Microsoft Defender for Endpoint plug-in til Windows-undersystem til Linux (WSL)

Oversigt

Den Windows-undersystem til Linux (WSL) 2, som erstatter den tidligere version af WSL (understøttet af Microsoft Defender for Endpoint uden en plug-in), indeholder et Linux-miljø, der problemfrit er integreret med Windows, men som er isoleret ved hjælp af virtualiseringsteknologi. Plug-in'en Microsoft Defender for Endpoint til Windows-undersystem til Linux 2 (WSL) gør det muligt for Defender for Endpoint at give større synlighed i alle kørende WSL-objektbeholdere ved at tilslutte til det isolerede undersystem.

Kendte problemer og begrænsninger

Vær opmærksom på følgende, før du starter:

1. Plug-in'en understøtter ikke automatiske opdateringer af versioner før 0.24.426.1. På version 0.24.426.1 og nyere understøttes opdateringer via Windows Update på tværs af alle ringe. Opdateringer via WSUS (Windows Server Update Services), System Center Configuration Manager (SCCM) og Microsoft Update-kataloget understøttes kun i produktionsringen for at sikre pakkestabilitet.

2. Da det tager et par minutter for plug-in'en at instantiere fuldt ud og op til 30 minutter for en WSL2-forekomst at onboarde sig selv, kan korte WSL-objektbeholderforekomster resultere i, at WSL2-forekomsten ikke vises i Microsoft Defender-portalen (https://security.microsoft.com). Når en (enhver) distribution har kørt længe nok (mindst 30 minutter), vises den.

3. Kørsel af en brugerdefineret kerne- og brugerdefineret kernekommandolinje understøttes i denne version. Plug-in'en giver dog ingen garantier for synligheden i WSL, når du kører en brugerdefineret kerne- og brugerdefineret kernekommandolinje.

Software forudsætninger

• WSL version 2.0.7 eller nyere skal køre med mindst én aktiv distro.

  Kør wsl --update for at sikre, at du har den nyeste version. Hvis wsl -–version der vises en version, der er ældre end 2.0.7, skal du køre wsl -–update –pre-release for at få den nyeste opdatering.

• Defender for Endpoint skal onboardes og køre på Windows-værtsoperativsystemet.

• Værtsoperativsystemet skal køre Windows 10 klient, version 2004 og nyere (build 19044 eller nyere) eller Windows 11 klient for at understøtte de Windows-undersystem til Linux versioner, der kan arbejde med plug-in'en.

Softwarekomponenter og installationsfilnavne

Installationsprogram: DefenderPlugin-x64-0.24.426.1.msi. Du kan downloade den fra onboardingsiden på Microsoft Defender portalen.

Installationsmapper:

• %ProgramFiles%

• %ProgramData%

Installerede komponenter:

• DefenderforEndpointPlug-in.dll. Denne DLL er det bibliotek, hvor Defender for Endpoint skal indlæses, så det fungerer i WSL. Du kan finde den på %ProgramFiles%\Microsoft Defender for Endpoint plug-in til WSL\plug-in.

• healthcheck.exe. Dette program kontrollerer tilstandsstatussen for Defender for Endpoint og giver dig mulighed for at se de installerede versioner af WSL, plug-in og Defender for Endpoint. Du kan finde den på %ProgramFiles%\Microsoft Defender for Endpoint plug-in til WSL\tools.

Installationstrin

Hvis din Windows-undersystem til Linux endnu ikke er installeret, skal du følge disse trin:

1. Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.

2. Kør kommandoen wsl -–install.

   1. Bekræft, at WSL er installeret og kører

   1. Kør wsl –-update ved hjælp af Terminal eller Kommandoprompt for at sikre, at du har den nyeste version.

   2. Kør kommandoen wsl for at sikre, at WSL kører, før du tester.

   2. Installér plug-in'en

   Når WSL kører og er helt opdateret, skal du følge disse trin for at installere plug-in'en:

   1. Installér den MSI-fil, der er downloadet fra onboardingafsnittet på Microsoft Defender-portalen (Settings>Endpoints>Onboarding>Windows-undersystem til Linux 2 (plug-in)).

   2. Åbn en kommandoprompt/terminal, og kør wsl.

   Du kan installere pakken ved hjælp af Microsoft Intune.

Bemærk!

Hvis WslService kører, stopper den under installationsprocessen. Du behøver ikke at onboarde delsystemet separat. i stedet onboardes plug-in'en automatisk til den lejer, som Windows-værten er onboardet til.

Tjekliste til validering af installation

1. Efter opdatering eller installation skal du vente i mindst fem minutter på, at plug-in'en initialiserer og skriver logoutput helt.

2. Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.

