Linux 上適用於端點的 Microsoft Defender

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎？ 注册免費試用版。

本文說明如何在Linux上安裝、設定、更新和使用 適用於端點的 Microsoft Defender。

注意

在Linux上執行其他第三方端點保護產品以及 適用於端點的 Microsoft Defender可能會導致效能問題和無法預期的副作用。 如果非 Microsoft Endpoint Protection 是您環境中的絕對需求，在設定要在 被動模式中執行的防病毒軟體功能之後，您仍然可以安全地利用適用於 Linux EDR 的 Defender 功能。

如何在Linux上安裝 適用於端點的 Microsoft Defender

適用於 Linux 的 適用於端點的 Microsoft Defender 包含 EDR) 功能 (反惡意代碼和端點偵測和回應。

必要條件

• 存取 Microsoft Defender 入口網站

• 使用 系統 系統管理員的Linux散發套件

  注意事項

  使用系統管理員的Linux散發套件，RHEL/CentOS 6.x 除外，同時支援 SystemV 和 Upstart。

• Linux 和BASH腳本中的初學者層級體驗

• 裝置上的系統管理許可權 (手動部署)

注意事項

Linux 代理程式上的 適用於端點的 Microsoft Defender 與 OMS 代理程序無關。 適用於端點的 Microsoft Defender依賴自己的獨立遙測管線。

安裝指示

有數種方法和部署工具可用來在Linux上安裝和設定 適用於端點的 Microsoft Defender。

一般而言，您需要採取下列步驟：

• 確定您有 適用於端點的 Microsoft Defender 訂用帳戶。
• 使用下列其中一種部署方法，在Linux上部署 適用於端點的 Microsoft Defender：
  • 命令列工具：
    • 手動部署
  • 第三方管理工具：
    • 使用 Puppet 組態管理工具進行部署
    • 使用 Ansible 組態管理工具進行部署
      • 使用 Chef 組態管理工具進行部署
      • 使用 Saltstack 組態管理工具進行部署如果您遇到任何安裝失敗，請參閱針對Linux上 適用於端點的 Microsoft Defender中的安裝失敗進行疑難解答。

注意事項

不支援在預設安裝路徑以外的任何其他位置安裝 適用於端點的 Microsoft Defender。

Linux 上的 適用於端點的 Microsoft Defender 會建立具有隨機 UID 和 GID 的 “mdatp” 使用者。 如果您想要控制 UID 和 GID，請在安裝之前使用 “/usr/sbin/nologin” 殼層選項建立 “mdatp” 使用者。 例如：mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin。

系統需求

• 支援的Linux 伺服器散發套件和 x64 (AMD64/EM64T) 和x86_64版本：

  • Red Hat Enterprise Linux 6.7 或更新版本 (預覽)

  • Red Hat Enterprise Linux 7.2 或更新版本

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 6.7 或更新版本 (預覽)

  • CentOS 7.2 或更高版本

  • Ubuntu 16.04 LTS 或更高 LTS

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12 或更新版本

  • SUSE Linux Enterprise Server 15 或更新版本

  • Oracle Linux 7.2 或更新版本

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33 或更新版本

  • 斯洛奇 8.7 和更新版本

  • Alma 8.4 和更新版本

  • 水靈 2

    注意事項

    不支援未明確列出的散發套件和版本 (即使它們衍生自正式支持的發行版) 也一樣。 RHEL 6 對「延長生命週期」的支援將於 2024 年 6 月 30 日終止;MDE RHEL 6 的 Linux 支援也會在 2024 年 6 月 30 日之前淘汰，MDE Linux 101.23082.0011 版是支援 RHEL 6.7 或更新版本的最後一個 MDE Linux 版本， (不會在 2024 年 6 月 30 日之前過期) 。 建議客戶規劃升級至符合 Red Hat 指引的 RHEL 6 基礎結構。

• 支援的核心版本清單

  注意事項

  適用於端點的 Microsoft Defender Red Hat Enterprise Linux 和 CentOS - 6.7 到 6.10 是核心解決方案。 您必須先確認核心版本是否受到支援，再更新為較新的核心版本。 所有其他支持的發行版和版本 適用於端點的 Microsoft Defender 與核心版本無關。 核心版本的最低需求為 3.10.0-327 或以上。

  • fanotify必須啟用核心選項
  • Red Hat Enterprise Linux 6 和 CentOS 6：
    • 針對 6.7：2.6.32-573.* (2.6.32-573.el6.x86_64)
    • 針對 6.8：2.6.32-642.*
    • 針對 6.9：2.6.32-696.* (2.6.32-696.el6.x86_64)
    • 針對 6.10：
      • 2.6.32-754.10.1.el6.x86_64
      • 2.6.32-754.11.1.el6.x86_64
      • 2.6.32-754.12.1.el6.x86_64
      • 2.6.32-754.14.2.el6.x86_64
      • 2.6.32-754.15.3.el6.x86_64
      • 2.6.32-754.17.1.el6.x86_64
      • 2.6.32-754.18.2.el6.x86_64
      • 2.6.32-754.2.1.el6.x86_64
      • 2.6.32-754.22.1.el6.x86_64
      • 2.6.32-754.23.1.el6.x86_64
      • 2.6.32-754.24.2.el6.x86_64
      • 2.6.32-754.24.3.el6.x86_64
      • 2.6.32-754.25.1.el6.x86_64
      • 2.6.32-754.27.1.el6.x86_64
      • 2.6.32-754.28.1.el6.x86_64
      • 2.6.32-754.29.1.el6.x86_64
      • 2.6.32-754.29.2.el6.x86_64
      • 2.6.32-754.3.5.el6.x86_64
      • 2.6.32-754.30.2.el6.x86_64
      • 2.6.32-754.33.1.el6.x86_64
      • 2.6.32-754.35.1.el6.x86_64
      • 2.6.32-754.39.1.el6.x86_64
      • 2.6.32-754.41.2.el6.x86_64
      • 2.6.32-754.43.1.el6.x86_64
      • 2.6.32-754.47.1.el6.x86_64
      • 2.6.32-754.48.1.el6.x86_64
      • 2.6.32-754.49.1.el6.x86_64
      • 2.6.32-754.6.3.el6.x86_64
      • 2.6.32-754.9.1.el6.x86_64

  注意事項

  發行新的套件版本之後，對前兩個版本的支援將縮小為僅限技術支援。 比本節所列舊的版本僅供技術升級支援使用。

  注意

  不支援在Linux上與其他 fanotify型安全性解決方案並行執行適用於端點的Defender。 這可能會導致無法預期的結果，包括掛斷操作系統。 如果系統上有任何其他應用程式在封鎖模式中使用fanotify，則應用程式會列在命令輸出的欄位中mdatp healthconflicting_applications。 Linux FAPolicyD 功能會在封鎖模式中使用 fanotify ，因此在作用中模式中執行適用於端點的 Defender 時不受支援。 在設定啟用至 被動模式的即時保護功能之後，您仍然可以安全地利用Linux EDR上的適用於端點的Defender功能。

• 磁碟空間：2 GB

  注意事項

  如果已針對損毀集合啟用雲端診斷，則可能需要額外的 2 GB 磁碟空間。

• /opt/microsoft/mdatp/sbin/wdavdaemon 需要可執行文件許可權。 如需詳細資訊，請參閱針對Linux上 適用於端點的 Microsoft Defender的安裝問題進行疑難解答中的。

• 核心：2 個最小值、4 個慣用

• 記憶體：最小 1 GB，慣用 4 個

  注意事項

  請確定您在 /var 中有可用的磁碟空間。

• RTP、快速、完整和自訂掃描的支援檔案系統清單。

  RTP、快速、完整掃描	自訂掃描
  btrfs	RTP、快速、完整掃描支援的所有文件系統
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  保險絲	glustrefs
  fuseblk	Afs
  Jfs	sshfs
  僅限 nfs (v3)	Cifs
  overlay	Smb
  ramfs	gcsfuse
  Reiserfs	sysfs
  Tmpfs
  Udf
  vfat
  Xfs

啟用服務之後，您必須設定網路或防火牆，以允許其與端點之間的輸出連線。

• 必須啟用稽核架構 (auditd) 。

  注意事項

  新增至 的規則所擷 /etc/audit/rules.d/ 取的系統事件會新增至 audit.log (的) ，而且可能會影響主機稽核和上游集合。 適用於端點的 Microsoft Defender 在Linux上新增的事件將會加上mdatp索引鍵標記。

外部套件相依性

mdatp 套件有下列外部套件相依性：

• mdatp RPM 套件需要 “glibc >= 2.17”、“audit”、“policycoreutils”、“semanage”、“selinux-policy-targeted”、“mde-netfilter”
• 針對 RHEL6，mdatp RPM 套件需要 “audit”、“policycoreutils”、“libselinux”、“mde-netfilter”
• 若為 DEBIAN，mdatp 套件需要 “libc6 >= 2.23”、“uuid-runtime”、“auditd”、“mde-netfilter”

mde-netfilter 套件也有下列套件相依性：

• 針對 DEBIAN，mde-netfilter 套件需要 “libnetfilter-queue1”、“libglib2.0-0”
• 針對 RPM，mde-netfilter 套件需要 “libmnl”、“libnfnetlink”、“libnetfilter_queue”、“glib2”

如果 適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗，您可以手動下載必要的相依性。

設定排除專案

將排除專案新增至 Microsoft Defender 防病毒軟體時，您應該留意 Microsoft Defender 防病毒軟體的常見排除錯誤。

網路連線

下列可下載的電子錶格列出您的網路必須能夠連線的服務及其相關聯的 URL。 您應該確定沒有任何防火牆或網路篩選規則會拒絕存取這些 URL。 如果有，您可能需要特別為其建立 允許 規則。

網域清單電子表格	描述
適用於端點的 Microsoft Defender 商業客戶的URL清單	特定 DNS 記錄的電子錶格，適用於商業客戶的服務位置、地理位置和 OS。 在這裡下載電子表格。
適用於端點的 Microsoft Defender/GCC/DoD 的URL清單	適用於 Gov/GCC/DoD 客戶的服務位置、地理位置和 OS 的特定 DNS 記錄電子表格。 在這裡下載電子表格。

注意事項

如需更具體的 URL 清單， 請參閱設定 Proxy 和因特網連線設定。

適用於端點的 Defender 可以使用下列發現方法來探索 Proxy 伺服器：

• 透明Proxy
• 手動靜態 Proxy 設定

如果 Proxy 或防火牆封鎖匿名流量，請確定在先前列出的 URL 中允許匿名流量。 針對透明 Proxy，不需要針對適用於端點的 Defender 進行其他設定。 針對靜態 Proxy，請遵循 手動靜態 Proxy 組態中的步驟。

警告

不支援 PAC、WPAD 和已驗證的 Proxy。 確定只使用靜態 Proxy 或透明 Proxy。

基於安全性考慮，也不支援SSL檢查和攔截 Proxy。 設定 SSL 檢查和 Proxy 伺服器的例外狀況，以直接將數據從 Linux 上的適用於端點的 Defender 傳遞至相關的 URL，而不需要攔截。 將您的攔截憑證新增至全域存放區將不允許攔截。

如需疑難解答步驟，請參閱針對Linux上 適用於端點的 Microsoft Defender的雲端連線問題進行疑難解答。

如何更新Linux上的 適用於端點的 Microsoft Defender

Microsoft 會定期發佈軟體更新，以改善效能、安全性，以及提供新功能。 若要更新 Linux 上的 適用於端點的 Microsoft Defender，請參閱在 Linux 上部署 適用於端點的 Microsoft Defender 的更新。

設定 Linux 上適用於端點的 Microsoft Defender 的方式

如需如何在企業環境中設定產品的指引，請參閱設定Linux上 適用於端點的 Microsoft Defender的喜好設定。

要 適用於端點的 Microsoft Defender的一般應用程式可能會受到影響

安裝 適用於端點的 Microsoft Defender 時，某些應用程式的高 I/O 工作負載可能會遇到效能問題。 其中包括 Jenkins 和 Jira 等開發人員案例的應用程式，以及 OracleDB 和 Postgres 等資料庫工作負載。 如果發生效能降低，請考慮設定受信任應用程式的排除專案，並記住 Microsoft Defender 防病毒軟體的常見排除錯誤。 如需其他指引，請考慮諮詢有關第三方應用程式中防病毒軟體排除的檔。

資源

• 如需記錄、卸載或其他文章的詳細資訊，請參閱 資源。

相關文章

• 使用適用於雲端的 Defender 整合式 EDR 解決方案來保護您的端點：適用於端點的 Microsoft Defender
• 將非 Azure 機器連線至雲端 Microsoft Defender
• 開啟Linux的網路保護

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。