啟用 AMSI 整合,他們可以遵循下列步驟:

  1. 安裝 SharePoint Server 2016/2019 的 2023 年 9 月安全性更新,或 SharePoint Server 訂閱版本的 23H2 版功能更新。
  2. 執行 SharePoint 產品設定精靈。
  3. 請遵循標準步驟,停用 Web 應用程式中的 AMSI 整合功能。

如果您遵循這些步驟,SharePoint 在安裝未來的公開更新時不會嘗試重新啟用此功能。

透過使用者介面設定 AMSI

如果您使用的是 SharePoint Server 2016 和 2019 的 2025 年 9 月公開更新或更早版本的 SharePoint Server 訂閱版本 25H1,請遵循下列步驟來手動停用或啟用每個 Web 應用程式的 AMSI 整合:

  1. 開啟 SharePoint 管理中心,然後選取 [應用程式管理]。
  2. [Web 應用程式] 底下,選取 [管理 Web 應用程式]。
  3. 選取您要啟用 AMSI 整合的 Web 應用程式,然後選取工具列中的 [管理功能 ]。
  4. [SharePoint Server 反惡意代碼掃描 ] 畫面上,選取 [ 停用 ] 以關閉 AMSI 整合,或選取 [啟用] 以開啟 AMSI 整合。

如果您安裝了 SharePoint Server 訂閱版本 25H1 功能更新,請遵循下列步驟來啟用或停用並設定 AMSI 整合設定:

  1. 開啟 SharePoint 管理中心

  2. 轉到 “安全性”部分

  3. 選取 AMSI 組態

  4. 在 AMSI 掃描組態頁面上,選取所需的 Web 應用程式。

  5. 接下來,您可以透過選擇適當的選項來選擇啟用或停用 AMSI 掃描功能。

    • 若要啟用 AMSI 掃描,請選取 [啟用 AMSI 掃描功能 ] 按鈕。 這可確保掃描所有 HTTP 請求標頭。
    • 若要停用掃描,請選取 [完全停用 AMSI 掃描功能 ] 按鈕。

  6. 啟用後,請選取 請求內文掃描 模式,以根據您的特定需求從下列可用選項中掃描請求內文:

    • 關閉:停用身體掃描。 這不會影響現有的標頭掃描功能。
    • 平衡模式:掃描傳送至系統預先定義敏感端點的要求內文,以及指定包含在內文掃描中的其他端點。
    • 完整模式:掃描傳送至所有端點 (明確排除的端點除外) 的要求內文,以改善效能,同時維持公平的安全性保證。

  7. 根據您選擇的模式指定應從本文掃描中包含或排除的端點,然後按一下 新增

    請確定端點包含整個要求 URI 路徑。 例如,include /SitePages/Home.aspx,以便它可以掃描 URL ,例如 http://test.contoso.com/SitePages/Home.aspx、 和 http://test.contoso.com/sites/marketing/SitePages/Home.aspx。 若要瞭解 URI 的語法結構,請參閱統一 資源識別碼 - 維基百科

    具有不同模式的 AMSI 掃描配置頁面的螢幕擷取畫面。

  8. 進行必要的變更後,選取 [確定 ] 以有效套用它們。

注意事項

  • 每個 Web 應用程式都必須獨立設定 AMSI,且指定的端點清單僅適用於該 Web 應用程式。
  • 如果 Web 應用程式停用 AMSI,則新的主體掃描功能在升級後仍會保持停用狀態。
  • 如果不啟用標頭掃描,就無法啟用正文掃描。
  • 身體掃描的預設設定是平衡模式。 升級至 SPSE 25H1 版之後,任何已啟用 AMSI 的 Web 應用程式也會在「平衡模式」中啟用內文掃描。

使用 PowerShell 設定 AMSI

或者,您可以使用 PowerShell 命令啟用/停用 Web 應用程式的 AMSI 整合。

若要停用,請執行下列 PowerShell 命令:

Disable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

若要啟用,請執行下列 PowerShell 命令:

Enable-SPFeature -Identity 4cf046f3-38c7-495f-a7da-a1292d32e8e9 -Url <web application URL>

升級至 SharePoint Server 訂閱版本 25H1 組建之後,您也可以使用 PowerShell 來設定本文掃描設定。 若要設定身體掃描模式,請執行下列命令:


$webAppUrl = "http://spwfe"

$webApp = Get-SPWebApplication -Identity $webAppUrl

$webApp.AMSIBodyScanMode = 1 # 0 = Off, 1 = Balanced, 2 = Full

$webApp.Update() # To save changes

# Iisreset # restarting the IIS service or recycling the app pool may be required when switching modes

若要將內文掃描模式設定為具有目標端點的平衡模式,請執行下列命令:

# Get current list of targeted endpoints

$webApp.AMSITargetedEndpoints

# Add a targeted endpoint

$webApp.AddAMSITargetedEndpoints('/test/page123', 1)

# Get a certain targeted endpoint

$webApp.GetAMSITargetedEndpoint('/test/page123')

# Remove a targeted endpoint

$webApp.RemoveAMSITargetedEndpoints('/test/page123')

# Update the web app object to save changes

$webApp.Update()

若要將內文掃描模式設定為具有排除端點的完整模式,請執行下列命令:

# Get current list of excluded endpoints

$webApp.AMSIExcludedEndpoints

# Add an excluded endpoint

$webApp.AddAMSIExcludedEndpoints('/test/page123', 1)

# Get a certain excluded endpoint

$webApp.GetAMSIExcludedEndpoint('/test/page123')

# Remove an excluded endpoint

$webApp.RemoveAMSIExcludedEndpoints('test123456')

# Update the web app object to save changes

$webApp.Update()

測試並驗證 AMSI 與 SharePoint Server 的整合

您可以測試 AMSI) 功能 (反惡意代碼掃描介面,以確認其正常運作。 這牽涉到使用 Microsoft Defender 辨識用於測試目的的特殊測試字串將要求傳送至 SharePoint Server。 此測試字串並不危險,但 Microsoft Defender 會將其視為惡意,因此您可以確認它在遇到惡意要求時的行為方式。

如果在 SharePoint Server 中啟用 AMSI 整合,並使用 Microsoft Defender 作為其惡意代碼偵測引擎,則此測試字串的存在會導致 AMSI 封鎖要求,而不是由 SharePoint 處理。

測試字串與 EICAR 測試檔案 類似,但略有不同,以避免 URL 編碼混淆。

您可以在對 SharePoint Server 的要求中將測試字串新增為查詢字串或 HTTP 標頭,以測試 AMSI 整合。

使用查詢字串來測試 AMSI 整合

amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

例如:將請求傳送至 https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Invoke-WebRequest -Uri "https://servername/sites/sitename?amsiscantest:x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*" -Method GET

使用 HTTP 標頭來測試 AMSI 整合

amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

例如:傳送如下所示的請求。

GET /sites/sitename HTTP/1.1
Host: servername
amsiscantest: x5opap4pzx54p7cc7$eicar-standard-antivirus-test-fileh+h*

Microsoft Defender 會將此偵測為下列惡意探索:

Exploit:Script/SharePointEicar.A

注意事項

如果您使用 Microsoft Defender 以外的惡意代碼偵測引擎,則您應該洽詢惡意代碼偵測引擎廠商,以判斷測試其與 SharePoint Server 中 AMSI 功能整合的最佳方式。

其他參考文獻

使用 Microsoft Defender 作為主要 AMSI 解決方案的效能影響

根據預設,Microsoft Defender防毒軟體 (MDAV) 是支援 AMSI 的解決方案,會自動啟用並安裝在執行 Windows 10、Windows Server 2016 及更新版本的端點和裝置上。 如果您尚未安裝防病毒軟體/反惡意代碼應用程式,SharePoint Server AMSI 整合可與 MDAV 搭配使用。 如果您安裝並啟用其他防毒/反惡意軟體應用程式,MDAV 會自動關閉。 如果您解除安裝其他應用程式,MDAV 會自動重新開啟,而 SharePoint Server 整合將與 MDAV 搭配使用。

在 SharePoint Server 上使用 MDAV 的優點包括:

  • MDAV 會擷取符合惡意內容的簽章。 如果 Microsoft 得知可封鎖的惡意探索,則可以部署新的 MDAV 簽章來封鎖惡意探索影響 SharePoint。
  • 使用現有技術為惡意內容添加簽名。
  • 使用 Microsoft 惡意軟體研究小組的專業知識來新增簽章。
  • 使用 MDAV 已套用的最佳做法來新增其他簽章。

Web 應用程式可能會對效能產生影響,因為 AMSI 掃描會使用 CPU 資源。 使用 MDAV 測試時,AMSI 掃描不會觀察到明顯的效能影響,而且不會對現有記錄的 SharePoint Server 防病毒軟體排除項目進行任何變更。 每個防毒提供者都開發了自己的定義,這些定義利用了 AMSI 技術。 因此,您的保護等級仍然取決於您的特定解決方案更新以偵測最新威脅的速度。

通過命令行的 Microsoft Defender 版本

注意事項

如果您使用 Microsoft Defender,您可以使用命令列並確保使用最新版本更新簽章。

  1. 以管理員身分啟動 Command Prompt
  2. 瀏覽至 %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>
  3. 執行 mpcmdrun.exe -SignatureUpdate

這些步驟會判斷您目前的引擎版本、檢查更新的定義,以及報告。

Copyright (C) Microsoft Corporation. All rights reserved.
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>MpCmdRun.exe -SignatureUpdate
Signature update started . . .
Service Version: 4.18.2106.6
Engine Version: 1.1.18300.4 
AntiSpyware Signature Version: 1.343.1364.0
AntiVirus Signature Version: 1.343.1364.0
Signature update finished. No updates needed
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0>
  • Last updated on