Microsoft Defender for endepunkt plugin-modul for Windows-undersystem for Linux (WSL)
Gjelder for:
- Microsoft Defender for endepunkt plan 2
- Windows 11
- Windows 10, versjon 2004 og nyere (bygg 19044 og nyere)
Oversikt
Windows-undersystem for Linux (WSL) 2, som erstatter den forrige versjonen av WSL (støttet av Microsoft Defender for endepunkt uten plugin-modul), gir et Linux-miljø som er sømløst integrert med Windows, men som likevel er isolert ved hjelp av virtualiseringsteknologi. Plugin-modulen Defender for Endpoint for WSL gjør det mulig for Defender for Endpoint å gi mer synlighet i alle WSL-beholdere som kjører, ved å koble til det isolerte delsystemet.
Kjente problemer og begrensninger
Vær oppmerksom på følgende før du begynner:
Plugin-modulen støtter ikke automatiske oppdateringer på versjoner før
1.24.522.2
. På versjon1.24.522.2
og nyere; oppdateringer støttes gjennom Windows Update på tvers av alle ringer. Oppdateringer via Windows Server Update Services (WSUS), støttes System Center Configuration Manager (SCCM) og Microsoft Update-katalogen bare i produksjonsringen for å sikre pakkestabilitet.Det tar noen minutter før plugin-modulen instansieres fullstendig, og opptil 30 minutter for en WSL2-forekomst til selve modulen. Kortvarige WSL-beholderforekomster kan føre til at WSL2-forekomsten ikke vises i Microsoft Defender portal (https://security.microsoft.com). Når en distribusjon har kjørt lenge nok (minst 30 minutter), vises den.
Kjøring av en egendefinert kjerne og egendefinert kjernekommandolinje støttes i denne versjonen. Plugin-modulen garanterer imidlertid ikke synlighet i WSL når du kjører en egendefinert kjerne og egendefinert kjernekommandolinje.
OS-distribusjon vises Ingen på enhetsoversiktssiden for WSL-enheten i Microsoft Defender portal.
Plugin-modulen støttes ikke på maskiner med ARM64-prosessor.
Forutsetninger for programvare
WSL versjon 2.0.7.0 eller nyere må kjøre med minst én aktiv distro.
Kjør
wsl --update
for å sikre at du har den nyeste versjonen. Hviswsl -–version
du viser en versjon som er eldre enn 2.0.7.0, kjørerwsl -–update –pre-release
du for å få den nyeste oppdateringen.Windows-klientenheten må være koblet til Defender for endepunkt.
Windows-klientenheten må kjøre Windows 10, versjon 2004 og nyere (bygg 19044 og nyere) eller Windows 11 for å støtte WSL-versjonene som kan fungere med plugin-modulen.
Programvarekomponenter og installasjonsfilnavn
Installasjonsprogram: DefenderPlugin-x64-0.24.426.1.msi
. Du kan laste den ned fra pålastingssiden i Microsoft Defender-portalen.
Installasjonskataloger:
%ProgramFiles%
%ProgramData%
Komponenter installert:
DefenderforEndpointPlug-in.dll
. Denne DLL-filen er biblioteket for innlasting av Defender for at endepunktet skal fungere i WSL. Du finner den på %ProgramFiles%\Microsoft Defender for endepunkt plugin-modul for WSL\plugin-modul.healthcheck.exe
. Dette programmet kontrollerer tilstandsstatusen til Defender for endepunkt og lar deg se de installerte versjonene av WSL, plugin-modulen og Defender for endepunkt. Du finner den på %ProgramFiles%\Microsoft Defender for endepunkt plugin-modulen for WSL\tools.
Installasjonstrinn
Hvis Windows-undersystem for Linux ikke er installert ennå, gjør du følgende:
Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)
Kjør kommandoen
wsl -–install
.Bekreft at WSL er installert og kjører.
Bruk Terminal eller Ledetekst, kjør
wsl –-update
for å sikre at du har den nyeste versjonen.wsl
Kjør kommandoen for å sikre at WSL kjører før testing.
Installer plugin-modulen ved å følge disse trinnene:
Installer MSI-filen som er lastet ned fra pålastingsdelen i Microsoft Defender-portalen (Innstilling> avpålasting> av >endepunkterWindows-undersystem for Linux 2 (plugin-modul)).
Åpne en ledetekst/terminal, og kjør
wsl
.
Obs!
Hvis WslService
den kjører, stopper den under installasjonsprosessen. Du trenger ikke å gå om bord i delsystemet separat. I stedet blir plugin-modulen automatisk innebygd i tenanten som Windows-verten er pålastet til.
Sjekkliste for installasjonsvalidering
Etter oppdatering eller installasjon må du vente i minst fem minutter før plugin-modulen initialiserer og skriver loggutdata.
Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)
Kjør kommandoen:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Kjør kommandoen
.\healthcheck.exe
.Se gjennom detaljene i Defender og WSL, og kontroller at de samsvarer med eller overskrider følgende krav:
- Plugin-modulversjon:
1.24.522.2
- WSL-versjon:
2.0.7.0
eller nyere - Defender App-versjon:
101.24032.0007
- Status for Defender-tilstand:
Healthy
- Plugin-modulversjon:
Angi proxy for Defender som kjører i WSL
Denne delen beskriver hvordan du konfigurerer proxy-tilkobling for plugin-modulen Defender for Endpoint. Hvis bedriften bruker en proxy til å gi tilkobling til Defender for Endpoint som kjører på Windows-verten, fortsetter du å lese for å finne ut om du må konfigurere den for plugin-modulen.
Hvis du vil bruke vertskonfigurasjonen windows EDR-telemetriproxy for MDE for WSL-plugin-modulen, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.
Hvis du vil bruke verten winhttp proxy-konfigurasjon for MDE for WSL plug-in, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.
Hvis du vil bruke vertsnettverket og nettverksproxyinnstillingen for MDE for WSL-programtillegg, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.
Valg av plugin-modulproxy
Hvis vertsmaskinen inneholder flere proxy-innstillinger, velger plugin-modulen proxy-konfigurasjonene med følgende hierarki:
Defender for statisk proxy-innstilling for endepunkt (
TelemetryProxyServer
).Winhttp
proxy (konfigurert gjennomnetsh
kommando).Innstillinger for nettverks-& Internett-proxy.
Eksempel: Hvis vertsmaskinen har både Winhttp proxy og Network & Internet proxy, velges Winhttp proxy
plugin-modulen som proxy-konfigurasjon.
Obs!
Registernøkkelen DefenderProxyServer
støttes ikke lenger. Følg fremgangsmåten ovenfor for å konfigurere plugin-modulen for proxy-modulen.
Tilkoblingstest for Defender som kjører i WSL
Følgende fremgangsmåte beskriver hvordan du bekrefter at Defender i endepunktet i WSL har Internett-tilkobling.
Åpne registeret Redaktør som administrator.
Opprett en registernøkkel med følgende detaljer:
- Navn:
ConnectivityTest
- Type:
REG_DWORD
- Verdi:
Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
- Bane:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
- Navn:
Når registeret er angitt, starter du wsl på nytt ved hjelp av følgende fremgangsmåte:
Åpne ledeteksten, og kjør kommandoen.
wsl --shutdown
Kjør kommandoen
wsl
.
Vent i 5 minutter, og kjør
healthcheck.exe
deretter (plassert på%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
for resultatene av tilkoblingstesten).Hvis det lykkes, kan du se at tilkoblingstesten var vellykket. Hvis den mislykkes, kan du se at tilkoblingstesten
invalid
indikerte at klienttilkoblingen fra WSL til URL-adresser for Defender for Endpoint-tjenesten mislyktes.
Obs!
Hvis du vil angi en proxy for bruk i WSL-beholdere (distribusjonene som kjører på delsystemet), kan du se Konfigurasjon av avanserte innstillinger i WSL.
Bekreft funksjonalitet og SOC-analytikeropplevelse
Når du har installert plugin-modulen, blir delsystemet og alle beholderne som kjører, pålastet til Microsoft Defender-portalen.
Logg på Microsoft Defender-portalen, og åpne Enhet-visningen.
Filtrer ved hjelp av koden WSL2.
Du kan se alle WSL-forekomster i miljøet med en aktiv Plugin-modul for Defender for Endpoint for WSL. Disse forekomstene representerer alle distribusjoner som kjører i WSL på en gitt vert. Vertsnavnet til en enhet samsvarer med Windows-verten. Den representeres imidlertid som en Linux-enhet.
Åpne enhetssiden. Det finnes en kobling til hvor enheten driftes, i Oversikt-ruten . Med koblingen kan du forstå at enheten kjører på en Windows-vert. Deretter kan du pivotere til verten for videre undersøkelser og/eller svar.
Tidslinjen fylles ut, på samme måte som Defender for Endpoint på Linux, med hendelser fra delsystemet (fil, prosess, nettverk). Du kan observere aktivitet og gjenkjenninger i tidslinjevisningen. Varsler og hendelser genereres også etter behov.
Test plugin-modulen
Følg disse trinnene for å teste plugin-modulen etter installasjonen:
Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)
Kjør kommandoen
wsl
.Last ned og pakk ut skriptfilen fra https://aka.ms/LinuxDIY.
Kjør kommandoen
./mde_linux_edr_diy.sh
i Linux-ledeteksten.Et varsel skal vises i portalen etter noen minutter for en gjenkjenning på WSL2-forekomsten.
Obs!
Det tar omtrent fem minutter før hendelsene vises på Microsoft Defender-portalen.
Behandle maskinen som om det var en vanlig Linux-vert i ditt miljø å utføre testing mot. Spesielt ønsker vi å få tilbakemelding om muligheten til å vise potensielt skadelig atferd ved hjelp av den nye plugin-modulen.
Avansert jakt
I Avansert jakt-skjemaet, under DeviceInfo
tabellen, er det et nytt attributt HostDeviceId
kalt som du kan bruke til å tilordne en WSL-forekomst til Windows-vertsenheten. Her er noen eksempler på jaktspørringer:
Få alle WSL-enhets-ID-er for gjeldende organisasjon/leier
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
Få ID-er for WSL-enheter og tilhørende vertsenhets-ID-er
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
Få en liste over WSL-enhets-ID-er der curl eller wget ble kjørt
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Feilsøking
Kommandoen
healthcheck.exe
viser utdataene «Start WSL-distro med «bash»-kommando, og prøv på nytt om fem minutter.»Hvis den tidligere nevnte feilen oppstår, gjør du følgende:
Åpne en terminalforekomst, og kjør kommandoen
wsl
.Vent i minst 5 minutter før du kjører tilstandskontrollen på nytt.
Kommandoen
healthcheck.exe
viser kanskje utdataene «Venter på telemetri. Prøv på nytt om 5 minutter.»Hvis denne feilen oppstår, venter du i 5 minutter og kjører på nytt
healthcheck.exe
.Hvis du ikke ser noen enheter i Microsoft Defender-portalen, eller hvis du ikke ser noen hendelser på tidslinjen, kan du se følgende ting:
Hvis du ikke ser et maskinobjekt, må du kontrollere at det har gått tilstrekkelig tid før pålastingen fullføres (vanligvis opptil 10 minutter).
Pass på å bruke de riktige filtrene, og at du har de nødvendige tillatelsene tilordnet for å vise alle enhetsobjekter. (Er kontoen/gruppen for eksempel begrenset til en bestemt gruppe?)
Bruk tilstandskontrollverktøyet til å gi en oversikt over generell tilstand for programtillegg. Åpne Terminal, og kjør
healthcheck.exe
verktøyet fra%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.Aktiver tilkoblingstesten og se etter Defender for endepunkttilkobling i WSL. Hvis tilkoblingstesten mislykkes, kan du gi utdataene fra tilstandskontrollverktøyet til støtteteamet vårt.
Hvis testrapportene for tilkobling er ugyldige i tilstandskontrollen, kan du inkludere følgende konfigurasjonsinnstillinger i
.wslconfig
plasseringen i og%UserProfile%
starte WSL på nytt. Du finner mer informasjon om innstillinger i WSL-innstillinger.- I Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
- I Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
- I Windows 11
Hvis du støter på andre utfordringer eller problemer, åpner du Terminal og kjører følgende kommandoer for å generere en støttepakke:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
Støttepakken finner du i banen som ble levert av den forrige kommandoen.
Microsoft Defender Endpoint for WSL støtter Linux-distribusjoner som kjører på WSL 2. Hvis de er knyttet til WSL 1, kan det oppstå problemer. Derfor anbefales det å deaktivere WSL 1. Hvis du vil gjøre dette med Intune-policyen, utfører du følgende trinn:
Gå tilkonfigurasjonsprofiler> for enheter>Opprett>Ny policy.
Velg Windows 10 og senere>Innstillingskatalog.
Opprett et navn på den nye profilen, og søk etter Windows-undersystem for Linux for å se og legge til den fullstendige listen over tilgjengelige innstillinger.
Angi Innstillingen Tillat WSL1 til Deaktivert for å sikre at bare WSL 2-fordelinger kan brukes.
Alternativt, hvis du vil fortsette å bruke WSL 1 eller ikke bruke Intune Policy, kan du selektivt knytte de installerte distribusjonene til å kjøre på WSL 2, ved å kjøre kommandoen i PowerShell:
wsl --set-version <YourDistroName> 2
Hvis du vil at WSL 2 skal være standard WSL-versjon for nye distribusjoner som skal installeres i systemet, kjører du følgende kommando i PowerShell:
wsl --set-default-version 2
Plugin-modulen bruker Windows EDR-ringen som standard. Hvis du vil bytte til en tidligere ring, kan du angi
OverrideReleaseRing
ett av følgende under registret og starte WSL på nytt:
- Navn:
OverrideReleaseRing
- Type:
REG_SZ
- Verdi:
Dogfood or External or InsiderFast or Production
- Bane:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
Hvis du ser en feil under oppstart av WSL, for eksempel «En uopprettelig feil ble returnert av plugin-modulen DefenderforEndpointPlug-in»-feilkode: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND», betyr det at plugin-modulen Defender for endepunkt for WSL-installasjon er feil. Følg disse trinnene for å reparere den:
Gå til Programmer>programmer og funksjoner i Kontrollpanel.
Søk etter og velg Microsoft Defender for endepunkt plugin-modul for WSL. Velg deretter Reparer.
Dette bør løse problemet ved å plassere de riktige filene i de forventede katalogene.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for