3. Kør kommandoen: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

4. Kør kommandoen .\healthcheck.exe.

5. Gennemse oplysningerne om Defender og WSL, og sørg for, at de stemmer overens eller overskrider følgende krav:

   • Plug-in-version: 0.24.426.1
   • WSL-version: 2.0.7.0 eller nyere
   • Version af Defender-app: 701.00000.1509
   • Tilstandsstatus for Defender: Healthy

Angivelse af en proxy for Defender, der kører i WSL

I dette afsnit beskrives det, hvordan du konfigurerer proxyforbindelsen for Defender for Endpoint-plug-in'en. Hvis din virksomhed bruger en proxy til at oprette forbindelse til Defender for Endpoint, der kører på Windows-værten, skal du fortsætte med at læse for at afgøre, om du skal konfigurere den til plug-in'en.

Hvis du vil bruge værts-windows EDR-telemetriproxykonfigurationen til MDE til WSL-plug-in'en, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.

Hvis du vil bruge værts-winhttp-proxykonfigurationen til MDE til WSL-plug-in, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.

Hvis du vil bruge værtsnetværks- og netværksproxyindstillingen for MDE til WSL-plug-in'en, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.

Valg af plug-in-proxy

Hvis værtscomputeren indeholder flere proxyindstillinger, vælger plug-in'en proxykonfigurationerne med følgende hierarki:

1. Indstilling for statisk proxy for Slutpunkt (TelemetryProxyServer).

2. Winhttp proxy (konfigureret via netsh kommando).

3. Netværk & internetproxyindstillinger.

Eksempel: Hvis værtscomputeren har både Winhttp-proxy og Network & internetproxy, vælger Winhttp proxy plug-in'en som proxykonfiguration.

Bemærk!

Registreringsdatabasenøglen DefenderProxyServer understøttes ikke længere. Følg ovenstående trin for at konfigurere proxy-in-plug-in'en.

Forbindelsestest for Defender, der kører i WSL

I følgende procedure beskrives det, hvordan du bekræfter, at Defender i Slutpunkt i WSL har internetforbindelse.

1. Åbn registreringsdatabasen Editor som administrator.

2. Create en registreringsdatabasenøgle med følgende oplysninger:

   • Navn: ConnectivityTest
   • Type: REG_DWORD
   • Værdi: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
   • Sti: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

3. Når registreringsdatabasen er angivet, skal du genstarte wsl ved hjælp af følgende trin:

   1. Åbn kommandoprompten, og kør kommandoen . wsl --shutdown

   2. Kør kommandoen wsl.

4. Vent i 5 minutter, og kør healthcheck.exe derefter (placeret på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools for resultaterne af forbindelsestesten).

   Hvis det lykkes, kan du se, at forbindelsestesten lykkedes.

Bemærk!

Hvis du vil angive en proxy til brug i WSL-objektbeholdere (de distributioner, der kører på undersystemet), skal du se Konfiguration af avancerede indstillinger i WSL.

Bekræftelse af funktionalitet og SOC-analytikeroplevelse

Efter installation af plug-in'en er undersystemet og alle dets kørende objektbeholdere onboardet på Microsoft Defender portalen.

1. Log på Microsoft Defender-portalen, og åbn visningen Enheder.

2. Filtrer ved hjælp af mærket WSL2.

Du kan se alle WSL-forekomster i dit miljø med en aktiv Defender for Endpoint-plug-in til WSL. Disse forekomster repræsenterer alle distributioner, der kører i WSL på en given vært. Værtsnavnet på en enhed svarer til Windows-værtens. Den repræsenteres dog som en Linux-enhed.

3. Åbn enhedssiden. I ruden Oversigt er der et link til det sted, hvor enheden hostes. Linket giver dig mulighed for at forstå, at enheden kører på en Windows-vært. Du kan derefter pivotere til værten for yderligere undersøgelse og/eller svar.

   

Tidslinjen udfyldes, ligesom Defender for Endpoint på Linux, med hændelser inde fra undersystemet (fil, proces, netværk). Du kan se aktivitet og registreringer i tidslinjevisningen. Beskeder og hændelser genereres også efter behov.

Test plug-in'en

Følg disse trin for at teste plug-in'en efter installationen:

1. Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.

2. Kør kommandoen wsl.

3. Hent og udpak scriptfilen fra https://aka.ms/LinuxDIY.

4. Kør kommandoen ./mde_linux_edr_diy.shi Linux-prompten.

   Der vises en besked på portalen efter et par minutter for at få en registrering på WSL2-forekomsten.

   Bemærk!

   Det tager ca. 5 minutter, før hændelserne vises på Microsoft Defender-portalen.

Behandl computeren, som om den var en almindelig Linux-vært i dit miljø at udføre test mod. Vi vil især gerne have din feedback på muligheden for at vise potentielt skadelig adfærd ved hjælp af den nye plug-in.

