Sdílet prostřednictvím

Modul plug-in Microsoft Defender for Endpoint pro Subsystém Windows pro Linux (WSL)

  • Článek

Platí pro:

Přehled

Windows Subsystem for Linux (WSL) 2, který nahrazuje předchozí verzi WSL (podporovanou Microsoft Defenderem for Endpoint bez modulu plug-in), poskytuje prostředí Linuxu, které je bez problémů integrované s Windows, ale je izolované pomocí virtualizační technologie. Modul plug-in Defender for Endpoint for WSL umožňuje defenderu for Endpoint poskytovat lepší přehled o všech spuštěných kontejnerech WSL připojením do izolovaného subsystému.

Známé problémy a omezení

Než začnete, mějte na paměti následující aspekty:

  1. Modul plug-in nepodporuje automatické aktualizace ve verzích starších než 1.24.522.2. Ve verzích 1.24.522.2 a novějších verzích se aktualizace podporují prostřednictvím služby Windows Update ve všech okruhech. Aktualizace prostřednictvím služeb WSUS (Windows Server Update Services), System Center Configuration Manager (SCCM) a katalogu Microsoft Update se podporují jenom v produkčním okruhu, aby se zajistila stabilita balíčků.

  2. Úplné vytvoření instance modulu plug-in trvá několik minut a až 30 minut, než se instance WSL2 sama připojí. Krátkodobé instance kontejneru WSL můžou způsobit, že se instance WSL2 nezobrazí na portálu Microsoft Defender (https://security.microsoft.com). Jakmile nějaká distribuce běží dostatečně dlouho (alespoň 30 minut), zobrazí se.

  3. Spuštění vlastního jádra a vlastního příkazového řádku jádra se nepodporuje. I když modul plug-in neblokuje spuštění v této konfiguraci, nezaručuje viditelnost v rámci WSL při spuštění vlastního jádra a vlastního příkazového řádku jádra. Doporučujeme takové konfigurace blokovat pomocí nastavení wsl v Microsoft Intune.

  4. Distribuce operačního systému se na stránce Přehled zařízení WSL na portálu Microsoft Defenderu zobrazuje žádná.

  5. Modul plug-in není podporován na počítačích s procesorem ARM64.

  6. Modul plug-in poskytuje přehled o událostech z WSL, ale jiné funkce, jako je antimalware, správa hrozeb a ohrožení zabezpečení a příkazy pro odpovědi, nejsou pro logické zařízení WSL k dispozici.

Požadavky na software

  • WSL verze 2.0.7.0 nebo novější musí běžet s alespoň jednou aktivní distribucí.

    Spusťte příkaz wsl --update a ujistěte se, že používáte nejnovější verzi. Pokud wsl -–version se zobrazí verze starší než 2.0.7.0, nejnovější aktualizaci získáte spuštěním příkazu wsl -–update –pre-release .

  • Klientské zařízení s Windows musí být nasazené do programu Defender for Endpoint.

  • Klientské zařízení s Windows musí používat Windows 10 verze 2004 a novější (build 19044 a novější) nebo Windows 11, aby bylo možné podporovat verze WSL, které můžou s modulem plug-in fungovat.

Softwarové komponenty a názvy instalačních souborů

Instalační program: DefenderPlugin-x64-0.24.426.1.msi. Můžete si ho stáhnout ze stránky onboardingu na portálu Microsoft Defender. (Přejděte na Nastavení>.Koncové body>Onboarding.)

Instalační adresáře:

  • %ProgramFiles%

  • %ProgramData%

Nainstalované komponenty:

  • DefenderforEndpointPlug-in.dll. Tato knihovna DLL je knihovna, která načte Defender for Endpoint, aby fungoval v rámci WSL. Najdete ho na adrese %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

  • healthcheck.exe. Tento program zkontroluje stav Defenderu for Endpoint a umožňuje zobrazit nainstalované verze WSL, modulu plug-in a Defenderu for Endpoint. Najdete ho na adrese %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

Postup instalace

Pokud váš subsystém Windows pro Linux ještě není nainstalovaný, postupujte takto:

  1. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

  2. Spusťte příkaz wsl -–install.

  3. Ověřte, že je WSL nainstalovaný a spuštěný.

    1. V terminálu nebo příkazovém řádku spusťte příkaz wsl –-update a ujistěte se, že máte nejnovější verzi.

    2. Před testováním wsl spusťte příkaz a ujistěte se, že wsL běží.

  4. Nainstalujte modul plug-in následujícím postupem:

    1. Nainstalujte soubor MSI stažený z oddílu onboardingu na portálu Microsoft Defenderu (Nastavení>Koncové body>Onboarding>Subsystém Windows pro Linux 2 (plug-in)).

    2. Otevřete příkazový řádek nebo terminál a spusťte příkaz wsl.

    Balíček můžete nasadit pomocí Microsoft Intune.

Poznámka

Pokud WslService je spuštěný, zastaví se během procesu instalace. Není nutné onboardovat subsystém samostatně. místo toho se modul plug-in automaticky připojí k tenantovi, ke které je hostitel Windows nasazený.

Kontrolní seznam pro ověření instalace

  1. Po aktualizaci nebo instalaci počkejte alespoň pět minut, než modul plug-in plně inicializuje a zapíše výstup protokolu.

  2. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

  3. Spusťte příkaz : cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Spusťte příkaz .\healthcheck.exe.

  5. Projděte si podrobnosti o defenderech a WSL a ujistěte se, že splňují nebo překračují následující požadavky:

    • Verze modulu plug-in: 1.24.522.2
    • Verze WSL: 2.0.7.0 nebo novější
    • Verze aplikace Defender: 101.24032.0007
    • Stav defenderu: Healthy

Nastavení proxy serveru pro Defender spuštěný ve WSL

Tato část popisuje, jak nakonfigurovat připojení k proxy serveru pro modul plug-in Defender for Endpoint. Pokud váš podnik používá proxy server k zajištění připojení k Defenderu for Endpoint běžícímu na hostiteli Windows, pokračujte ve čtení a zjistěte, jestli je potřeba ho nakonfigurovat pro modul plug-in.

Pokud chcete použít konfiguraci proxy telemetrie EDR hostitele pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Pokud chcete použít konfiguraci proxy serveru winhttp hostitele pro modul plug-in MDE pro WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Pokud chcete použít nastavení hostitelské sítě a síťového proxy serveru pro modul plug-in MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Poznámka

WSL Defender podporuje pouze http proxy server.

Výběr proxy modulů plug-in

Pokud hostitelský počítač obsahuje více nastavení proxy serveru, modul plug-in vybere konfigurace proxy serveru s následující hierarchií:

  1. Nastavení statického proxy serveru Defenderu for Endpoint (TelemetryProxyServer).

  2. Winhttp proxy (nakonfigurované prostřednictvím netsh příkazu).

  3. Nastavení internetového proxy serveru & sítě.

Pokud má váš hostitelský počítač například a Winhttp proxyNetwork & Internet proxy, modul plug-in se vybere Winhttp proxy jako konfigurace proxy serveru.

Poznámka

Klíč DefenderProxyServer registru se už nepodporuje. Při konfiguraci proxy serveru v modulu plug-in postupujte podle kroků popsaných výše v tomto článku.

Test připojení pro Defender spuštěný ve WSL

Test připojení k defenderu se aktivuje vždy, když na vašem zařízení dojde k úpravě proxy serveru, a jeho spuštění je naplánované na každou hodinu.

Při spuštění počítače wsl počkejte 5 minut a pak spusťte příkaz healthcheck.exe (na adrese, kde %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools najdete výsledky testu připojení). V případě úspěchu uvidíte, že test připojení byl úspěšný. Pokud dojde k selhání, můžete vidět, že test připojení indikoval invalid , že připojení klienta z modulu plug-in MDE pro WSL k adresám URL služby Defender for Endpoint selhává.

Poznámka

Klíč ConnectivityTest registru se už nepodporuje. Pokud chcete nastavit proxy server pro použití v kontejnerech WSL (distribuce spuštěné v subsystému), přečtěte si téma Pokročilá konfigurace nastavení ve WSL.

Ověření funkčnosti a zkušenosti analytika SOC

Po instalaci modulu plug-in se subsystém a všechny jeho spuštěné kontejnery připojí na portál Microsoft Defender.

  1. Přihlaste se k portálu Microsoft Defender a otevřete zobrazení Zařízení .

  2. Filtrujte pomocí značky WSL2.

Snímek obrazovky s filtrem inventáře zařízení

Pomocí aktivního modulu plug-in Defender for Endpoint pro WSL můžete zobrazit všechny instance WSL ve vašem prostředí. Tyto instance představují všechny distribuce spuštěné v rámci WSL na daném hostiteli. Název hostitele zařízení se shoduje s názvem hostitele windows. Je ale reprezentované jako zařízení s Linuxem.

  1. Otevřete stránku zařízení. V podokně Přehled je odkaz na místo, kde je zařízení hostované. Odkaz vám umožní pochopit, že zařízení běží na hostiteli s Windows. Pak se můžete přesunout na hostitele, abyste mohli provést další šetření a/nebo odpověď.

    Snímek obrazovky s přehledem zařízení

Časová osa se naplní podobně jako Defender for Endpoint v Linuxu událostmi ze subsystému (soubor, proces, síť). Aktivity a detekce můžete sledovat v zobrazení časové osy. Podle potřeby se generují také výstrahy a incidenty.

Nastavení vlastní značky pro počítač WSL

Modul plug-in připojí počítač WSL se značkou WSL2. Pokud vy nebo vaše organizace potřebujete vlastní značku, postupujte podle následujících kroků:

  1. Otevřete Editor registru jako správce.

  2. Vytvořte klíč registru s následujícími podrobnostmi:

    • Název: GROUP
    • Typ: REG_SZ nebo řetězec registru
    • Hodnota: Custom tag
    • Cesta: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging

  3. Po nastavení registru restartujte wsl pomocí následujícího postupu:

    1. Otevřete příkazový řádek a spusťte příkaz wsl --shutdown.

    2. wsl Spusťte příkaz .

  4. Počkejte 5 až 10 minut, než se změny projeví na portálu.

Poznámka

Za sadou vlastních značek v registru bude následovat _WSL2. Pokud je Microsoftnapříklad nastavená hodnota registru , vlastní značka bude Microsoft_WSL2 a stejná bude viditelná na portálu.

Testování modulu plug-in

Pokud chcete modul plug-in po instalaci otestovat, postupujte takto:

  1. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

  2. Spusťte příkaz wsl.

  3. Stáhněte a extrahujte soubor skriptu z https://aka.ms/MDE-Linux-EDR-DIY.

  4. Na příkazovém řádku Linuxu spusťte příkaz ./mde_linux_edr_diy.sh.

    Po několika minutách by se na portálu mělo zobrazit upozornění na detekci instance WSL2.

    Poznámka

    Trvá asi pět minut, než se události zobrazí na portálu Microsoft Defenderu.

Zacházejte s počítačem, jako by se jednalo o běžného hostitele Linuxu ve vašem prostředí, na který se provádí testování. Konkrétně bychom chtěli získat vaši zpětnou vazbu ohledně možnosti potenciálně škodlivého chování pomocí nového modulu plug-in.

Pokročilé rozšířené proaktivní vyhledávání

Ve schématu rozšířeného proaktivního vyhledávání je v DeviceInfo tabulce nový atribut s názvem HostDeviceId , který můžete použít k mapování instance WSL na její hostitelské zařízení s Windows. Tady je několik ukázkových dotazů proaktivního vyhledávání:

Získání všech ID zařízení WSL pro aktuální organizaci nebo tenanta

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Získání ID zařízení WSL a jejich odpovídajícíCH ID zařízení hostitele

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Získání seznamu ID zařízení WSL, ve kterých se spustila aplikace curl nebo wget

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Řešení problémů

  1. Příkaz healthcheck.exe zobrazí výstup "Spusťte distribuci WSL s příkazem bash a zkuste to znovu za pět minut".

    Snímek obrazovky s výstupem PowerShellu

  2. Pokud dojde k dříve uvedené chybě, proveďte následující kroky:

    1. Otevřete instanci terminálu a spusťte příkaz wsl.

    2. Před opětovnou kontrolou stavu počkejte aspoň pět minut.

  3. Příkaz healthcheck.exe může zobrazit výstup Čekání na telemetrii. Zkuste to prosím znovu za pět minut."

    Snímek obrazovky zobrazující stav telemetrie stavu

    Pokud k této chybě dojde, počkejte pět minut a spusťte healthcheck.exeznovu .

  4. Pokud na portálu Microsoft Defenderu nevidíte žádná zařízení nebo na časové ose nevidíte žádné události, zkontrolujte následující:

    • Pokud se objekt počítače nezobrazuje, ujistěte se, že uplynula dostatečná doba k dokončení onboardingu (obvykle až 10 minut).

    • Ujistěte se, že používáte správné filtry a že máte přiřazená příslušná oprávnění k zobrazení všech objektů zařízení. (Například je váš účet nebo skupina omezena na určitou skupinu?)

    • Pomocí nástroje pro kontrolu stavu můžete získat přehled o celkovém stavu modulu plug-in. Otevřete Terminál a spusťte nástroj z healthcheck.exe .%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools

      Snímek obrazovky zobrazující stav v PowerShellu

    • Povolte test připojení a zkontrolujte připojení k Defenderu for Endpoint ve WSL. Pokud test připojení selže, poskytněte výstup nástroje pro kontrolu stavu našemu týmu podpory.

    • Pokud test připojení hlásí při kontrole stavu "neplatné", zahrňte následující nastavení konfigurace do umístění v .wslconfig a restartujte %UserProfile% WSL. Podrobnosti o nastavení najdete v části Nastavení WSL.

      • Ve Windows 11

        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored

      • Ve Windows 10

        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

    • Pokud problémy s připojením přetrvávají, spusťte následující kroky a shromážděte protokoly sítě.

      1. Otevření příkazového řádku PowerShellu se zvýšenými oprávněními (správce)

      2. Stáhnout a spustit: .\collect-networking-logs.ps1

        Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
Set-ExecutionPolicy Bypass -Scope Process -Force
.\collect-networking-logs.ps1

      3. Otevřete nový příkazový řádek a spusťte příkaz: wsl

      4. Otevřete příkazový řádek se zvýšenými oprávněními (správce) a spusťte příkaz: wsl --debug-shell

      5. V ladicím prostředí spusťte: mdatp connectivity test

      6. Povolit dokončení testu připojení

      7. Zastavení .ps1 spuštěné v kroku 2

      8. Nasdílejte vygenerovaný soubor .zip společně se sadou podpory, které je možné shromáždit, jak je uvedeno v krocích.

Kolekce balíčků podpory

  1. Pokud narazíte na jakékoli jiné problémy nebo problémy, otevřete Terminál a spuštěním následujících příkazů vygenerujte sadu podpory:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    Balíček podpory najdete v cestě poskytnuté předchozím příkazem.

    Snímek obrazovky zobrazující stav ve výstupu PowerShellu

  2. Koncový bod programu Microsoft Defender pro WSL podporuje distribuce Linuxu spuštěné na WSL 2. Pokud jsou přidružené k WSL 1, můžete narazit na problémy. Proto doporučujeme zakázat WSL 1. Pokud to chcete udělat se zásadami Intune, proveďte následující kroky:

    1. Přejděte do centra pro správu Microsoft Intune.

    2. Přejděte dočásti Profily> konfigurace zařízení>Vytvořit>novou zásadu.

    3. VyberteKatalog Nastavenípro Windows 10 a novější>.

    4. Vytvořte název nového profilu a vyhledejte Subsystém Windows pro Linux , abyste viděli a přidali úplný seznam dostupných nastavení.

    5. Pokud chcete zajistit, aby bylo možné používat pouze distribuce WSL 2, nastavte Povolit WSL1 na Zakázáno.

      Případně pokud chcete dál používat WSL 1 nebo nepoužívat zásady Intune, můžete selektivně přidružit nainstalované distribuce ke spuštění ve WSL 2 spuštěním příkazu v PowerShellu:

      wsl --set-version <YourDistroName> 2

      Pokud chcete mít WSL 2 jako výchozí verzi WSL pro nové distribuce, které se mají nainstalovat v systému, spusťte v PowerShellu následující příkaz:

      wsl --set-default-version 2

  3. Modul plug-in ve výchozím nastavení používá okruh Windows EDR. Pokud chcete přepnout na dřívější okruh, nastavte OverrideReleaseRing v registru jednu z následujících možností a restartujte WSL:

    • Název: OverrideReleaseRing
    • Typ: REG_SZ
    • Hodnota: Dogfood or External or InsiderFast or Production
    • Cesta: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  4. Pokud se při spuštění WSL zobrazí chyba typu "Modul plug-in DefenderforEndpointPlug-in vrátil závažnou chybu s kódem chyby: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", znamená to, že instalace modulu plug-in Defender for Endpoint pro WSL je chybná. Pokud ho chcete opravit, postupujte takto:

    1. V Ovládacích panelech přejděte na Programy>Programy a funkce.

    2. Vyhledejte a vyberte modul plug-in Microsoft Defender for Endpoint pro WSL. Pak vyberte Opravit. Tato akce by měla problém vyřešit umístěním správných souborů do očekávaných adresářů.

    Snímek obrazovky s možností opravy MDE pro opravu WSL v Ovládacích panelech