Microsoft Defender لنقطة النهاية المكون الإضافي نظام Windows الفرعي لـ Linux‬ (WSL)

ينطبق على:

نظرة عامة

يوفر نظام Windows الفرعي لـ Linux‬ (WSL) 2، الذي يحل محل الإصدار السابق من WSL (المدعوم من قبل Microsoft Defender لنقطة النهاية بدون مكون إضافي)، بيئة Linux متكاملة بسلاسة مع Windows، ومع ذلك يتم عزلها باستخدام تقنية الظاهرية. يمكن المكون الإضافي Defender لنقطة النهاية ل WSL Defender لنقطة النهاية من توفير رؤية أكبر لجميع حاويات WSL قيد التشغيل عن طريق توصيل النظام الفرعي المعزول.

المشكلات والقيود المعروفة

كن على دراية بما يلي قبل البدء:

  1. لا يدعم المكون الإضافي التحديثات التلقائية على الإصدارات السابقة ل 0.24.426.1. في الإصدار 0.24.426.1 والإصدارات الأحدث؛ يتم دعم التحديثات من خلال Windows Update عبر جميع الحلقات. يتم دعم التحديثات من خلال خدمات Windows Server Update (WSUS) Configuration Manager مركز النظام (SCCM) وكتالوج Microsoft Update فقط في حلقة الإنتاج لضمان استقرار الحزمة.

  2. يستغرق الأمر بضع دقائق للمكون الإضافي لإنشاء مثيل كامل، وما يصل إلى 30 دقيقة لمثيل WSL2 لإلحاق نفسه. قد تؤدي مثيلات حاوية WSL قصيرة الأجل إلى عدم ظهور مثيل WSL2 في مدخل Microsoft Defender (https://security.microsoft.com). بمجرد تشغيل أي توزيع لفترة كافية (30 دقيقة على الأقل)، فإنه يظهر.

  3. يتم دعم تشغيل نواة مخصصة سطر أوامر kernel مخصص في هذا الإصدار؛ ومع ذلك، لا يضمن المكون الإضافي الرؤية داخل WSL عند تشغيل نواة مخصصة وخط أوامر kernel مخصص.

  4. يتم عرض توزيع نظام التشغيل بلا في صفحة نظرة عامة على الجهاز لجهاز WSL في مدخل Microsoft Defender.

  5. المكون الإضافي غير مدعوم على الأجهزة المزودة بمعالج ARM64.

المتطلبات الأساسية للبرامج

  • يجب تشغيل الإصدار 2.0.7 من WSL أو أحدث مع توزيعة نشطة واحدة على الأقل.

    قم بتشغيل wsl --update للتأكد من أنك تستخدم أحدث إصدار. إذا wsl -–version ظهر إصدار أقدم من 2.0.7، فقم بتشغيل wsl -–update –pre-release للحصول على آخر تحديث.

  • يجب إلحاق جهاز عميل Windows ب Defender لنقطة النهاية.

  • يجب تشغيل جهاز عميل Windows Windows 10، الإصدار 2004 والإصدارات الأحدث (النسخة 19044 والإصدارات الأحدث)، أو Windows 11 لدعم إصدارات WSL التي يمكن أن تعمل مع المكون الإضافي.

مكونات البرامج وأسماء ملفات المثبت

المثبت: DefenderPlugin-x64-0.24.426.1.msi. يمكنك تنزيله من صفحة الإعداد في مدخل Microsoft Defender.

دلائل التثبيت:

  • %ProgramFiles%

  • %ProgramData%

المكونات المثبتة:

  • DefenderforEndpointPlug-in.dll. DLL هذه هي مكتبة لتحميل Defender لنقطة النهاية للعمل داخل WSL. يمكنك العثور عليه في ٪ProgramFiles٪\Microsoft Defender لنقطة النهاية المكون الإضافي ل WSL\plug-in.

  • healthcheck.exe. يتحقق هذا البرنامج من الحالة الصحية ل Defender لنقطة النهاية ويمكنك من رؤية الإصدارات المثبتة من WSL والمكون الإضافي وDefender لنقطة النهاية. يمكنك العثور عليه في ٪ProgramFiles٪\Microsoft Defender لنقطة النهاية المكون الإضافي ل WSL\tools.

خطوات التثبيت

إذا لم يتم تثبيت نظام Windows الفرعي لـ Linux‬ بعد، فاتبع الخطوات التالية:

  1. افتح Terminal أو موجه الأوامر. (في Windows، انتقل إلى البدء>موجه الأوامر. أو انقر بزر الماوس الأيمن فوق زر البدء ثم حدد Terminal.)

  2. قم بتشغيل الأمر wsl -–install.

  3. تأكد من تثبيت WSL وتشغيله.