Avanceret jagt

I skemaet Avanceret jagt under tabellen DeviceInfo er der en ny attribut HostDeviceId kaldet , som du kan bruge til at knytte en WSL-forekomst til dens Windows-værtsenhed. Her er et par eksempler på jagtforespørgsler:

Hent alle WSL-enheds-id'er for den aktuelle organisation/lejer

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Hent WSL-enheds-id'er og deres tilsvarende værtsenheds-id'er

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Hent en liste over WSL-enheds-id'er, hvor curl eller wget blev kørt

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Fejlfinding

1. Kommandoen healthcheck.exe viser outputtet "Start WSL-distro med kommandoen "bash", og prøv igen om 5 minutter."

   

2. Hvis den tidligere nævnte fejl opstår, skal du benytte følgende fremgangsmåde:

   1. Åbn en terminalforekomst, og kør kommandoen wsl.

   2. Vent i mindst 5 minutter, før du kører tilstandskontrollen igen.

3. Kommandoen healthcheck.exe viser muligvis outputtet "Venter på telemetri. Prøv igen om 5 minutter."

   

   Hvis denne fejl opstår, skal du vente i 5 minutter og køre healthcheck.exeigen .

4. Hvis du ikke kan se nogen enheder på Microsoft Defender-portalen, eller du ikke kan se nogen hændelser på tidslinjen, skal du kontrollere følgende ting:

   • Hvis du ikke kan se et maskinobjekt, skal du sørge for, at der er gået tilstrækkelig tid til, at onboarding kan fuldføres (typisk op til 10 minutter).

   • Sørg for at bruge de rigtige filtre, og at du har de rette tilladelser tildelt til at få vist alle enhedsobjekter. (Er din konto/gruppe f.eks. begrænset til en bestemt gruppe?)

   • Brug tilstandskontrolværktøjet til at give et overblik over den overordnede plug-in-tilstand. Åbn Terminal, og kør værktøjet healthcheck.exe fra %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

     

   • Aktivér forbindelsestesten, og kontrollér for Defender for Endpoint-forbindelse i WSL. Hvis forbindelsestesten mislykkes, skal du angive outputtet fra tilstandskontrolværktøjet til mdeforwsl-preview@microsoft.com.

   • Hvis testrapporterne for forbindelsen er "ugyldige" i tilstandskontrollen, skal du inkludere følgende konfigurationsindstillinger i , der .wslconfig er placeret i din %UserProfile% og genstarte WSL. Du kan finde oplysninger om indstillinger i WSL-indstillinger.

     • I Windows 11

       # Settings apply across all Linux distros running on WSL 2
       [wsl2]
       
       dnsTunneling=true
       
       networkingMode=mirrored  
       

     • I Windows 10

       # Settings apply across all Linux distros running on WSL 2
       [wsl2]
       
       dnsProxy=false
       

5. Hvis du står over for andre udfordringer eller problemer, skal du åbne terminalen og køre følgende kommandoer for at generere supportbundtet:

   cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
   

   .\healthcheck.exe --supportBundle 
   

   Supportbundtet findes i den sti, der blev leveret af den forrige kommando.

   

6. Microsoft Defender Slutpunkt for WSL understøtter Linux-distributioner, der kører på WSL 2. Hvis de er knyttet til WSL 1, kan der opstå problemer. Det anbefales derfor at deaktivere WSL 1. Hvis du vil gøre det med politikken for Intune, skal du udføre følgende trin:

   1. Gå til Microsoft Intune Administrationsportal.

   2. Gå tilEnhedskonfigurationsprofiler>>Create>Ny politik.

   3. Vælg Windows 10 og nyere>kataloget Indstillinger.

   4. Create et navn til den nye profil, og søg efter Windows-undersystem til Linux for at se og tilføje en komplet liste over tilgængelige indstillinger.

   5. Angiv indstillingen Tillad WSL1 til Deaktiveret for at sikre, at det kun er WSL 2-distributioner, der kan bruges.

   Hvis du vil fortsætte med at bruge WSL 1 eller ikke bruge politikken for Intune, kan du vælge at tilknytte de installerede distributioner, så de kører på WSL 2, ved at køre kommandoen i PowerShell:

   wsl --set-version <YourDistroName> 2
   

   Hvis WSL 2 skal være din WSL-standardversion, så nye distributioner kan installeres i systemet, skal du køre følgende kommando i PowerShell:

   wsl --set-default-version 2
   

7. Plug-in'en bruger Windows EDR-ringen som standard. Hvis du vil skifte til en tidligere ring, skal du angive OverrideReleaseRing til en af følgende under registreringsdatabasen og genstarte wsl:

   • Navn: OverrideReleaseRing
   • Type: REG_SZ
   • Værdi: Dogfood or External or InsiderFast or Production
   • Sti: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL