Del via

Microsoft Defender for Endpoint plug-in til Windows-undersystem til Linux (WSL)

  • Artikel

Gælder for:

Oversigt

Windows-undersystem til Linux (WSL) 2, som erstatter den tidligere version af WSL (understøttes af Microsoft Defender for Endpoint uden en plug-in), leverer et Linux-miljø, der er problemfrit integreret med Windows, men som isoleres ved hjælp af virtualiseringsteknologi. Defender for Endpoint for WSL-plug-in gør det muligt for Defender for Endpoint at give mere synlighed i alle kørende WSL-objektbeholdere ved at tilslutte til det isolerede undersystem.

Kendte problemer og begrænsninger

Vær opmærksom på følgende overvejelser, før du starter:

  1. Plug-in'en understøtter ikke automatiske opdateringer af versioner før 1.24.522.2. På version 1.24.522.2 og nyere understøttes opdateringer via Windows Update på tværs af alle ringe. Opdateringer via WSUS (Windows Server Update Services), System Center Configuration Manager (SCCM) og Microsoft Update-kataloget understøttes kun i produktionsringen for at sikre pakkestabilitet.

  2. Det tager et par minutter for plug-in'en at instantiere fuldt ud og op til 30 minutter for en WSL2-forekomst at onboarde sig selv. Kortlivede WSL-objektbeholderforekomster kan medføre, at WSL2-forekomsten ikke vises på Microsoft Defender-portalen (https://security.microsoft.com). Når en distribution har kørt længe nok (mindst 30 minutter), vises den.

  3. Kørsel af en brugerdefineret kerne- og brugerdefineret kernekommandolinje understøttes ikke. Selvom plug-in'en ikke blokerer kørsel i denne konfiguration, garanterer den ikke synlighed i WSL, når du kører en brugerdefineret kerne- og brugerdefineret kernekommandolinje. Vi anbefaler, at du blokerer sådanne konfigurationer ved hjælp af Microsoft Intune wsl-indstillinger.

  4. OS Distribution vises Ingen på siden Enhedsoversigt på en WSL-enhed på Microsoft Defender portalen.

  5. Plug-in'en understøttes ikke på computere med ARM64-processor.

  6. Plug-in'en giver indblik i hændelser fra WSL, men andre funktioner, f.eks. antimalware, Håndtering af trusler og sikkerhedsrisici og svarkommandoer, er ikke tilgængelige for den logiske WSL-enhed.

Software forudsætninger

  • WSL version 2.0.7.0 eller nyere skal køre med mindst én aktiv distro.

    Kør wsl --update for at sikre, at du har den nyeste version. Hvis wsl -–version viser en version, der er ældre end 2.0.7.0, skal du køre wsl -–update –pre-release for at hente den nyeste opdatering.

  • Windows-klientenheden skal være føjet til Defender for Endpoint.

  • Windows-klientenheden skal køre Windows 10, version 2004 og nyere (build 19044 og nyere), eller Windows 11 for at understøtte de WSL-versioner, der kan arbejde med plug-in'en.

Softwarekomponenter og installationsfilnavne

Installationsprogram: DefenderPlugin-x64-0.24.426.1.msi. Du kan downloade den fra onboardingsiden på Microsoft Defender portalen. (Gå til Indstillinger>Slutpunkter>Onboarding.)

Installationsmapper:

  • %ProgramFiles%

  • %ProgramData%

Installerede komponenter:

  • DefenderforEndpointPlug-in.dll. Denne DLL er det bibliotek, hvor Defender for Endpoint skal indlæses, så det fungerer i WSL. Du kan finde den på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

  • healthcheck.exe. Dette program kontrollerer tilstandsstatussen for Defender for Endpoint og giver dig mulighed for at se de installerede versioner af WSL, plug-in og Defender for Endpoint. Du kan finde den på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

Installationstrin

Hvis din Windows-undersystem til Linux endnu ikke er installeret, skal du følge disse trin:

  1. Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.

  2. Kør kommandoen wsl -–install.

  3. Bekræft, at WSL er installeret og kører.

    1. Kør wsl –-update ved hjælp af Terminal eller Kommandoprompt for at sikre, at du har den nyeste version.

    2. Kør kommandoen wsl for at sikre, at WSL kører, før du tester.

  4. Installér plug-in'en ved at følge disse trin:

    1. Installér den MSI-fil, der er downloadet fra onboardingafsnittet på Microsoft Defender-portalen (Settings>Endpoints>Onboarding>Windows-undersystem til Linux 2 (plug-in)).

    2. Åbn en kommandoprompt/terminal, og kør wsl.

    Du kan installere pakken ved hjælp af Microsoft Intune.

Bemærk!

Hvis WslService kører, stopper den under installationsprocessen. Du behøver ikke at onboarde delsystemet separat. I stedet onboardes plug-in'en automatisk til den lejer, som Windows-værten er onboardet til.

Tjekliste til validering af installation

  1. Efter opdatering eller installation skal du vente i mindst fem minutter på, at plug-in'en initialiserer og skriver logoutput helt.

  2. Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.

  3. Kør kommandoen: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Kør kommandoen .\healthcheck.exe.

  5. Gennemse oplysningerne om Defender og WSL, og sørg for, at de stemmer overens eller overskrider følgende krav:

    • Plug-in-version: 1.24.522.2
    • WSL-version: 2.0.7.0 eller nyere
    • Version af Defender-app: 101.24032.0007
    • Tilstandsstatus for Defender: Healthy

Angivelse af en proxy for Defender, der kører i WSL

I dette afsnit beskrives det, hvordan du konfigurerer proxyforbindelsen for Defender for Endpoint-plug-in'en. Hvis din virksomhed bruger en proxy til at oprette forbindelse til Defender for Endpoint, der kører på Windows-værten, skal du fortsætte med at læse for at afgøre, om du skal konfigurere den til plug-in'en.

Hvis du vil bruge værts-windows EDR-telemetriproxykonfigurationen til MDE til WSL-plug-in'en, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.

Hvis du vil bruge værts-winhttp-proxykonfigurationen til MDE til WSL-plug-in, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.

Hvis du vil bruge værtsnetværks- og netværksproxyindstillingen for MDE til WSL-plug-in'en, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.

Bemærk!

WSL Defender understøtter kun http proxy.

Valg af plug-in-proxy

Hvis værtscomputeren indeholder flere proxyindstillinger, vælger plug-in'en proxykonfigurationerne med følgende hierarki:

  1. Indstilling for statisk proxy for Slutpunkt (TelemetryProxyServer).

  2. Winhttp proxy (konfigureret via netsh kommando).

  3. Netværk & internetproxyindstillinger.

Hvis værtscomputeren f.eks. har både Winhttp proxy og Network & Internet proxy, vælger Winhttp proxy plug-in'en som proxykonfiguration.

Bemærk!

Registreringsdatabasenøglen DefenderProxyServer understøttes ikke længere. Følg de trin, der er beskrevet tidligere i denne artikel, for at konfigurere proxy-in-plug-in'en.

Forbindelsestest for Defender, der kører i WSL

Defender-forbindelsestesten udløses, når der er en proxyændring på enheden, og den er planlagt til at køre hver time.

Når du starter wsl-computeren, skal du vente i 5 minutter og derefter køre healthcheck.exe (placeret i %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools for resultaterne af forbindelsestesten). Hvis det lykkes, kan du se, at forbindelsestesten var en succes. Hvis det mislykkes, kan du se, at forbindelsestesten invalid angiver, at klientforbindelsen fra MDE plug-in for WSL til Defender for Endpoint-tjenestens URL-adresser mislykkes.

Bemærk!

Registreringsdatabasenøglen ConnectivityTest understøttes ikke længere. Hvis du vil angive en proxy til brug i WSL-objektbeholdere (de distributioner, der kører på undersystemet), skal du se Konfiguration af avancerede indstillinger i WSL.

Bekræftelse af funktionalitet og SOC-analytikeroplevelse

Efter installation af plug-in'en er undersystemet og alle dets kørende objektbeholdere onboardet på Microsoft Defender portalen.

  1. Log på Microsoft Defender-portalen, og åbn visningen Enheder.

  2. Filtrer ved hjælp af mærket WSL2.

    Skærmbillede, der viser enhedens lagerfilter

    Du kan se alle WSL-forekomster i dit miljø med en aktiv Defender for Endpoint-plug-in til WSL. Disse forekomster repræsenterer alle distributioner, der kører i WSL på en given vært. Værtsnavnet på en enhed svarer til Windows-værtens. Den repræsenteres dog som en Linux-enhed.

  3. Åbn enhedssiden. I ruden Oversigt er der et link til det sted, hvor enheden hostes. Linket giver dig mulighed for at forstå, at enheden kører på en Windows-vært. Du kan derefter pivotere til værten for yderligere undersøgelse og/eller svar.

    Skærmbillede, der viser enhedsoversigten.

Tidslinjen udfyldes, ligesom Defender for Endpoint på Linux, med hændelser inde fra undersystemet (fil, proces, netværk). Du kan se aktivitet og registreringer i tidslinjevisningen. Beskeder og hændelser genereres også efter behov.

Konfiguration af brugerdefineret kode til WSL-computeren

Plug-in'en onboarder WSL-maskinen med -koden WSL2. Hvis du eller din organisation har brug for et brugerdefineret mærke, skal du følge de trin, der er beskrevet nedenfor:

  1. Åbn registreringsdatabasen Editor som administrator.

  2. Opret en registreringsdatabasenøgle med følgende oplysninger:

    • Navn: GROUP
    • Type: REG_SZ eller streng i registreringsdatabasen
    • Værdi: Custom tag
    • Sti: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging

  3. Når registreringsdatabasen er angivet, skal du genstarte wsl ved hjælp af følgende trin:

    1. Åbn kommandoprompten, og kør kommandoen . wsl --shutdown

    2. Kør kommandoen wsl .

  4. Vent 5-10 minutter på, at portalen afspejler ændringerne.

Bemærk!

Det brugerdefinerede mærke, der er angivet i registreringsdatabasen, efterfølges af en _WSL2. Hvis værdien i registreringsdatabasen f.eks. er Microsoft, vil den brugerdefinerede kode være Microsoft_WSL2 , og den samme vil være synlig på portalen.

Test plug-in'en

Følg disse trin for at teste plug-in'en efter installationen:

  1. Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.

  2. Kør kommandoen wsl.

  3. Hent og udpak scriptfilen fra https://aka.ms/MDE-Linux-EDR-DIY.

  4. Kør kommandoen ./mde_linux_edr_diy.shi Linux-prompten.

    Der vises en besked på portalen efter et par minutter for at få en registrering på WSL2-forekomsten.

    Bemærk!

    Det tager ca. fem minutter, før hændelserne vises på Microsoft Defender-portalen.

Behandl computeren, som om den var en almindelig Linux-vært i dit miljø at udføre test mod. Vi vil især gerne have din feedback på muligheden for at vise potentielt skadelig adfærd ved hjælp af den nye plug-in.

Avanceret jagt

I skemaet Avanceret jagt under tabellen DeviceInfo er der en ny attribut HostDeviceId kaldet , som du kan bruge til at knytte en WSL-forekomst til dens Windows-værtsenhed. Her er et par eksempler på jagtforespørgsler:

Hent alle WSL-enheds-id'er for den aktuelle organisation/lejer

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Hent WSL-enheds-id'er og deres tilsvarende værtsenheds-id'er

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Hent en liste over WSL-enheds-id'er, hvor curl eller wget blev kørt

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Fejlfinding

Kommandoen healthcheck.exe viser outputtet "Start WSL-distro med kommandoen "bash", og prøv igen om fem minutter."

Skærmbillede, der viser PowerShell-output.

  1. Åbn en terminalforekomst, og kør kommandoen wsl.

  2. Vent mindst fem minutter, før du kører tilstandskontrollen igen.

Kommandoen healthcheck.exe viser muligvis outputtet "Venter på telemetri. Prøv igen om fem minutter."

Skærmbillede, der viser status for tilstandstelemetri.

Hvis denne fejl opstår, skal du vente i fem minutter og køre healthcheck.exeigen .

Du kan ikke se nogen enheder på Microsoft Defender-portalen, eller du kan ikke se nogen hændelser på tidslinjen

Kontrollér følgende ting:

  • Hvis du ikke kan se et maskinobjekt, skal du sørge for, at der er gået tilstrækkelig tid til, at onboarding kan fuldføres (typisk op til 10 minutter).

  • Sørg for at bruge de rigtige filtre, og at du har de rette tilladelser tildelt til at få vist alle enhedsobjekter. (Er din konto/gruppe f.eks. begrænset til en bestemt gruppe?)

  • Brug tilstandskontrolværktøjet til at give et overblik over den overordnede plug-in-tilstand. Åbn Terminal, og kør værktøjet healthcheck.exe fra %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

    Skærmbillede, der viser status i PowerShell.

  • Aktivér forbindelsestesten, og kontrollér for Defender for Endpoint-forbindelse i WSL. Hvis forbindelsestesten mislykkes, skal du sende outputtet fra tilstandskontrolværktøjet til vores supportteam.

Forbindelsestesten rapporterer "ugyldig" i tilstandskontrol

  • Hvis computeren har en proxykonfiguration, skal du køre kommandoen healthCheck --extendedProxy. Dette giver oplysninger om, hvilke proxy(er) der er angivet på computeren, og om disse konfigurationer er ugyldige for WSL-defender.

    Udvid proxydokument til tilstandstjekke

  • Hvis de trin, der er nævnt ovenfor, ikke løser problemet, skal du inkludere følgende konfigurationsindstillinger i , der .wslconfig er placeret i din %UserProfile% og genstarte WSL. Du kan finde oplysninger om indstillinger i WSL-indstillinger.

    I Windows 11

    
# Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored

    I Windows 10

    # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

Forbindelsesproblemerne fortsætter

Indsaml netværkslogfilerne ved at følge disse trin:

  1. Åbn en PowerShell-prompt med administratorrettigheder.

  2. Download og kør: .\collect-networking-logs.ps1

    
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
Set-ExecutionPolicy Bypass -Scope Process -Force
.\collect-networking-logs.ps1

  3. Åbn en ny kommandoprompt, og kør følgende kommando: wsl.

  4. Åbn en kommandoprompt med administratorrettigheder, og kør følgende kommando: wsl --debug-shell.

  5. Kør: i fejlfindings shell. mdatp connectivity test

  6. Tillad, at forbindelsestesten fuldføres.

  7. Stop .ps1 kørte i trin #2.

  8. Del den genererede .zip fil sammen med supportbundtet, der kan indsamles som nævnt i trin.

Indsaml et supportbundt

  1. Hvis du støder på andre udfordringer eller problemer, skal du åbne Terminal og køre følgende kommandoer for at generere et supportbundt:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    Supportbundtet findes i den sti, der blev leveret af den forrige kommando.

    Skærmbillede, der viser status i PowerShell-output.

  2. Microsoft Defender Slutpunkt for WSL understøtter Linux-distributioner, der kører på WSL 2. Hvis de er knyttet til WSL 1, kan der opstå problemer. Det anbefales derfor at deaktivere WSL 1. Hvis du vil gøre det med politikken for Intune, skal du udføre følgende trin:

    1. Gå til dit Microsoft Intune Administration.

    2. Gå tilEnhedskonfigurationsprofiler>>Opret>ny politik.

    3. Vælg Windows 10 og nyere>kataloget Indstillinger.

    4. Opret et navn til den nye profil, og søg efter Windows-undersystem til Linux for at se og tilføje den komplette liste over tilgængelige indstillinger.

    5. Angiv indstillingen Tillad WSL1 til Deaktiveret for at sikre, at det kun er WSL 2-distributioner, der kan bruges.

      Hvis du vil fortsætte med at bruge WSL 1 eller ikke bruge politikken for Intune, kan du vælge at tilknytte de installerede distributioner, så de kører på WSL 2, ved at køre kommandoen i PowerShell:

      wsl --set-version <YourDistroName> 2

      Hvis WSL 2 skal være din WSL-standardversion, så nye distributioner kan installeres i systemet, skal du køre følgende kommando i PowerShell:

      wsl --set-default-version 2

  3. Plug-in'en bruger Windows EDR-ringen som standard. Hvis du vil skifte til en tidligere ring, skal du angive OverrideReleaseRing til en af følgende under registreringsdatabasen og genstarte WSL:

    • Navn: OverrideReleaseRing
    • Type: REG_SZ
    • Værdi: Dogfood or External or InsiderFast or Production
    • Sti: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  4. Hvis du får vist en fejl under start af WSL, f.eks. "Der blev returneret en alvorlig fejl af plug-in'en 'DefenderforEndpointPlug-in' Fejlkode: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", betyder det, at Der er fejl i Defender for Endpoint-plug-in'en til WSL-installationen. Følg disse trin for at reparere den:

    1. I Kontrolpanel skal du gå til Programmer>Programmer og funktioner.

    2. Søg efter og vælg Microsoft Defender for Endpoint plug-in til WSL. Vælg derefter Reparer. Denne handling bør løse problemet ved at placere de rigtige filer i de forventede mapper.

      Skærmbillede, der viser MDE plug-in til WSL-reparation i Kontrolpanel.