Microsoft Defender for Endpoint plug-in pro Subsystém Windows pro Linux (WSL)
Platí pro:
- Plán 2 pro Microsoft Defender pro koncový bod
- Windows 11
- Windows 10 verze 2004 a novější (build 19044 a novější)
Přehled
Subsystém Windows pro Linux (WSL) 2, která nahrazuje předchozí verzi WSL (podporovanou Microsoft Defender for Endpoint bez modulu plug-in), poskytuje prostředí Linuxu, které je bez problémů integrované s Windows, ale je izolované pomocí virtualizační technologie. Modul plug-in Defender for Endpoint for WSL umožňuje defenderu for Endpoint poskytovat lepší přehled o všech spuštěných kontejnerech WSL připojením do izolovaného subsystému.
Známé problémy a omezení
Než začnete, mějte na paměti následující:
Modul plug-in nepodporuje automatické aktualizace ve verzích starších než
1.24.522.2
. Ve verzi1.24.522.2
a novějších verzích se aktualizace podporují prostřednictvím služba Windows Update napříč všemi okruhy. Aktualizace prostřednictvím služby Wsus (Windows Server Update Services), System Center Configuration Manager (SCCM) a katalogu Služby Microsoft Update se podporují pouze v okruhu Produkční, aby byla zajištěna stabilita balíčků.Úplné vytvoření instance modulu plug-in trvá několik minut a až 30 minut, než se instance WSL2 sama připojí. Krátkodobé instance kontejnerů WSL můžou způsobit, že se instance WSL2 nezobrazí na portálu Microsoft Defender (https://security.microsoft.com). Jakmile nějaká distribuce běží dostatečně dlouho (alespoň 30 minut), zobrazí se.
V této verzi je podporováno spuštění vlastního jádra a vlastního příkazového řádku jádra. Modul plug-in však nezaručuje viditelnost v rámci WSL, pokud používáte vlastní jádro a vlastní příkazový řádek jádra.
Distribuce operačního systému se na stránce Přehled zařízení WSL na portálu Microsoft Defender zobrazí žádná.
Modul plug-in není podporován na počítačích s procesorem ARM64.
Požadavky na software
WSL verze 2.0.7.0 nebo novější musí běžet s alespoň jednou aktivní distribucí.
Spusťte příkaz
wsl --update
a ujistěte se, že používáte nejnovější verzi. Pokudwsl -–version
se zobrazí verze starší než 2.0.7.0, nejnovější aktualizaci získáte spuštěním příkazuwsl -–update –pre-release
.Klientské zařízení s Windows musí být nasazené do programu Defender for Endpoint.
Klientské zařízení s Windows musí používat Windows 10 verze 2004 a novější (build 19044 a novější) nebo Windows 11 pro podporu verzí WSL, které můžou s modulem plug-in pracovat.
Softwarové komponenty a názvy instalačních souborů
Instalační program: DefenderPlugin-x64-0.24.426.1.msi
. Můžete si ho stáhnout ze stránky onboardingu na portálu Microsoft Defender.
Instalační adresáře:
%ProgramFiles%
%ProgramData%
Nainstalované komponenty:
DefenderforEndpointPlug-in.dll
. Tato knihovna DLL je knihovna, která načte Defender for Endpoint, aby fungoval v rámci WSL. Najdete ho v modulu plug-in %ProgramFiles%\Microsoft Defender for Endpoint pro WSL\plug-in.healthcheck.exe
. Tento program zkontroluje stav Defenderu for Endpoint a umožňuje zobrazit nainstalované verze WSL, modulu plug-in a Defenderu for Endpoint. Najdete ho v modulu plug-in %ProgramFiles%\Microsoft Defender for Endpoint pro WSL\tools.
Postup instalace
Pokud váš Subsystém Windows pro Linux ještě není nainstalovaný, postupujte takto:
Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)
Spusťte příkaz
wsl -–install
.Ověřte, že je WSL nainstalovaný a spuštěný.
V terminálu nebo příkazovém řádku spusťte příkaz
wsl –-update
a ujistěte se, že máte nejnovější verzi.Před testováním
wsl
spusťte příkaz a ujistěte se, že wsL běží.
Nainstalujte modul plug-in následujícím postupem:
Nainstalujte soubor MSI stažený z části onboardingu na portálu Microsoft Defender (Onboarding>koncových bodů>nastavení>Subsystém Windows pro Linux 2 (modul plug-in)).
Otevřete příkazový řádek nebo terminál a spusťte příkaz
wsl
.
Balíček můžete nasadit pomocí Microsoft Intune.
Poznámka
Pokud WslService
je spuštěný, zastaví se během procesu instalace. Není nutné onboardovat subsystém samostatně. místo toho se modul plug-in automaticky připojí k tenantovi, ke které je hostitel Windows nasazený.
Kontrolní seznam pro ověření instalace
Po aktualizaci nebo instalaci počkejte alespoň pět minut, než modul plug-in plně inicializuje a zapíše výstup protokolu.
Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)
Spusťte příkaz :
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Spusťte příkaz
.\healthcheck.exe
.Projděte si podrobnosti o defenderech a WSL a ujistěte se, že splňují nebo překračují následující požadavky:
- Verze modulu plug-in:
1.24.522.2
- Verze WSL:
2.0.7.0
nebo novější - Verze aplikace Defender:
101.24032.0007
- Stav defenderu:
Healthy
- Verze modulu plug-in:
Nastavení proxy serveru pro Defender spuštěný ve WSL
Tato část popisuje, jak nakonfigurovat připojení k proxy serveru pro modul plug-in Defender for Endpoint. Pokud váš podnik používá proxy server k zajištění připojení k Defenderu for Endpoint běžícímu na hostiteli Windows, pokračujte ve čtení a zjistěte, jestli je potřeba ho nakonfigurovat pro modul plug-in.
Pokud chcete použít konfiguraci proxy telemetrie EDR hostitele pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.
Pokud chcete použít konfiguraci proxy serveru winhttp hostitele pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.
Pokud chcete použít nastavení hostitelské sítě a síťového proxy serveru pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.
Výběr proxy modulů plug-in
Pokud hostitelský počítač obsahuje více nastavení proxy serveru, modul plug-in vybere konfigurace proxy serveru s následující hierarchií:
Nastavení statického proxy serveru Defenderu for Endpoint (
TelemetryProxyServer
).Winhttp
proxy (nakonfigurované prostřednictvímnetsh
příkazu).Nastavení internetového proxy serveru & sítě.
Příklad: Pokud má hostitelský počítač proxy server Winhttp i síťový & internetový proxy server, modul plug-in se vybere Winhttp proxy
jako konfigurace proxy serveru.
Poznámka
Klíč DefenderProxyServer
registru se už nepodporuje. Při konfiguraci proxy serveru v modulu plug-in postupujte podle výše uvedených kroků.
Test připojení pro Defender spuštěný ve WSL
Následující postup popisuje, jak ověřit, že defender v koncovém bodu ve WSL má připojení k internetu.
Otevřete registr Editor jako správce.
Create klíč registru s následujícími podrobnostmi:
- Název:
ConnectivityTest
- Typ:
REG_DWORD
- Hodnota:
Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
- Cesta:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
- Název:
Po nastavení registru restartujte wsl pomocí následujícího postupu:
Otevřete příkazový řádek a spusťte příkaz
wsl --shutdown
.Spusťte příkaz
wsl
.
Počkejte 5 minut a pak spusťte příkaz
healthcheck.exe
(v umístění%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
najdete výsledky testu připojení).V případě úspěchu uvidíte, že test připojení byl úspěšný. Pokud došlo k selhání, můžete vidět, že test připojení indikoval
invalid
, že připojení klienta z WSL do adres URL služby Defender for Endpoint selhává.
Poznámka
Pokud chcete nastavit proxy server pro použití v kontejnerech WSL (distribuce spuštěné v subsystému), přečtěte si téma Pokročilá konfigurace nastavení ve WSL.
Ověření funkčnosti a zkušenosti analytika SOC
Po instalaci modulu plug-in se subsystém a všechny jeho spuštěné kontejnery onboardují na portálu Microsoft Defender.
Přihlaste se k portálu Microsoft Defender a otevřete zobrazení Zařízení.
Filtrujte pomocí značky WSL2.
Pomocí aktivního modulu plug-in Defender for Endpoint pro WSL můžete zobrazit všechny instance WSL ve vašem prostředí. Tyto instance představují všechny distribuce spuštěné v rámci WSL na daném hostiteli. Název hostitele zařízení se shoduje s názvem hostitele windows. Je ale reprezentované jako zařízení s Linuxem.
Otevřete stránku zařízení. V podokně Přehled je odkaz na místo, kde je zařízení hostované. Odkaz vám umožní pochopit, že zařízení běží na hostiteli s Windows. Pak se můžete přesunout na hostitele, abyste mohli provést další šetření a/nebo odpověď.
Časová osa se naplní podobně jako Defender for Endpoint v Linuxu událostmi ze subsystému (soubor, proces, síť). Aktivity a detekce můžete sledovat v zobrazení časové osy. Podle potřeby se generují také výstrahy a incidenty.
Testování modulu plug-in
Pokud chcete modul plug-in po instalaci otestovat, postupujte takto:
Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)
Spusťte příkaz
wsl
.Stáhněte a extrahujte soubor skriptu z https://aka.ms/LinuxDIY.
Na příkazovém řádku Linuxu spusťte příkaz
./mde_linux_edr_diy.sh
.Po několika minutách by se na portálu mělo zobrazit upozornění na detekci instance WSL2.
Poznámka
Události se na portálu Microsoft Defender zobrazí přibližně za 5 minut.
Zacházejte s počítačem, jako by se jednalo o běžného hostitele Linuxu ve vašem prostředí, na který se provádí testování. Konkrétně bychom chtěli získat vaši zpětnou vazbu ohledně možnosti potenciálně škodlivého chování pomocí nového modulu plug-in.
Pokročilé rozšířené proaktivní vyhledávání
Ve schématu rozšířeného proaktivního vyhledávání je v DeviceInfo
tabulce nový atribut s názvem HostDeviceId
, který můžete použít k mapování instance WSL na její hostitelské zařízení s Windows. Tady je několik ukázkových dotazů proaktivního vyhledávání:
Získání všech ID zařízení WSL pro aktuální organizaci nebo tenanta
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
Získání ID zařízení WSL a jejich odpovídajícíCH ID zařízení hostitele
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
Získání seznamu ID zařízení WSL, ve kterých se spustila aplikace curl nebo wget
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Řešení problémů
Příkaz
healthcheck.exe
zobrazí výstup "Spusťte distribuci WSL s příkazem bash" a zkuste to znovu za 5 minut.Pokud dojde k dříve uvedené chybě, proveďte následující kroky:
Otevřete instanci terminálu a spusťte příkaz
wsl
.Před opětovnou kontrolou stavu počkejte alespoň 5 minut.
Příkaz
healthcheck.exe
může zobrazit výstup Čekání na telemetrii. Zkuste to prosím znovu za 5 minut."Pokud k této chybě dojde, počkejte 5 minut a spusťte
healthcheck.exe
znovu .Pokud na portálu Microsoft Defender nevidíte žádná zařízení nebo na časové ose nevidíte žádné události, zkontrolujte následující:
Pokud se objekt počítače nezobrazuje, ujistěte se, že uplynula dostatečná doba k dokončení onboardingu (obvykle až 10 minut).
Ujistěte se, že používáte správné filtry a že máte přiřazená příslušná oprávnění k zobrazení všech objektů zařízení. (Například je váš účet nebo skupina omezena na určitou skupinu?)
Pomocí nástroje pro kontrolu stavu můžete získat přehled o celkovém stavu modulu plug-in. Otevřete Terminál a spusťte nástroj z
healthcheck.exe
.%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
Povolte test připojení a zkontrolujte připojení k Defenderu for Endpoint ve WSL. Pokud test připojení selže, poskytněte výstup nástroje pro kontrolu stavu našemu týmu podpory.
Pokud test připojení hlásí při kontrole stavu "neplatné", zahrňte následující nastavení konfigurace do umístění v
.wslconfig
a restartujte%UserProfile%
WSL. Podrobnosti o nastavení najdete v části Nastavení WSL.- V Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
- V Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
- V Windows 11
Pokud narazíte na jakékoli jiné problémy nebo problémy, otevřete Terminál a spuštěním následujících příkazů vygenerujte sadu podpory:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
Balíček podpory najdete v cestě poskytnuté předchozím příkazem.
Microsoft Defender Koncový bod pro WSL podporuje distribuce Linuxu spuštěné na WSL 2. Pokud jsou přidružené k WSL 1, můžete narazit na problémy. Proto doporučujeme zakázat WSL 1. Pokud to chcete provést pomocí zásad Intune, proveďte následující kroky:
Přejděte do centra pro správu Microsoft Intune.
Přejděte naProfily> konfigurace zařízení>Create>Nové zásady.
Vyberte katalog Windows 10 a novějších>nastavení.
Create název nového profilu a vyhledejte Subsystém Windows pro Linux, abyste viděli a přidali úplný seznam dostupných nastavení.
Pokud chcete zajistit, aby bylo možné používat pouze distribuce WSL 2, nastavte Povolit WSL1 na Zakázáno.
Případně pokud chcete dál používat WSL 1 nebo nepoužívat zásady Intune, můžete selektivně přidružit nainstalované distribuce ke spuštění ve WSL 2 spuštěním příkazu v PowerShellu:
wsl --set-version <YourDistroName> 2
Pokud chcete mít WSL 2 jako výchozí verzi WSL pro nové distribuce, které se mají nainstalovat v systému, spusťte v PowerShellu následující příkaz:
wsl --set-default-version 2
Modul plug-in ve výchozím nastavení používá okruh Windows EDR. Pokud chcete přepnout na dřívější okruh, nastavte
OverrideReleaseRing
v registru jednu z následujících možností a restartujte WSL:
- Název:
OverrideReleaseRing
- Typ:
REG_SZ
- Hodnota:
Dogfood or External or InsiderFast or Production
- Cesta:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
Pokud se při spuštění WSL zobrazí chyba typu "Modul plug-in DefenderforEndpointPlug-in vrátil závažnou chybu s kódem chyby: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", znamená to, že instalace modulu plug-in Defender for Endpoint pro WSL je chybná. Pokud ho chcete opravit, postupujte takto:
V Ovládací panely přejděte na Programy>Programy Programy a funkce.
Vyhledejte a vyberte Microsoft Defender for Endpoint modul plug-in pro WSL. Pak vyberte Opravit.
To by mělo problém vyřešit umístěním správných souborů do očekávaných adresářů.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro