Microsoft Defender for Endpoint plug-in til Windows-undersystem til Linux (WSL)
Gælder for:
- Microsoft Defender for Endpoint Plan 2
- Windows 11
- Windows 10, version 2004 og nyere (build 19044 og nyere)
Windows-undersystem til Linux (WSL) 2, som erstatter den tidligere version af WSL (understøttes af Microsoft Defender for Endpoint uden en plug-in), leverer et Linux-miljø, der er problemfrit integreret med Windows, men som isoleres ved hjælp af virtualiseringsteknologi. Defender for Endpoint for WSL-plug-in gør det muligt for Defender for Endpoint at give mere synlighed i alle kørende WSL-objektbeholdere ved at tilslutte til det isolerede undersystem.
Vær opmærksom på følgende overvejelser, før du starter:
Plug-in'en understøtter ikke automatiske opdateringer af versioner før
1.24.522.2
. På version1.24.522.2
og nyere. Opdateringer understøttes via Windows Update på tværs af alle ringe. Opdateringer via Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) og Microsoft Update-kataloget understøttes kun i produktionsringen for at sikre pakkestabilitet.Det tager et par minutter for plug-in'en at instantiere fuldt ud og op til 30 minutter for en WSL2-forekomst at onboarde sig selv. Kortlivede WSL-objektbeholderforekomster kan medføre, at WSL2-forekomsten ikke vises på Microsoft Defender-portalen (https://security.microsoft.com). Når en distribution har kørt længe nok (mindst 30 minutter), vises den.
Kørsel af en brugerdefineret kerne- og brugerdefineret kernekommandolinje understøttes ikke. Selvom plug-in'en ikke blokerer kørsel i denne konfiguration, garanterer den ikke synlighed i WSL, når du kører en brugerdefineret kerne- og brugerdefineret kernekommandolinje. Vi anbefaler, at sådanne konfigurationer blokeres med Microsoft Intune wsl-indstillinger.
Plug-in'en understøttes ikke på computere med en ARM64-processor.
Plug-in'en giver indblik i hændelser fra WSL, men andre funktioner, f.eks. antimalware, Håndtering af trusler og sikkerhedsrisici og svarkommandoer, er ikke tilgængelige for den logiske WSL-enhed.
WSL-versionen
2.0.7.0
eller nyere skal køre med mindst én aktiv distro. Kørwsl --update
for at sikre, at du har den nyeste version. Hviswsl -–version
viser en version, der er ældre end2.0.7.0
, skal du kørewsl -–update –pre-release
for at hente den nyeste opdatering.Windows-klientenheden skal være føjet til Defender for Endpoint.
Windows-klientenheden skal køre Windows 10, version 2004 og nyere (build 19044 og nyere), eller Windows 11 for at understøtte de WSL-versioner, der kan arbejde med plug-in'en.
Installationsprogram: DefenderPlugin-x64-0.24.426.1.msi
. Du kan downloade den fra onboardingsiden på Microsoft Defender portalen. (Gå til Indstillinger>Slutpunkter>Onboarding.)
Installationsmapper:
%ProgramFiles%
%ProgramData%
Installerede komponenter:
DefenderforEndpointPlug-in.dll
. Denne DLL er det bibliotek, hvor Defender for Endpoint skal indlæses, så det fungerer i WSL. Du kan finde den på%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in
.healthcheck.exe
. Dette program kontrollerer tilstandsstatussen for Defender for Endpoint og giver dig mulighed for at se de installerede versioner af WSL, plug-in og Defender for Endpoint. Du kan finde den på%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.
Hvis din Windows-undersystem til Linux endnu ikke er installeret, skal du følge disse trin:
Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.
Kør kommandoen
wsl -–install
.Bekræft, at WSL er installeret og kører.
Kør
wsl –-update
ved hjælp af Terminal eller Kommandoprompt for at sikre, at du har den nyeste version.Kør kommandoen
wsl
for at sikre, at WSL kører, før du tester.
