Microsoft Defender for Endpoint plug-in pro Subsystém Windows pro Linux (WSL)

Platí pro:

Přehled

Subsystém Windows pro Linux (WSL) 2, která nahrazuje předchozí verzi WSL (podporovanou Microsoft Defender for Endpoint bez modulu plug-in), poskytuje prostředí Linuxu, které je bez problémů integrované s Windows, ale je izolované pomocí virtualizační technologie. Modul plug-in Defender for Endpoint for WSL umožňuje defenderu for Endpoint poskytovat lepší přehled o všech spuštěných kontejnerech WSL připojením do izolovaného subsystému.

Známé problémy a omezení

Než začnete, mějte na paměti následující:

  1. Modul plug-in nepodporuje automatické aktualizace ve verzích starších než 0.24.426.1. Ve verzi 0.24.426.1 a novějších verzích se aktualizace podporují prostřednictvím služba Windows Update napříč všemi okruhy. Aktualizace prostřednictvím služby Wsus (Windows Server Update Services), System Center Configuration Manager (SCCM) a katalogu Služby Microsoft Update se podporují pouze v okruhu Produkční, aby byla zajištěna stabilita balíčků.

  2. Úplné vytvoření instance modulu plug-in trvá několik minut a až 30 minut, než se instance WSL2 sama připojí. Krátkodobé instance kontejnerů WSL můžou způsobit, že se instance WSL2 nezobrazí na portálu Microsoft Defender (https://security.microsoft.com). Jakmile nějaká distribuce běží dostatečně dlouho (alespoň 30 minut), zobrazí se.

  3. V této verzi je podporováno spuštění vlastního jádra a vlastního příkazového řádku jádra. Modul plug-in však nezaručuje viditelnost v rámci WSL, pokud používáte vlastní jádro a vlastní příkazový řádek jádra.

  4. Distribuce operačního systému se na stránce Přehled zařízení WSL na portálu Microsoft Defender zobrazí žádná.

  5. Modul plug-in není podporován na počítačích s procesorem ARM64.

Požadavky na software

  • WSL verze 2.0.7 nebo novější musí být spuštěné s alespoň jednou aktivní distribucí.

    Spusťte příkaz wsl --update a ujistěte se, že používáte nejnovější verzi. Pokud wsl -–version se zobrazí verze starší než 2.0.7, nejnovější aktualizaci získáte spuštěním příkazu wsl -–update –pre-release .

  • Klientské zařízení s Windows musí být nasazené do programu Defender for Endpoint.

  • Klientské zařízení s Windows musí používat Windows 10 verze 2004 a novější (build 19044 a novější) nebo Windows 11 pro podporu verzí WSL, které můžou s modulem plug-in pracovat.

Softwarové komponenty a názvy instalačních souborů

Instalační program: DefenderPlugin-x64-0.24.426.1.msi. Můžete si ho stáhnout ze stránky onboardingu na portálu Microsoft Defender.

Instalační adresáře:

  • %ProgramFiles%

  • %ProgramData%

Nainstalované komponenty:

  • DefenderforEndpointPlug-in.dll. Tato knihovna DLL je knihovna, která načte Defender for Endpoint, aby fungoval v rámci WSL. Najdete ho v modulu plug-in %ProgramFiles%\Microsoft Defender for Endpoint pro WSL\plug-in.

  • healthcheck.exe. Tento program zkontroluje stav Defenderu for Endpoint a umožňuje zobrazit nainstalované verze WSL, modulu plug-in a Defenderu for Endpoint. Najdete ho v modulu plug-in %ProgramFiles%\Microsoft Defender for Endpoint pro WSL\tools.