    1. باستخدام Terminal أو موجه الأوامر، قم بتشغيل wsl –-update للتأكد من أن لديك أحدث إصدار.

    2. قم بتشغيل الأمر للتأكد من wsl تشغيل WSL قبل الاختبار.

  4. قم بتثبيت المكون الإضافي باتباع الخطوات التالية:

    1. قم بتثبيت ملف MSI الذي تم تنزيله من قسم الإعداد في مدخل Microsoft Defender (الإعدادات>Endpoints>Onboarding>نظام Windows الفرعي لـ Linux‬ 2 (المكون الإضافي)).

    2. افتح موجه الأوامر/المحطة الطرفية وقم بتشغيل wsl.

    يمكنك نشر الحزمة باستخدام Microsoft Intune.

ملاحظة

إذا كان WslService قيد التشغيل، فإنه يتوقف أثناء عملية التثبيت. لا تحتاج إلى إلحاق النظام الفرعي بشكل منفصل؛ بدلا من ذلك، يتم إلحاق المكون الإضافي تلقائيا بالمستأجر الذي تم إلحاق مضيف Windows به.

قائمة التحقق من صحة التثبيت

  1. بعد التحديث أو التثبيت، انتظر لمدة خمس دقائق على الأقل حتى يقوم المكون الإضافي بتهيئة إخراج السجل وكتابته بالكامل.

  2. افتح Terminal أو موجه الأوامر. (في Windows، انتقل إلى البدء>موجه الأوامر. أو انقر بزر الماوس الأيمن فوق زر البدء ثم حدد Terminal.)

  3. قم بتشغيل الأمر: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. قم بتشغيل الأمر .\healthcheck.exe.

  5. راجع تفاصيل Defender وWSL وتأكد من مطابقتها أو تجاوزها المتطلبات التالية:

    • إصدار المكون الإضافي: 0.24.426.1
    • إصدار WSL: 2.0.7.0 أو أحدث
    • إصدار تطبيق Defender: 701.00000.1509
    • الحالة الصحية ل Defender: Healthy

تعيين وكيل ل Defender قيد التشغيل في WSL

يصف هذا القسم كيفية تكوين اتصال الوكيل للمكون الإضافي Defender for Endpoint. إذا كانت مؤسستك تستخدم وكيلا لتوفير الاتصال ب Defender لنقطة النهاية التي تعمل على مضيف Windows، فتابع القراءة لتحديد ما إذا كنت بحاجة إلى تكوينه للمكون الإضافي.

إذا كنت ترغب في استخدام تكوين وكيل بيانات تتبع الاستخدام ل windows EDR المضيف MDE للمكون الإضافي WSL، فلا يلزم أي شيء آخر. يتم اعتماد هذا التكوين بواسطة المكون الإضافي تلقائيا.

إذا كنت ترغب في استخدام تكوين وكيل winhttp للمضيف MDE للمكون الإضافي WSL، فلا حاجة إلى المزيد. يتم اعتماد هذا التكوين بواسطة المكون الإضافي تلقائيا.

إذا كنت ترغب في استخدام إعداد الشبكة المضيفة ووكيل الشبكة MDE للمكون الإضافي WSL، فلا حاجة إلى المزيد. يتم اعتماد هذا التكوين بواسطة المكون الإضافي تلقائيا.

تحديد وكيل المكون الإضافي

إذا كان الجهاز المضيف يحتوي على إعدادات وكيل متعددة، يحدد المكون الإضافي تكوينات الوكيل بالتسلسل الهرمي التالي:

  1. إعداد وكيل Defender لنقطة النهاية الثابتة (TelemetryProxyServer).

  2. Winhttp الوكيل (تم تكوينه من خلال netsh الأمر).

  3. إعدادات وكيل الشبكة & الإنترنت.

مثال: إذا كان الجهاز المضيف يحتوي على كل من وكيل Winhttpووكيل الشبكة & الإنترنت، يتم تحديد Winhttp proxy المكون الإضافي كتكوين الوكيل.

ملاحظة

DefenderProxyServer لم يعد مفتاح التسجيل مدعوما. اتبع الخطوات المذكورة أعلاه لتكوين الوكيل في المكون الإضافي.

اختبار الاتصال ل Defender الذي يعمل في WSL

يصف الإجراء التالي كيفية التأكد من أن Defender في نقطة النهاية في WSL لديه اتصال بالإنترنت.

  1. افتح سجل المحرر كمسؤول.

  2. الإنشاء مفتاح تسجيل بالتفاصيل التالية:

    • الاسم: ConnectivityTest
    • النوع: REG_DWORD
    • القيمة: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • المسار: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  3. بمجرد تعيين السجل، أعد تشغيل wsl باستخدام الخطوات التالية:

    1. افتح موجه الأوامر وقم بتشغيل الأمر ، wsl --shutdown.

    2. قم بتشغيل الأمر wsl.

  4. انتظر لمدة 5 دقائق ثم قم بتشغيل healthcheck.exe (الموجود في %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools لنتائج اختبار الاتصال).

    إذا نجحت، يمكنك أن ترى أن اختبار الاتصال كان ناجحا. إذا فشلت، يمكنك أن ترى أن اختبار الاتصال يشير invalid إلى فشل اتصال العميل من WSL إلى Defender لعناوين URL لخدمة نقطة النهاية.

ملاحظة

لتعيين وكيل للاستخدام في حاويات WSL (التوزيعات التي تعمل على النظام الفرعي)، راجع تكوين الإعدادات المتقدمة في WSL.

التحقق من الوظائف وتجربة محلل SOC

بعد تثبيت المكون الإضافي، يتم إلحاق النظام الفرعي وجميع حاوياته قيد التشغيل بمدخل Microsoft Defender.

  1. سجل الدخول إلى مدخل Microsoft Defender، وافتح طريقة عرض الأجهزة.

  2. تصفية باستخدام العلامة WSL2.

لقطة شاشة تعرض عامل تصفية مخزون الجهاز

يمكنك مشاهدة جميع مثيلات WSL في بيئتك باستخدام مكون إضافي نشط ل Defender لنقطة النهاية ل WSL. تمثل هذه المثيلات جميع التوزيعات التي تعمل داخل WSL على مضيف معين. يتطابق اسم مضيف الجهاز مع اسم مضيف Windows. ومع ذلك، يتم تمثيله كجهاز Linux.

  1. افتح صفحة الجهاز. في جزء Overview ، يوجد ارتباط لمكان استضافة الجهاز. يمكنك الارتباط من فهم أن الجهاز يعمل على مضيف Windows. يمكنك بعد ذلك العرض المحوري للمضيف لمزيد من التحقيق و/أو الاستجابة.

    لقطة شاشة تعرض نظرة عامة على الجهاز.

يتم ملء المخطط الزمني، على غرار Defender لنقطة النهاية على Linux، مع أحداث من داخل النظام الفرعي (ملف، عملية، شبكة). يمكنك مراقبة النشاط والكشف في طريقة عرض المخطط الزمني. يتم إنشاء التنبيهات والحوادث حسب الاقتضاء أيضا.

اختبار المكون الإضافي

لاختبار المكون الإضافي بعد التثبيت، اتبع الخطوات التالية:

  1. افتح Terminal أو موجه الأوامر. (في Windows، انتقل إلى البدء>موجه الأوامر. أو انقر بزر الماوس الأيمن فوق زر البدء ثم حدد Terminal.)

  2. قم بتشغيل الأمر wsl.

  3. قم بتنزيل ملف البرنامج النصي واستخراجه من https://aka.ms/LinuxDIY.

  4. في موجه Linux، قم بتشغيل الأمر ./mde_linux_edr_diy.sh.

    يجب أن يظهر تنبيه في المدخل بعد بضع دقائق للكشف على مثيل WSL2.

    ملاحظة

    يستغرق ظهور الأحداث على مدخل Microsoft Defender حوالي 5 دقائق.

تعامل مع الجهاز كما لو كان مضيف Linux عاديا في بيئتك لإجراء الاختبار عليه. على وجه الخصوص، نود الحصول على ملاحظاتك حول القدرة على عرض السلوك الضار المحتمل باستخدام المكون الإضافي الجديد.

الصيد المتقدم

في مخطط التتبع المتقدم، ضمن DeviceInfo الجدول، هناك سمة جديدة تسمى HostDeviceId يمكنك استخدامها لتعيين مثيل WSL إلى جهاز مضيف Windows الخاص به. فيما يلي بعض نماذج استعلامات التتبع:

الحصول على جميع معرفات جهاز WSL للمؤسسة/المستأجر الحالي

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

الحصول على معرفات جهاز WSL ومعرفات الجهاز المضيف المقابلة لها

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

الحصول على قائمة بمعرفات جهاز WSL حيث تم تشغيل curl أو wget

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

استكشاف الأخطاء وإصلاحها

  1. يعرض الأمر healthcheck.exe الإخراج، "تشغيل توزيعة WSL باستخدام الأمر "bash" وإعادة المحاولة في 5 دقائق."

    لقطة شاشة تعرض إخراج PowerShell.

  2. إذا حدث الخطأ المذكور سابقا، فاتخذ الخطوات التالية:

    1. افتح مثيل محطة طرفية وقم بتشغيل الأمر wsl.

