Del via

Microsoft Defender for endepunkt plugin-modul for Windows-undersystem for Linux (WSL)

  • Artikkel

Gjelder for:

Oversikt

Windows-undersystem for Linux (WSL) 2, som erstatter den forrige versjonen av WSL (støttet av Microsoft Defender for endepunkt uten plugin-modul), gir et Linux-miljø som er sømløst integrert med Windows, men som likevel er isolert ved hjelp av virtualiseringsteknologi. Plugin-modulen Defender for Endpoint for WSL gjør det mulig for Defender for Endpoint å gi mer synlighet i alle WSL-beholdere som kjører, ved å koble til det isolerte delsystemet.

Kjente problemer og begrensninger

Vær oppmerksom på følgende før du begynner:

  1. Plugin-modulen støtter ikke automatiske oppdateringer på versjoner før 1.24.522.2. På versjon 1.24.522.2 og nyere; oppdateringer støttes gjennom Windows Update på tvers av alle ringer. Oppdateringer via Windows Server Update Services (WSUS), støttes System Center Configuration Manager (SCCM) og Microsoft Update-katalogen bare i produksjonsringen for å sikre pakkestabilitet.

  2. Det tar noen minutter før plugin-modulen instansieres fullstendig, og opptil 30 minutter for en WSL2-forekomst til selve modulen. Kortvarige WSL-beholderforekomster kan føre til at WSL2-forekomsten ikke vises i Microsoft Defender portal (https://security.microsoft.com). Når en distribusjon har kjørt lenge nok (minst 30 minutter), vises den.

  3. Kjøring av en egendefinert kjerne og egendefinert kjernekommandolinje støttes i denne versjonen. Plugin-modulen garanterer imidlertid ikke synlighet i WSL når du kjører en egendefinert kjerne og egendefinert kjernekommandolinje.

  4. OS-distribusjon vises Ingen på enhetsoversiktssiden for WSL-enheten i Microsoft Defender portal.

  5. Plugin-modulen støttes ikke på maskiner med ARM64-prosessor.

Forutsetninger for programvare

  • WSL versjon 2.0.7.0 eller nyere må kjøre med minst én aktiv distro.

    Kjør wsl --update for å sikre at du har den nyeste versjonen. Hvis wsl -–version du viser en versjon som er eldre enn 2.0.7.0, kjører wsl -–update –pre-release du for å få den nyeste oppdateringen.

  • Windows-klientenheten må være koblet til Defender for endepunkt.

  • Windows-klientenheten må kjøre Windows 10, versjon 2004 og nyere (bygg 19044 og nyere) eller Windows 11 for å støtte WSL-versjonene som kan fungere med plugin-modulen.

Programvarekomponenter og installasjonsfilnavn

Installasjonsprogram: DefenderPlugin-x64-0.24.426.1.msi. Du kan laste den ned fra pålastingssiden i Microsoft Defender-portalen.

Installasjonskataloger:

  • %ProgramFiles%

  • %ProgramData%

Komponenter installert:

  • DefenderforEndpointPlug-in.dll. Denne DLL-filen er biblioteket for innlasting av Defender for at endepunktet skal fungere i WSL. Du finner den på %ProgramFiles%\Microsoft Defender for endepunkt plugin-modul for WSL\plugin-modul.

  • healthcheck.exe. Dette programmet kontrollerer tilstandsstatusen til Defender for endepunkt og lar deg se de installerte versjonene av WSL, plugin-modulen og Defender for endepunkt. Du finner den på %ProgramFiles%\Microsoft Defender for endepunkt plugin-modulen for WSL\tools.

Installasjonstrinn

Hvis Windows-undersystem for Linux ikke er installert ennå, gjør du følgende:

  1. Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)

  2. Kjør kommandoen wsl -–install.

  3. Bekreft at WSL er installert og kjører.

    1. Bruk Terminal eller Ledetekst, kjør wsl –-update for å sikre at du har den nyeste versjonen.

    2. wsl Kjør kommandoen for å sikre at WSL kjører før testing.

  4. Installer plugin-modulen ved å følge disse trinnene:

    1. Installer MSI-filen som er lastet ned fra pålastingsdelen i Microsoft Defender-portalen (Innstilling> avpålasting> av >endepunkterWindows-undersystem for Linux 2 (plugin-modul)).

    2. Åpne en ledetekst/terminal, og kjør wsl.

    Du kan distribuere pakken ved hjelp av Microsoft Intune.

Obs!

Hvis WslService den kjører, stopper den under installasjonsprosessen. Du trenger ikke å gå om bord i delsystemet separat. I stedet blir plugin-modulen automatisk innebygd i tenanten som Windows-verten er pålastet til.

Sjekkliste for installasjonsvalidering

  1. Etter oppdatering eller installasjon må du vente i minst fem minutter før plugin-modulen initialiserer og skriver loggutdata.

  2. Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)

  3. Kjør kommandoen: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Kjør kommandoen .\healthcheck.exe.

  5. Se gjennom detaljene i Defender og WSL, og kontroller at de samsvarer med eller overskrider følgende krav:

    • Plugin-modulversjon: 1.24.522.2
    • WSL-versjon: 2.0.7.0 eller nyere
    • Defender App-versjon: 101.24032.0007
    • Status for Defender-tilstand: Healthy

Angi proxy for Defender som kjører i WSL

Denne delen beskriver hvordan du konfigurerer proxy-tilkobling for plugin-modulen Defender for Endpoint. Hvis bedriften bruker en proxy til å gi tilkobling til Defender for Endpoint som kjører på Windows-verten, fortsetter du å lese for å finne ut om du må konfigurere den for plugin-modulen.

Hvis du vil bruke vertskonfigurasjonen windows EDR-telemetriproxy for MDE for WSL-plugin-modulen, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.

Hvis du vil bruke verten winhttp proxy-konfigurasjon for MDE for WSL plug-in, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.

Hvis du vil bruke vertsnettverket og nettverksproxyinnstillingen for MDE for WSL-programtillegg, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.

Valg av plugin-modulproxy

Hvis vertsmaskinen inneholder flere proxy-innstillinger, velger plugin-modulen proxy-konfigurasjonene med følgende hierarki:

  1. Defender for statisk proxy-innstilling for endepunkt (TelemetryProxyServer).

  2. Winhttp proxy (konfigurert gjennom netsh kommando).

  3. Innstillinger for nettverks-& Internett-proxy.

Eksempel: Hvis vertsmaskinen har både Winhttp proxy og Network & Internet proxy, velges Winhttp proxy plugin-modulen som proxy-konfigurasjon.

Obs!

Registernøkkelen DefenderProxyServer støttes ikke lenger. Følg fremgangsmåten ovenfor for å konfigurere plugin-modulen for proxy-modulen.

Tilkoblingstest for Defender som kjører i WSL

Følgende fremgangsmåte beskriver hvordan du bekrefter at Defender i endepunktet i WSL har Internett-tilkobling.

  1. Åpne registeret Redaktør som administrator.

  2. Opprett en registernøkkel med følgende detaljer:

    • Navn: ConnectivityTest
    • Type: REG_DWORD
    • Verdi: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • Bane: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  3. Når registeret er angitt, starter du wsl på nytt ved hjelp av følgende fremgangsmåte:

    1. Åpne ledeteksten, og kjør kommandoen. wsl --shutdown

    2. Kjør kommandoen wsl.

  4. Vent i 5 minutter, og kjør healthcheck.exe deretter (plassert på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools for resultatene av tilkoblingstesten).

    Hvis det lykkes, kan du se at tilkoblingstesten var vellykket. Hvis den mislykkes, kan du se at tilkoblingstesten invalid indikerte at klienttilkoblingen fra WSL til URL-adresser for Defender for Endpoint-tjenesten mislyktes.

Obs!

Hvis du vil angi en proxy for bruk i WSL-beholdere (distribusjonene som kjører på delsystemet), kan du se Konfigurasjon av avanserte innstillinger i WSL.

Bekreft funksjonalitet og SOC-analytikeropplevelse

Når du har installert plugin-modulen, blir delsystemet og alle beholderne som kjører, pålastet til Microsoft Defender-portalen.

  1. Logg på Microsoft Defender-portalen, og åpne Enhet-visningen.

  2. Filtrer ved hjelp av koden WSL2.

Skjermbilde som viser enhetslagerfilter

Du kan se alle WSL-forekomster i miljøet med en aktiv Plugin-modul for Defender for Endpoint for WSL. Disse forekomstene representerer alle distribusjoner som kjører i WSL på en gitt vert. Vertsnavnet til en enhet samsvarer med Windows-verten. Den representeres imidlertid som en Linux-enhet.

  1. Åpne enhetssiden. Det finnes en kobling til hvor enheten driftes, i Oversikt-ruten . Med koblingen kan du forstå at enheten kjører på en Windows-vert. Deretter kan du pivotere til verten for videre undersøkelser og/eller svar.

    Skjermbilde som viser enhetsoversikt.

Tidslinjen fylles ut, på samme måte som Defender for Endpoint på Linux, med hendelser fra delsystemet (fil, prosess, nettverk). Du kan observere aktivitet og gjenkjenninger i tidslinjevisningen. Varsler og hendelser genereres også etter behov.

Test plugin-modulen

Følg disse trinnene for å teste plugin-modulen etter installasjonen:

  1. Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)

  2. Kjør kommandoen wsl.

  3. Last ned og pakk ut skriptfilen fra https://aka.ms/LinuxDIY.

  4. Kjør kommandoen ./mde_linux_edr_diy.shi Linux-ledeteksten.

    Et varsel skal vises i portalen etter noen minutter for en gjenkjenning på WSL2-forekomsten.

    Obs!

    Det tar omtrent fem minutter før hendelsene vises på Microsoft Defender-portalen.

Behandle maskinen som om det var en vanlig Linux-vert i ditt miljø å utføre testing mot. Spesielt ønsker vi å få tilbakemelding om muligheten til å vise potensielt skadelig atferd ved hjelp av den nye plugin-modulen.

Avansert jakt

I Avansert jakt-skjemaet, under DeviceInfo tabellen, er det et nytt attributt HostDeviceId kalt som du kan bruke til å tilordne en WSL-forekomst til Windows-vertsenheten. Her er noen eksempler på jaktspørringer:

Få alle WSL-enhets-ID-er for gjeldende organisasjon/leier

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Få ID-er for WSL-enheter og tilhørende vertsenhets-ID-er

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Få en liste over WSL-enhets-ID-er der curl eller wget ble kjørt

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Feilsøking

  1. Kommandoen healthcheck.exe viser utdataene «Start WSL-distro med «bash»-kommando, og prøv på nytt om fem minutter.»

    Skjermbilde som viser PowerShell-utdata.

  2. Hvis den tidligere nevnte feilen oppstår, gjør du følgende:

    1. Åpne en terminalforekomst, og kjør kommandoen wsl.

    2. Vent i minst 5 minutter før du kjører tilstandskontrollen på nytt.

  3. Kommandoen healthcheck.exe viser kanskje utdataene «Venter på telemetri. Prøv på nytt om 5 minutter.»

    Skjermbilde som viser tilstandens telemetristatus.

    Hvis denne feilen oppstår, venter du i 5 minutter og kjører på nytt healthcheck.exe.

  4. Hvis du ikke ser noen enheter i Microsoft Defender-portalen, eller hvis du ikke ser noen hendelser på tidslinjen, kan du se følgende ting:

    • Hvis du ikke ser et maskinobjekt, må du kontrollere at det har gått tilstrekkelig tid før pålastingen fullføres (vanligvis opptil 10 minutter).

    • Pass på å bruke de riktige filtrene, og at du har de nødvendige tillatelsene tilordnet for å vise alle enhetsobjekter. (Er kontoen/gruppen for eksempel begrenset til en bestemt gruppe?)

    • Bruk tilstandskontrollverktøyet til å gi en oversikt over generell tilstand for programtillegg. Åpne Terminal, og kjør healthcheck.exe verktøyet fra %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

      Skjermbilde som viser status i PowerShell.

    • Aktiver tilkoblingstesten og se etter Defender for endepunkttilkobling i WSL. Hvis tilkoblingstesten mislykkes, kan du gi utdataene fra tilstandskontrollverktøyet til støtteteamet vårt.

    • Hvis testrapportene for tilkobling er ugyldige i tilstandskontrollen, kan du inkludere følgende konfigurasjonsinnstillinger i .wslconfig plasseringen i og %UserProfile% starte WSL på nytt. Du finner mer informasjon om innstillinger i WSL-innstillinger.

      • I Windows 11
        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored
      • I Windows 10
        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

  5. Hvis du støter på andre utfordringer eller problemer, åpner du Terminal og kjører følgende kommandoer for å generere en støttepakke:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    Støttepakken finner du i banen som ble levert av den forrige kommandoen.

    Skjermbilde som viser status i PowerShell-utdata.

  6. Microsoft Defender Endpoint for WSL støtter Linux-distribusjoner som kjører på WSL 2. Hvis de er knyttet til WSL 1, kan det oppstå problemer. Derfor anbefales det å deaktivere WSL 1. Hvis du vil gjøre dette med Intune-policyen, utfører du følgende trinn:

    1. Gå til administrasjonssenteret for Microsoft Intune.

    2. Gå tilkonfigurasjonsprofiler> for enheter>Opprett>Ny policy.

    3. Velg Windows 10 og senere>Innstillingskatalog.

    4. Opprett et navn på den nye profilen, og søk etter Windows-undersystem for Linux for å se og legge til den fullstendige listen over tilgjengelige innstillinger.

    5. Angi Innstillingen Tillat WSL1 til Deaktivert for å sikre at bare WSL 2-fordelinger kan brukes.

      Alternativt, hvis du vil fortsette å bruke WSL 1 eller ikke bruke Intune Policy, kan du selektivt knytte de installerte distribusjonene til å kjøre på WSL 2, ved å kjøre kommandoen i PowerShell:

      wsl --set-version <YourDistroName> 2

      Hvis du vil at WSL 2 skal være standard WSL-versjon for nye distribusjoner som skal installeres i systemet, kjører du følgende kommando i PowerShell:

      wsl --set-default-version 2

  7. Plugin-modulen bruker Windows EDR-ringen som standard. Hvis du vil bytte til en tidligere ring, kan du angi OverrideReleaseRing ett av følgende under registret og starte WSL på nytt:

  • Navn: OverrideReleaseRing
  • Type: REG_SZ
  • Verdi: Dogfood or External or InsiderFast or Production
  • Bane: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  1. Hvis du ser en feil under oppstart av WSL, for eksempel «En uopprettelig feil ble returnert av plugin-modulen DefenderforEndpointPlug-in»-feilkode: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND», betyr det at plugin-modulen Defender for endepunkt for WSL-installasjon er feil. Følg disse trinnene for å reparere den:

    1. Gå til Programmer>programmer og funksjoner i Kontrollpanel.

    2. Søk etter og velg Microsoft Defender for endepunkt plugin-modul for WSL. Velg deretter Reparer.

    Dette bør løse problemet ved å plassere de riktige filene i de forventede katalogene.

    Skjermbilde som viser MDE plugin-modul for WSL-reparasjonsalternativet i kontrollpanelet.