Postup instalace

Pokud váš Subsystém Windows pro Linux ještě není nainstalovaný, postupujte takto:

  1. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

  2. Spusťte příkaz wsl -–install.

  3. Ověřte, že je WSL nainstalovaný a spuštěný.

    1. V terminálu nebo příkazovém řádku spusťte příkaz wsl –-update a ujistěte se, že máte nejnovější verzi.

    2. Před testováním wsl spusťte příkaz a ujistěte se, že wsL běží.

  4. Nainstalujte modul plug-in následujícím postupem:

    1. Nainstalujte soubor MSI stažený z části onboardingu na portálu Microsoft Defender (Onboarding>koncových bodů>nastavení>Subsystém Windows pro Linux 2 (modul plug-in)).

    2. Otevřete příkazový řádek nebo terminál a spusťte příkaz wsl.

    Balíček můžete nasadit pomocí Microsoft Intune.

Poznámka

Pokud WslService je spuštěný, zastaví se během procesu instalace. Není nutné onboardovat subsystém samostatně. místo toho se modul plug-in automaticky připojí k tenantovi, ke které je hostitel Windows nasazený.

Kontrolní seznam pro ověření instalace

  1. Po aktualizaci nebo instalaci počkejte alespoň pět minut, než modul plug-in plně inicializuje a zapíše výstup protokolu.

  2. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

  3. Spusťte příkaz : cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Spusťte příkaz .\healthcheck.exe.

  5. Projděte si podrobnosti o defenderech a WSL a ujistěte se, že splňují nebo překračují následující požadavky:

    • Verze modulu plug-in: 0.24.426.1
    • Verze WSL: 2.0.7.0 nebo novější
    • Verze aplikace Defender: 701.00000.1509
    • Stav defenderu: Healthy

Nastavení proxy serveru pro Defender spuštěný ve WSL

Tato část popisuje, jak nakonfigurovat připojení k proxy serveru pro modul plug-in Defender for Endpoint. Pokud váš podnik používá proxy server k zajištění připojení k Defenderu for Endpoint běžícímu na hostiteli Windows, pokračujte ve čtení a zjistěte, jestli je potřeba ho nakonfigurovat pro modul plug-in.

Pokud chcete použít konfiguraci proxy telemetrie EDR hostitele pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Pokud chcete použít konfiguraci proxy serveru winhttp hostitele pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Pokud chcete použít nastavení hostitelské sítě a síťového proxy serveru pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Výběr proxy modulů plug-in

Pokud hostitelský počítač obsahuje více nastavení proxy serveru, modul plug-in vybere konfigurace proxy serveru s následující hierarchií:

  1. Nastavení statického proxy serveru Defenderu for Endpoint (TelemetryProxyServer).

  2. Winhttp proxy (nakonfigurované prostřednictvím netsh příkazu).

  3. Nastavení internetového proxy serveru & sítě.

Příklad: Pokud má hostitelský počítač proxy server Winhttp i síťový & internetový proxy server, modul plug-in se vybere Winhttp proxy jako konfigurace proxy serveru.

Poznámka

Klíč DefenderProxyServer registru se už nepodporuje. Při konfiguraci proxy serveru v modulu plug-in postupujte podle výše uvedených kroků.

Test připojení pro Defender spuštěný ve WSL

Následující postup popisuje, jak ověřit, že defender v koncovém bodu ve WSL má připojení k internetu.

  1. Otevřete registr Editor jako správce.

  2. Create klíč registru s následujícími podrobnostmi:

    • Název: ConnectivityTest
    • Typ: REG_DWORD
    • Hodnota: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • Cesta: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  3. Po nastavení registru restartujte wsl pomocí následujícího postupu:

    1. Otevřete příkazový řádek a spusťte příkaz wsl --shutdown.

    2. Spusťte příkaz wsl.

  4. Počkejte 5 minut a pak spusťte příkaz healthcheck.exe (v umístění %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools najdete výsledky testu připojení).

    V případě úspěchu uvidíte, že test připojení byl úspěšný. Pokud došlo k selhání, můžete vidět, že test připojení indikoval invalid , že připojení klienta z WSL do adres URL služby Defender for Endpoint selhává.

Poznámka

Pokud chcete nastavit proxy server pro použití v kontejnerech WSL (distribuce spuštěné v subsystému), přečtěte si téma Pokročilá konfigurace nastavení ve WSL.

Ověření funkčnosti a zkušenosti analytika SOC

Po instalaci modulu plug-in se subsystém a všechny jeho spuštěné kontejnery onboardují na portálu Microsoft Defender.

  1. Přihlaste se k portálu Microsoft Defender a otevřete zobrazení Zařízení.

  2. Filtrujte pomocí značky WSL2.

Snímek obrazovky s filtrem inventáře zařízení

Pomocí aktivního modulu plug-in Defender for Endpoint pro WSL můžete zobrazit všechny instance WSL ve vašem prostředí. Tyto instance představují všechny distribuce spuštěné v rámci WSL na daném hostiteli. Název hostitele zařízení se shoduje s názvem hostitele windows. Je ale reprezentované jako zařízení s Linuxem.

  1. Otevřete stránku zařízení. V podokně Přehled je odkaz na místo, kde je zařízení hostované. Odkaz vám umožní pochopit, že zařízení běží na hostiteli s Windows. Pak se můžete přesunout na hostitele, abyste mohli provést další šetření a/nebo odpověď.

    Snímek obrazovky s přehledem zařízení

Časová osa se naplní podobně jako Defender for Endpoint v Linuxu událostmi ze subsystému (soubor, proces, síť). Aktivity a detekce můžete sledovat v zobrazení časové osy. Podle potřeby se generují také výstrahy a incidenty.

Testování modulu plug-in

Pokud chcete modul plug-in po instalaci otestovat, postupujte takto:

  1. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

  2. Spusťte příkaz wsl.

  3. Stáhněte a extrahujte soubor skriptu z https://aka.ms/LinuxDIY.

  4. Na příkazovém řádku Linuxu spusťte příkaz ./mde_linux_edr_diy.sh.

    Po několika minutách by se na portálu mělo zobrazit upozornění na detekci instance WSL2.

    Poznámka

    Události se na portálu Microsoft Defender zobrazí přibližně za 5 minut.

Zacházejte s počítačem, jako by se jednalo o běžného hostitele Linuxu ve vašem prostředí, na který se provádí testování. Konkrétně bychom chtěli získat vaši zpětnou vazbu ohledně možnosti potenciálně škodlivého chování pomocí nového modulu plug-in.

Pokročilé rozšířené proaktivní vyhledávání

Ve schématu rozšířeného proaktivního vyhledávání je v DeviceInfo tabulce nový atribut s názvem HostDeviceId , který můžete použít k mapování instance WSL na její hostitelské zařízení s Windows. Tady je několik ukázkových dotazů proaktivního vyhledávání:

Získání všech ID zařízení WSL pro aktuální organizaci nebo tenanta

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Získání ID zařízení WSL a jejich odpovídajícíCH ID zařízení hostitele

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Získání seznamu ID zařízení WSL, ve kterých se spustila aplikace curl nebo wget

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Řešení problémů

  1. Příkaz healthcheck.exe zobrazí výstup "Spusťte distribuci WSL s příkazem bash" a zkuste to znovu za 5 minut.

    Snímek obrazovky s výstupem PowerShellu

  2. Pokud dojde k dříve uvedené chybě, proveďte následující kroky:

    1. Otevřete instanci terminálu a spusťte příkaz wsl.

    2. Před opětovnou kontrolou stavu počkejte alespoň 5 minut.

  3. Příkaz healthcheck.exe může zobrazit výstup Čekání na telemetrii. Zkuste to prosím znovu za 5 minut."

    Snímek obrazovky zobrazující stav telemetrie stavu

    Pokud k této chybě dojde, počkejte 5 minut a spusťte healthcheck.exeznovu .

  4. Pokud na portálu Microsoft Defender nevidíte žádná zařízení nebo na časové ose nevidíte žádné události, zkontrolujte následující:

    • Pokud se objekt počítače nezobrazuje, ujistěte se, že uplynula dostatečná doba k dokončení onboardingu (obvykle až 10 minut).

    • Ujistěte se, že používáte správné filtry a že máte přiřazená příslušná oprávnění k zobrazení všech objektů zařízení. (Například je váš účet nebo skupina omezena na určitou skupinu?)

    • Pomocí nástroje pro kontrolu stavu můžete získat přehled o celkovém stavu modulu plug-in. Otevřete Terminál a spusťte nástroj z healthcheck.exe .%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools

      Snímek obrazovky zobrazující stav v PowerShellu

    • Povolte test připojení a zkontrolujte připojení k Defenderu for Endpoint ve WSL. Pokud test připojení selže, zadejte výstup nástroje pro kontrolu stavu do mdeforwsl-preview@microsoft.com.

    • Pokud test připojení hlásí při kontrole stavu "neplatné", zahrňte následující nastavení konfigurace do umístění v .wslconfig a restartujte %UserProfile% WSL. Podrobnosti o nastavení najdete v části Nastavení WSL.

      • V Windows 11
        # Settings apply across all Linux distros running on WSL 2
        [wsl2]
        
        dnsTunneling=true
        
        networkingMode=mirrored  
        
      • V Windows 10
        # Settings apply across all Linux distros running on WSL 2
        [wsl2]
        
        dnsProxy=false
        
  5. Pokud narazíte na jakékoli jiné problémy nebo problémy, otevřete Terminál a spuštěním následujících příkazů vygenerujte sadu podpory:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
    
    .\healthcheck.exe --supportBundle 
    

    Balíček podpory najdete v cestě poskytnuté předchozím příkazem.

    Snímek obrazovky zobrazující stav ve výstupu PowerShellu

  6. Microsoft Defender Koncový bod pro WSL podporuje distribuce Linuxu spuštěné na WSL 2. Pokud jsou přidružené k WSL 1, můžete narazit na problémy. Proto doporučujeme zakázat WSL 1. Pokud to chcete provést pomocí zásad Intune, proveďte následující kroky:

    1. Přejděte do centra pro správu Microsoft Intune.

    2. Přejděte naProfily> konfigurace zařízení>Create>Nové zásady.

    3. Vyberte katalog Windows 10 a novějších>nastavení.

    4. Create název nového profilu a vyhledejte Subsystém Windows pro Linux, abyste viděli a přidali úplný seznam dostupných nastavení.

    5. Pokud chcete zajistit, aby bylo možné používat pouze distribuce WSL 2, nastavte Povolit WSL1 na Zakázáno.

      Případně pokud chcete dál používat WSL 1 nebo nepoužívat zásady Intune, můžete selektivně přidružit nainstalované distribuce ke spuštění ve WSL 2 spuštěním příkazu v PowerShellu:

      wsl --set-version <YourDistroName> 2
      

      Pokud chcete mít WSL 2 jako výchozí verzi WSL pro nové distribuce, které se mají nainstalovat v systému, spusťte v PowerShellu následující příkaz:

      wsl --set-default-version 2
      
  7. Modul plug-in ve výchozím nastavení používá okruh Windows EDR. Pokud chcete přepnout na dřívější okruh, nastavte OverrideReleaseRing v registru jednu z následujících možností a restartujte WSL:

  • Název: OverrideReleaseRing
  • Typ: REG_SZ
  • Hodnota: Dogfood or External or InsiderFast or Production
  • Cesta: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  1. Pokud se při spuštění WSL zobrazí chyba typu "Modul plug-in DefenderforEndpointPlug-in vrátil závažnou chybu s kódem chyby: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", znamená to, že instalace modulu plug-in Defender for Endpoint pro WSL je chybná. Pokud ho chcete opravit, postupujte takto:

    1. V Ovládací panely přejděte na Programy>Programy Programy a funkce.

    2. Vyhledejte a vyberte Microsoft Defender for Endpoint modul plug-in pro WSL. Pak vyberte Opravit.

    To by mělo problém vyřešit umístěním správných souborů do očekávaných adresářů.

    Snímek obrazovky znázorňující MDE možnost opravy WSL v Ovládacích panelech