    2. انتظر لمدة 5 دقائق على الأقل قبل إعادة تشغيل الفحص الصحي.

  3. healthcheck.exe قد يظهر الأمر الإخراج، "في انتظار بيانات تتبع الاستخدام. يرجى إعادة المحاولة في غضون 5 دقائق."

    لقطة شاشة تعرض حالة القياس عن بعد للصحة.

    إذا حدث هذا الخطأ، فانتظر لمدة 5 دقائق وأعد تشغيل healthcheck.exe.

  4. إذا لم تشاهد أي أجهزة في مدخل Microsoft Defender، أو لم تشاهد أي أحداث في المخطط الزمني، فتحقق من الأشياء التالية:

    • إذا كنت لا ترى كائن جهاز، فتأكد من مرور وقت كاف لإكمال الإلحاق (عادة ما يصل إلى 10 دقائق).

    • تأكد من استخدام عوامل التصفية الصحيحة، ومن أن لديك الأذونات المناسبة المعينة لعرض جميع عناصر الجهاز. (على سبيل المثال، هل حسابك/مجموعتك مقيد بمجموعة معينة؟)

    • استخدم أداة التحقق من الصحة لتوفير نظرة عامة على صحة المكون الإضافي بشكل عام. افتح Terminal، وقم بتشغيل healthcheck.exe الأداة من %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

      لقطة شاشة تعرض الحالة في PowerShell.

    • تمكين اختبار الاتصال والتحقق من اتصال Defender لنقطة النهاية في WSL. إذا فشل اختبار الاتصال، فوفر إخراج أداة التحقق من الصحة إلى mdeforwsl-preview@microsoft.com.

    • إذا أبلغ اختبار الاتصال عن "غير صالح" في التحقق من الصحة، فبادر بتضمين إعدادات التكوين التالية في .wslconfig الموجود في WSL %UserProfile% وإعادة تشغيله. يمكن العثور على تفاصيل حول الإعدادات في إعدادات WSL.

      • في Windows 11
        # Settings apply across all Linux distros running on WSL 2
        [wsl2]
        
        dnsTunneling=true
        
        networkingMode=mirrored  
        
      • في Windows 10
        # Settings apply across all Linux distros running on WSL 2
        [wsl2]
        
        dnsProxy=false
        
  5. في حالة مواجهة أي تحديات أو مشكلات أخرى، افتح المحطة الطرفية وقم بتشغيل الأوامر التالية لإنشاء حزمة الدعم:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
    
    .\healthcheck.exe --supportBundle 
    

    يمكن العثور على حزمة الدعم في المسار الذي يوفره الأمر السابق.

    لقطة شاشة تعرض الحالة في إخراج PowerShell.

  6. تدعم نقطة النهاية Microsoft Defender ل WSL توزيعات Linux التي تعمل على WSL 2. إذا كانت مقترنة ب WSL 1، فقد تواجه مشكلات. لذلك، ينصح بتعطيل WSL 1. للقيام بذلك باستخدام نهج Intune، قم بتنفيذ الخطوات التالية:

    1. انتقل إلى مركز إدارة Microsoft Intune.

    2. انتقل إلىملفات تعريف> تكوين الأجهزة>الإنشاء>نهج جديد.

    3. حددكتالوج الإعداداتWindows 10 والإصدارات الأحدث>.

    4. الإنشاء اسما لملف التعريف الجديد، وابحث عن نظام Windows الفرعي لـ Linux‬ للاطلاع على القائمة الكاملة للإعدادات المتوفرة وإضافتها.

    5. قم بتعيين إعداد السماح ب WSL1 إلى معطل، للتأكد من أنه يمكن استخدام توزيعات WSL 2 فقط.

      بدلا من ذلك، إذا كنت تريد الاستمرار في استخدام WSL 1، أو عدم استخدام نهج Intune، يمكنك إقران التوزيعات المثبتة بشكل انتقائي للتشغيل على WSL 2، عن طريق تشغيل الأمر في PowerShell:

      wsl --set-version <YourDistroName> 2
      

      للحصول على WSL 2 كإصدار WSL افتراضي للتوزيعات الجديدة ليتم تثبيتها في النظام، قم بتشغيل الأمر التالي في PowerShell:

      wsl --set-default-version 2
      
  7. يستخدم المكون الإضافي حلقة Windows EDR بشكل افتراضي. إذا كنت ترغب في التبديل إلى حلقة سابقة، فقم بتعيين OverrideReleaseRing إلى أحد الإجراءات التالية ضمن السجل وأعد تشغيل WSL:

  • الاسم: OverrideReleaseRing
  • النوع: REG_SZ
  • القيمة: Dogfood or External or InsiderFast or Production
  • المسار: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL