Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek uvádí požadavky pro nasazení a onboarding Defenderu for Endpoint na Linux serverech.
Důležité
Pokud chcete souběžně spouštět několik řešení zabezpečení, přečtěte si téma Důležité informace o výkonu, konfiguraci a podpoře.
Možná jste už nakonfigurovali vzájemné vyloučení zabezpečení pro zařízení nasazená k Microsoft Defender for Endpoint. Pokud stále potřebujete nastavit vzájemná vyloučení, abyste se vyhnuli konfliktům, přečtěte si téma Přidání Microsoft Defender for Endpoint do seznamu vyloučení pro vaše stávající řešení.
Licenční požadavky
K onboardingu serverů do Defenderu for Endpoint se vyžadují serverové licence. Můžete si vybrat z následujících možností:
- Microsoft Defender pro servery – plán 1 nebo plán 2
- Microsoft Defender for Endpoint pro servery
- Servery Microsoft Defender pro firmy (pouze pro malé a střední firmy)
Podrobnější informace o licenčních požadavcích pro Microsoft Defender for Endpoint najdete v tématu Microsoft Defender for Endpoint informace o licencování.
Podrobné informace o licencování najdete v tématu Podmínky produktu: Microsoft Defender for Endpoint a spolupracujte s týmem vašeho účtu, kde najdete další informace o podmínkách a ujednáních.
Požadavky na systém
- Cpu: Minimálně jedno jádro procesoru. U vysoce výkonných úloh se doporučuje více jader.
- Místo na disku: minimálně 2 GB. U vysoce výkonných úloh může být potřeba více místa na disku.
- Paměť: minimálně 1 GB paměti RAM. U vysoce výkonných úloh může být potřeba více paměti.
- Informace o instalaci ve vlastní cestě najdete v tématu Požadavky a požadavky na systém pro instalaci vlastního umístění.
Poznámka
Na základě úloh může být potřeba doladit výkon. Další informace najdete v tématu Ladění výkonu pro Microsoft Defender for Endpoint na Linux.
Požadavky na software
Linux koncové body serveru by měly mít nainstalovaný systemd (správce systému).
Poznámka
Linux distribuce pomocí správce systému podporují SystemV i Upstart. Microsoft Defender for Endpoint agenta Linux je nezávislý na agentu OMS (Operation Management Suite). Microsoft Defender for Endpoint spoléhá na vlastní nezávislý kanál telemetrie.
Pokud chcete používat funkci izolace zařízení, musí být povolené následující:
iptablesip6tables- Linux jádra s
CONFIG_NETFILTER,CONFIG_IP_NF_IPTABLESaCONFIG_IP_NF_MATCH_OWNERpro verzi jádra nižší než 5.x aCONFIG_NETFILTER_XT_MATCH_OWNERz jádra 5.x.
Požadavky sítě
Linux koncové body serveru by měly mít přístup ke koncovým bodům zdokumentovaným v tématu:
- Microsoft Defender for Endpoint zjednodušené adresy URL připojení – komerční (komerční zákazníci)
- Microsoft Defender for Endpoint zjednodušené adresy URL připojení – prostředí státní správy USA (zákazníci ze státní správy USA).
V případě potřeby nakonfigurujte zjišťování statického proxy serveru.
Upozornění
Pac, WPAD a ověřené proxy servery se nepodporují. Používejte pouze statické nebo transparentní proxy servery. Kontrola PROTOKOLU SSL a zachycování proxy serverů se z bezpečnostních důvodů nepodporují. Nakonfigurujte výjimku pro kontrolu SSL a proxy server tak, aby umožňoval přímé předávání dat z Defenderu for Endpoint na Linux na příslušné adresy URL bez zachytávání. Přidání certifikátu pro zachytávání do globálního úložiště nepovolí zachytávání.
Ověření, jestli se zařízení můžou připojit ke cloudovým službám Defenderu for Endpoint
Připravte své prostředí, jak je popsáno v kroku 1 v následujícím článku Konfigurace síťového prostředí k zajištění připojení ke službě Defender for Endpoint.
Připojte Defender for Endpoint na Linux prostřednictvím proxy serveru pomocí následujících metod zjišťování:
- Transparentní proxy server
- Ruční konfigurace statického proxy serveru
Povolte anonymní provoz v dříve uvedených adresách URL, pokud proxy server nebo brána firewall blokují provoz.
Poznámka
Konfigurace transparentních proxy serverů není pro Defender for Endpoint nutná. Viz Ruční konfigurace statického proxy serveru.
Postup při řešení potíží najdete v tématu Řešení potíží s připojením ke cloudu pro Microsoft Defender for Endpoint na Linux.
Podporované distribuce Linux
Podporují se následující distribuce Linux serveru:
| Distribuce | x64 (AMD64/EM64T) | ARM64 |
|---|---|---|
| Red Hat Enterprise Linux | 7.2+, 8.x, 9.x, 10.x | 8.x, 9.x, 10.x |
| Centos | 7.2+, 8.x | - |
| Stream CentOS | 8.x, 9.x, 10.x | 8.x, 9.x, 10.x |
| Ubuntu LTS | 16.04, 18.04, 20.04, 22.04,24.04 | 20.04, 22.04, 24.04 |
| Ubuntu Pro | 22.04, 24.04 | 22.04, 24.04 |
| Debian | 9–13 | 11, 12, 13 |
| SUSE Linux Enterprise Server | 12.x, 15.x | 15 (SP5, SP6) |
| Oracle Linux | 7.2+, 8.x, 9.x | 8.x, 9.x |
| Amazon Linux | 2, 2023 | 2, 2023 |
| Fedora | 33–42 | - |
| Rocky Linux | 8.7+, 9.2+ | 8.7+, 9.2+ |
| Alma Linux | 8.4+, 9.2+ | 8.4+, 9.2+ |
| Mariner | 2 | 2 |
Poznámka
Distribuce a verze, které nejsou explicitně uvedené výše, nejsou podporované Microsoft Defender for Endpoint jsou nezávislé na verzích jádra pro všechny ostatní podporované distribuce a verze. Minimální požadavek na verzi jádra je 3.10.0-327 nebo novější.
Microsoft Defender for Endpoint na Linux je možné nainstalovat a fungovat v přizpůsobených operačních systémech, které splňují minimální požadavky na jádro a jsou odvozeny ze známých standardních distribucí Linux poskytovaných dodavatelem, které microsoft podporuje. Zákazníci mohou v takových prostředích nasadit a spustit Defender for Endpoint. Microsoft neblokuje onboarding ani spouštění. Tato přizpůsobená prostředí ale nejsou součástí standardních hodnot podpory ověřených nebo udržovaných microsoftem. V důsledku toho se s nimi z hlediska podpory zachází jako s vlastními konfiguracemi operačního systému. Očekává se, že zákazníci budou v těchto vlastních prostředích ověřovat Defender for Endpoint a v případě potřeby reprodukovat problémy v podporované standardní (neupravené) distribuci Linux. Pokud se problém nedá reprodukovat v podporované standardní základní distribuci, microsoft možná nebude moct pokračovat v dalším šetření nebo nápravě. Pro zajištění plné podpory a předvídatelného prostředí podpory se zákazníkům doporučuje spustit Defender for Endpoint v podporované distribuci Linux poskytované dodavatelem, jak je uvedeno v oficiálních požadavcích.
Upozornění
Spuštění Defenderu for Endpoint na Linux spolu s dalšími řešeními zabezpečení založenými na Fanotify se nepodporuje a může vést k nepředvídatelnému chování, včetně zablokování systému.
Pokud některé aplikace používají Fanotify v režimu blokování, zobrazí se v poli conflicting_applications výstupu příkazu mdatp health.
Stále můžete bezpečně využívat výhod Defenderu for Endpoint na Linux nastavením úrovně vynucování antivirového softwaru na pasivní. Viz Konfigurace nastavení zabezpečení v Microsoft Defender for Endpoint na Linux.
VÝJIMKA: Funkce LinuxFAPolicyD, která také používá Fanotify v režimu blokování, je podporována s Defenderem for Endpoint v aktivním režimu na platformách RHEL a Fedora za předpokladu, že mdatp hlásí stav v pořádku. Tato výjimka je založená na ověřené kompatibilitě specifické pro tyto distribuce.
Podporované systémy souborů pro ochranu v reálném čase a rychlé, úplné a vlastní kontroly
| Ochrana v reálném čase a rychlé/úplné kontroly | Vlastní kontroly |
|---|---|
btrfs |
Všechny systémy souborů podporované pro ochranu v reálném čase a rychlé/úplné kontroly jsou také podporovány pro vlastní kontroly. Kromě toho jsou systémy souborů uvedené níže podporovány také pro vlastní kontroly. |
ecryptfs |
Efs |
ext2 |
S3fs |
ext3 |
Blobfuse |
ext4 |
Lustr |
fuse |
glustrefs |
fuseblk |
Afs |
jfs |
sshfs |
nfs (v3) |
cifs |
nfs4 |
smb |
overlay |
gcsfuse |
ramfs |
sysfs |
reiserfs |
|
tmpfs |
|
udf |
|
vfat |
|
xfs |
Poznámka
Pokud chcete zkontrolovat přípojné body NFS v3, nezapomeňte nastavit možnost exportu no_root_squash . Bez této možnosti může prohledávání systému souborů NFS v3 selhat kvůli chybějícím oprávněním.
Role a oprávnění
- K instalaci se vyžadují oprávnění správce koncového bodu Linux serveru.
- Příslušná role přiřazená v Defenderu for Endpoint. Viz Řízení přístupu na základě role.
Metody a nástroje instalace
Existuje několik metod a nástrojů, které můžete použít k nasazení Microsoft Defender for Endpoint na podporovaných Linux serverech.
Doporučuje se používat nasazení na základě nástrojů pro nasazení, protože zjednodušuje proces onboardingu, omezuje ruční úlohy a podporuje širokou škálu scénářů nasazení, včetně nových instalací, upgradů a odinstalací. Další informace najdete v tématu Nasazení zabezpečení koncového bodu Microsoft Defender Linux zařízení pomocí nástroje pro nasazení Defenderu (Preview).
- Nasazení na základě nástrojů pro nasazení (doporučeno)
- Nasazení založené na instalačním skriptu
- Nasazení pomocí Ansible
- Nasazení založené na chefu
- Nasazení pomocí Puppet
- Nasazení založené na SaltStacku
- Nasazení založené na zlaté imagi
- Nasazení do vlastního umístění
- Ruční nasazení
- Přímé zprovoznění pomocí Defenderu for Cloud
- Pokyny pro Defender for Endpoint na Linux Serveru se SAP
Důležité
Na Linux Microsoft Defender for Endpoint vytvoří uživatele mdatp s náhodnými hodnotami UID a GID. Pokud chcete tyto hodnoty řídit, vytvořte uživatele mdatp před instalací pomocí /usr/sbin/nologin možnosti prostředí. Tady je příklad: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.
Pokud narazíte na jakékoli problémy s instalací, jsou k dispozici prostředky pro řešení potíží s vlastním nastavením. Podívejte se na odkazy v části Související obsah.
Další kroky
- Nasazení Defenderu for Endpoint na Linux
- Konfigurace Defenderu for Endpoint na Linux
- Nasazení aktualizací pro Defender for Endpoint na Linux
Související obsah
- Správa Microsoft Defender Antivirové ochrany pomocí správy nastavení zabezpečení Microsoft Defender for Endpoint
- Linux zdroje informací
- Řešení potíží s připojením ke cloudu pro Microsoft Defender for Endpoint na Linux
- Prozkoumání problémů se stavem agenta
- Řešení potíží s chybějícími událostmi nebo upozorněními pro Microsoft Defender for Endpoint na Linux
- Řešení potíží s výkonem Microsoft Defender for Endpoint na Linux
- Instalace Defenderu for Endpoint na Linux do vlastní cesty