Installér plug-in'en ved at følge disse trin:
Installér den MSI-fil, der er downloadet fra onboardingafsnittet på Microsoft Defender-portalen (Settings>Endpoints>Onboarding>Windows-undersystem til Linux 2 (plug-in)).
Åbn en kommandoprompt/terminal, og kør
wsl
.
Bemærk
Hvis WslService
kører, stopper den under installationsprocessen. Du behøver ikke at onboarde delsystemet separat. I stedet onboardes plug-in'en automatisk til den lejer, som Windows-værten er onboardet til.
Microsoft Defender for Endpoint opdatering til plug-in til WSL KB-opdatering.
Efter opdatering eller installation skal du vente i mindst fem minutter på, at plug-in'en initialiserer og skriver logoutput helt.
Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.
Kør kommandoen:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Kør kommandoen
.\healthcheck.exe
.Gennemse oplysningerne om Defender og WSL, og sørg for, at de stemmer overens eller overskrider følgende krav:
-
Plug-in-version:
1.24.522.2
-
WSL-version:
2.0.7.0
eller nyere -
Version af Defender-app:
101.24032.0007
-
Tilstandsstatus for Defender:
Healthy
-
Plug-in-version:
I dette afsnit beskrives det, hvordan du konfigurerer proxyforbindelsen for Defender for Endpoint-plug-in'en. Hvis din virksomhed bruger en proxy til at oprette forbindelse til Defender for Endpoint, der kører på Windows-værten, skal du fortsætte med at læse for at afgøre, om du skal konfigurere den til plug-in'en.
Hvis du vil bruge værts-windows EDR-telemetriproxykonfigurationen til MDE til WSL-plug-in'en, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.
Hvis du vil bruge værts-winhttp-proxykonfigurationen til MDE til WSL-plug-in, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.
Hvis du vil bruge værtsnetværks- og netværksproxyindstillingen for MDE til WSL-plug-in'en, kræves der ikke mere. Denne konfiguration bruges automatisk af plug-in'en.
Bemærk
WSL Defender understøtter kun http
proxy.
Hvis værtscomputeren indeholder flere proxyindstillinger, vælger plug-in'en proxykonfigurationerne med følgende hierarki:
Indstilling for statisk proxy for Slutpunkt (
TelemetryProxyServer
).Winhttp
proxy (konfigureret vianetsh
kommando).Netværk & internetproxyindstillinger.
Hvis værtscomputeren f.eks. har både Winhttp proxy
og Network & Internet proxy
, vælger Winhttp proxy
plug-in'en som proxykonfiguration.
Bemærk
Registreringsdatabasenøglen DefenderProxyServer
understøttes ikke længere. Følg de trin, der er beskrevet tidligere i denne artikel, for at konfigurere proxy-in-plug-in'en.
Defender for Endpoint-forbindelsestesten udløses, når der er en proxyændring på enheden og er planlagt til at køre hver time.
Når du starter wsl-computeren, skal du vente i 5 minutter og derefter køre healthcheck.exe
(placeret i %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
for resultaterne af forbindelsestesten). Hvis det lykkes, kan du se, at forbindelsestesten var en succes. Hvis det mislykkes, kan du se, at forbindelsestesten invalid
angiver, at klientforbindelsen fra MDE plug-in for WSL til Defender for Endpoint-tjenestens URL-adresser mislykkes.
Bemærk
Registreringsdatabasenøglen ConnectivityTest
understøttes ikke længere.
Hvis du vil angive en proxy til brug i WSL-objektbeholdere (de distributioner, der kører på undersystemet), skal du se Konfiguration af avancerede indstillinger i WSL.
Efter installation af plug-in'en er undersystemet og alle dets kørende objektbeholdere onboardet på Microsoft Defender portalen.
Log på Microsoft Defender-portalen, og åbn visningen Enheder.
Filtrer ved hjælp af mærket WSL2.
Du kan se alle WSL-forekomster i dit miljø med en aktiv Defender for Endpoint-plug-in til WSL. Disse forekomster repræsenterer alle distributioner, der kører i WSL på en given vært. Værtsnavnet på en enhed svarer til Windows-værtens. Den repræsenteres dog som en Linux-enhed.
Åbn enhedssiden. I ruden Oversigt er der et link til det sted, hvor enheden hostes. Linket giver dig mulighed for at forstå, at enheden kører på en Windows-vært. Du kan derefter pivotere til værten for yderligere undersøgelse og/eller svar.
Tidslinjen udfyldes, ligesom Defender for Endpoint på Linux, med hændelser inde fra undersystemet (fil, proces, netværk). Du kan se aktivitet og registreringer i tidslinjevisningen. Beskeder og hændelser genereres også efter behov.
Plug-in'en onboarder WSL-maskinen med -koden WSL2
. Hvis du eller din organisation har brug for et brugerdefineret mærke, skal du følge de trin, der er beskrevet nedenfor:
Åbn registreringsdatabasen Editor som administrator.
Opret en registreringsdatabasenøgle med følgende oplysninger:
- Navn:
GROUP
- Type:
REG_SZ
eller streng i registreringsdatabasen - Værdi:
Custom tag
- Sti:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging
- Navn:
Når registreringsdatabasen er angivet, skal du genstarte wsl ved hjælp af følgende trin:
Åbn kommandoprompten, og kør kommandoen .
wsl --shutdown
Kør kommandoen
wsl
.
Vent 5-10 minutter på, at portalen afspejler ændringerne.
Bemærk
Det brugerdefinerede mærke, der er angivet i registreringsdatabasen, efterfølges af en _WSL2
.
Hvis værdien i registreringsdatabasen f.eks. er Microsoft
, vil den brugerdefinerede kode være Microsoft_WSL2
, og den samme vil være synlig på portalen.
Følg disse trin for at teste plug-in'en efter installationen:
Åbn Terminal eller Kommandoprompt. (I Windows skal du gå til Start>Kommandoprompt. Du kan også højreklikke på startknappen og derefter vælge Terminal.
Kør kommandoen
wsl
.Hent og udpak scriptfilen fra https://aka.ms/MDE-Linux-EDR-DIY.
Kør kommandoen
./mde_linux_edr_diy.sh
i Linux-prompten.Der vises en besked på portalen efter et par minutter for at få en registrering på WSL2-forekomsten.
Bemærk
Det tager ca. fem minutter, før hændelserne vises på Microsoft Defender-portalen.
Behandl computeren, som om den var en almindelig Linux-vært i dit miljø at udføre test mod. Vi vil især gerne have din feedback på muligheden for at vise potentielt skadelig adfærd ved hjælp af den nye plug-in.
I skemaet Avanceret jagt under tabellen DeviceInfo
er der en ny attribut HostDeviceId
kaldet , som du kan bruge til at knytte en WSL-forekomst til dens Windows-værtsenhed. Her er et par eksempler på jagtforespørgsler:
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Hvis du får vist en fejl under start af WSL, f.eks A fatal error was returned by plugin 'DefenderforEndpointPlug-in' Error code: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND
. , betyder det, at Defender for Endpoint-plug-in'en til WSL-installationen er fejlbehæftet. Følg disse trin for at reparere den:
I Kontrolpanel skal du gå til Programmer>Programmer og funktioner.
Søg efter og vælg Microsoft Defender for Endpoint plug-in til WSL. Vælg derefter Reparer. Denne handling bør løse problemet ved at placere de rigtige filer i de forventede mapper.
Kommandoen healthcheck.exe
viser outputtet "Start WSL-distro med kommandoen "bash", og prøv igen om fem minutter."
Åbn en terminalforekomst, og kør kommandoen
wsl
.Vent mindst fem minutter, før du kører tilstandskontrollen igen.
Kommandoen healthcheck.exe
viser muligvis outputtet "Venter på telemetri. Prøv igen om fem minutter."
Hvis denne fejl opstår, skal du vente i fem minutter og køre healthcheck.exe
igen .
Du kan ikke se nogen enheder på Microsoft Defender-portalen, eller du kan ikke se nogen hændelser på tidslinjen
Kontrollér følgende ting:
Hvis du ikke kan se et maskinobjekt, skal du sørge for, at der er gået tilstrækkelig tid til, at onboarding kan fuldføres (typisk op til 10 minutter).
Sørg for at bruge de rigtige filtre, og at du har de rette tilladelser tildelt til at få vist alle enhedsobjekter. (Er din konto/gruppe f.eks. begrænset til en bestemt gruppe?)
Brug tilstandskontrolværktøjet til at give et overblik over den overordnede plug-in-tilstand. Åbn Terminal, og kør værktøjet
healthcheck.exe
fra%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.Aktivér forbindelsestesten, og kontrollér for Defender for Endpoint-forbindelse i WSL. Hvis forbindelsestesten mislykkes, skal du sende outputtet fra tilstandskontrolværktøjet til vores supportteam.
Hvis computeren har en proxykonfiguration, skal du køre kommandoen
healthCheck --extendedProxy
. Dette giver oplysninger om, hvilke proxy(er) der er angivet på computeren, og om disse konfigurationer er ugyldige for WSL-defender.Hvis de trin, der er nævnt ovenfor, ikke løser problemet, skal du inkludere følgende konfigurationsindstillinger i , der
.wslconfig
er placeret i din%UserProfile%
og genstarte WSL. Du kan finde oplysninger om indstillinger i WSL-indstillinger.I Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
I Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
Indsaml netværkslogfilerne ved at følge disse trin:
Åbn en PowerShell-prompt med administratorrettigheder.
Download og kør:
.\collect-networking-logs.ps1
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1 Set-ExecutionPolicy Bypass -Scope Process -Force .\collect-networking-logs.ps1
Åbn en ny kommandoprompt, og kør følgende kommando:
wsl
.Åbn en kommandoprompt med administratorrettigheder, og kør følgende kommando:
wsl --debug-shell
.Kør: i fejlfindings shell.
mdatp connectivity test
Tillad, at forbindelsestesten fuldføres.
Stop .ps1 kørte i trin #2.
Del den genererede .zip fil sammen med supportbundtet, der kan indsamles som nævnt i trin.
Hvis du støder på andre udfordringer eller problemer, skal du åbne Terminal og køre følgende kommandoer for at generere et supportbundt:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
Supportbundtet findes i den sti, der blev leveret af den forrige kommando.
Microsoft Defender Slutpunkt-plug-in til WSL understøtter Linux-distributioner, der kører på WSL 2. Hvis de er knyttet til WSL 1, kan der opstå problemer. Det anbefales derfor at deaktivere WSL 1. Hvis du vil gøre det med politikken for Intune, skal du udføre følgende trin:
Gå tilEnhedskonfigurationsprofiler>>Opret>ny politik.
Vælg Windows 10 og nyere>kataloget Indstillinger.
Opret et navn til den nye profil, og søg efter Windows-undersystem til Linux for at se og tilføje den komplette liste over tilgængelige indstillinger.
Angiv indstillingen Tillad WSL1 til Deaktiveret for at sikre, at det kun er WSL 2-distributioner, der kan bruges.
Hvis du vil fortsætte med at bruge WSL 1 eller ikke bruge politikken for Intune, kan du vælge at tilknytte de installerede distributioner, så de kører på WSL 2, ved at køre kommandoen i PowerShell:
wsl --set-version <YourDistroName> 2
Hvis WSL 2 skal være din WSL-standardversion, så nye distributioner kan installeres i systemet, skal du køre følgende kommando i PowerShell:
wsl --set-default-version 2
Plug-in'en bruger Windows EDR-ringen som standard. Hvis du vil skifte til en tidligere ring, skal du angive
OverrideReleaseRing
til en af følgende under registreringsdatabasen og genstarte WSL:-
Navn:
OverrideReleaseRing
-
Type:
REG_SZ
-
Værdi:
Dogfood or External or InsiderFast or Production
-
Sti:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
-
Navn: