Microsoft Defender für Endpunkt unter Linux
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
In diesem Artikel wird beschrieben, wie Sie Microsoft Defender für Endpunkt unter Linux installieren, konfigurieren, aktualisieren und verwenden.
Achtung
Die Ausführung anderer Endpoint Protection-Produkte von Drittanbietern zusammen mit Microsoft Defender für Endpunkt unter Linux führt wahrscheinlich zu Leistungsproblemen und unvorhersehbaren Nebenwirkungen. Wenn Endpunktschutz nicht von Microsoft in Ihrer Umgebung erforderlich ist, können Sie die EDR-Funktionalität von Defender für Endpunkt unter Linux trotzdem sicher nutzen, nachdem Sie die Antivirenfunktion für die Ausführung im passiven Modus konfiguriert haben.
Installieren von Microsoft Defender für Endpunkt unter Linux
Microsoft Defender für Endpunkt für Linux umfasst Funktionen für Antischadsoftware und Endpunkterkennung und -reaktion (EDR).
Voraussetzungen
Zugriff auf das Microsoft Defender-Portal
Linux-Verteilung mit systemd systemd system manager
Hinweis
Linux-Distribution mit System-Manager, mit Ausnahme von RHEL/CentOS 6.x unterstützt sowohl SystemV als auch Upstart.
Erfahrung mit Linux- und BASH-Skripts für Anfänger
Administratorrechte auf dem Gerät (bei manueller Bereitstellung)
Hinweis
Der Microsoft Defender für Endpunkt unter Linux-Agent ist vom OMS-Agent unabhängig. Microsoft Defender für Endpunkt basiert auf einer eigenen unabhängigen Telemetriepipeline.
Installationsanweisungen
Es gibt mehrere Methoden und Bereitstellungstools, mit denen Sie Microsoft Defender für Endpunkt unter Linux installieren und konfigurieren können.
Im Allgemeinen müssen Sie die folgenden Schritte ausführen:
- Stellen Sie sicher, dass Sie über ein Microsoft Defender für Endpunkt-Abonnement verfügen.
- Stellen Sie Microsoft Defender für Endpunkt unter Linux mithilfe einer der folgenden Bereitstellungsmethoden bereit:
- Das Befehlszeilentool:
- Verwaltungstools von Drittanbietern:
Hinweis
Es wird nicht unterstützt, Microsoft Defender für Endpunkt an einem anderen Speicherort als dem Standardinstallationspfad zu installieren.
Microsoft Defender für Endpunkt für Linux erstellt einen "mdatp"-Benutzer mit zufälliger UID und GID. Wenn Sie die UID und gid steuern möchten, erstellen Sie vor der Installation mithilfe der Shelloption "/usr/sbin/nologin" einen "mdatp"-Benutzer.
Beispiel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
.
Systemanforderungen
Unterstützte Linux-Serververteilungen und x64-Versionen (AMD64/EM64T) und x86_64:
Red Hat Enterprise Linux 6.7 oder höher (In der Vorschau)
Red Hat Enterprise Linux 7.2 oder höher
Red Hat Enterprise Linux 8.x
Red Hat Enterprise Linux 9.x
CentOS 6.7 oder höher (in der Vorschau)
CentOS 7.2 oder höher
Ubuntu 16.04 LTS
Ubuntu 18.04 LTS
Ubuntu 20.04 LTS
Ubuntu 22.04 LTS
Debian 9 - 12
SUSE Linux Enterprise Server 12 oder höher
SUSE Linux Enterprise Server 15 oder höher
Oracle Linux 7.2 oder höher
Oracle Linux 8.x
Oracle Linux 9.x
Amazon Linux 2
Amazon Linux 2023
Fedora 33 oder höher
Rocky 8.7 und höher
Alma 8.4 und höher
Mariner 2
Hinweis
Distributionen und Versionen, die nicht explizit aufgeführt sind, werden nicht unterstützt (auch wenn sie von den offiziell unterstützten Distributionen abgeleitet sind). Die RHEL 6-Unterstützung für das "verlängerte Lebenszyklusende" endet am 30. Juni 2024; MDE Linux-Unterstützung für RHEL 6 wird ebenfalls am 30. Juni 2024 eingestellt. MDE Linux-Version 101.23082.0011 ist die letzte MDE Linux-Version, die RHEL 6.7 oder höhere Versionen unterstützt (läuft nicht vor dem 30. Juni 2024 ab). Kunden wird empfohlen, Upgrades für ihre RHEL 6-Infrastruktur entsprechend den Richtlinien von Red Hat zu planen.
Microsoft Defender Vulnerablity Management wird auf Alma derzeit nicht unterstützt.
Liste der unterstützten Kernelversionen
Hinweis
Microsoft Defender für Endpunkt unter Red Hat Enterprise Linux und CentOS – 6.7 bis 6.10 ist eine Kernel-basierte Lösung. Sie müssen überprüfen, ob die Kernelversion unterstützt wird, bevor Sie auf eine neuere Kernelversion aktualisieren. Microsoft Defender für Endpunkt für alle anderen unterstützten Distributionen und Versionen ist kernelversionunabhängig. Die Kernelversion muss mindestens 3.10.0-327 aufweisen.
- Die
fanotify
Kerneloption muss aktiviert sein. - Red Hat Enterprise Linux 6 und CentOS 6:
- Für 6.7: 2.6.32-573.* (außer 2.6.32-573.el6.x86_64)
- Für 6.8: 2.6.32-642.*
- Für 6.9: 2.6.32-696.* (außer 2.6.32-696.el6.x86_64)
- Für 6.10:
- 2.6.32-754.10.1.el6.x86_64
- 2.6.32-754.11.1.el6.x86_64
- 2.6.32-754.12.1.el6.x86_64
- 2.6.32-754.14.2.el6.x86_64
- 2.6.32-754.15.3.el6.x86_64
- 2.6.32-754.17.1.el6.x86_64
- 2.6.32-754.18.2.el6.x86_64
- 2.6.32-754.2.1.el6.x86_64
- 2.6.32-754.22.1.el6.x86_64
- 2.6.32-754.23.1.el6.x86_64
- 2.6.32-754.24.2.el6.x86_64
- 2.6.32-754.24.3.el6.x86_64
- 2.6.32-754.25.1.el6.x86_64
- 2.6.32-754.27.1.el6.x86_64
- 2.6.32-754.28.1.el6.x86_64
- 2.6.32-754.29.1.el6.x86_64
- 2.6.32-754.29.2.el6.x86_64
- 2.6.32-754.3.5.el6.x86_64
- 2.6.32-754.30.2.el6.x86_64
- 2.6.32-754.33.1.el6.x86_64
- 2.6.32-754.35.1.el6.x86_64
- 2.6.32-754.39.1.el6.x86_64
- 2.6.32-754.41.2.el6.x86_64
- 2.6.32-754.43.1.el6.x86_64
- 2.6.32-754.47.1.el6.x86_64
- 2.6.32-754.48.1.el6.x86_64
- 2.6.32-754.49.1.el6.x86_64
- 2.6.32-754.6.3.el6.x86_64
- 2.6.32-754.9.1.el6.x86_64
Hinweis
Nachdem eine neue Paketversion veröffentlicht wurde, wird die Unterstützung für die beiden vorherigen Versionen auf den technischen Support reduziert. Versionen, die älter als die in diesem Abschnitt aufgeführt sind, werden nur für technische Upgrades bereitgestellt.
Achtung
Die parallele Ausführung von Defender für Endpunkt unter Linux mit anderen
fanotify
sicherheitsbasierten Lösungen wird nicht unterstützt. Dies kann zu unvorhersehbaren Ergebnissen führen, einschließlich des Hängens des Betriebssystems. Wenn es andere Anwendungen auf dem System gibt, die im Blockierungsmodus verwendenfanotify
, werden Anwendungen imconflicting_applications
Feld dermdatp health
Befehlsausgabe aufgeführt. Das Linux FAPolicyD-Feature verwendetfanotify
im Blockierungsmodus und wird daher nicht unterstützt, wenn Defender für Endpunkt im aktiven Modus ausgeführt wird. Sie können die EDR-Funktionalität von Defender für Endpunkt unter Linux weiterhin sicher nutzen, nachdem Sie die Antivirenfunktion Echtzeitschutz aktiviert im passiven Modus konfiguriert haben.- Die
Speicherplatz: 2 GB
Hinweis
Wenn die Clouddiagnose für Absturzsammlungen aktiviert ist, sind möglicherweise zusätzliche 2 GB Speicherplatz erforderlich.
/opt/microsoft/mdatp/sbin/wdavdaemon erfordert die Berechtigung für ausführbare Dateien. Weitere Informationen finden Sie unter "Sicherstellen, dass der Daemon über die Berechtigung für ausführbare Dateien verfügt" unter Behandeln von Installationsproblemen für Microsoft Defender für Endpunkt unter Linux.
Kerne: 2 Minimum, 4 bevorzugt
Arbeitsspeicher: mindestens 1 GB, 4 bevorzugt
Hinweis
Stellen Sie sicher, dass Sie in /var über freien Speicherplatz verfügen.
Liste der unterstützten Dateisysteme für RTP, Quick, Full und Custom Scan.
RTP, Quick, Full Scan Benutzerdefinierte Überprüfung Btrfs Alle Dateisysteme, die für RTP, Quick, Full Scan unterstützt werden Ecryptfs Efs ext2 S3fs ext3 Blobfuse ext4 Lustr Sicherung glustrefs fuseblk Afs Jfs Sshfs nfs (nur v3) Cifs Overlay Smb ramfs gcsfuse Reiserfs Sysfs Tmpfs Udf Vfat Xfs
Nachdem Sie den Dienst aktiviert haben, müssen Sie Ihr Netzwerk oder Ihre Firewall so konfigurieren, dass ausgehende Verbindungen zwischen dem Dienst und Ihren Endpunkten zugelassen werden.
Das Überwachungsframework (
auditd
) muss aktiviert sein.Hinweis
Systemereignisse, die von regeln erfasst werden, die hinzugefügt werden,
/etc/audit/rules.d/
werden zuaudit.log
(s) hinzugefügt und können sich auf die Hostüberwachung und die Upstreamsammlung auswirken. Ereignisse, die von Microsoft Defender für Endpunkt unter Linux hinzugefügt werden, werden mitmdatp
dem Schlüssel gekennzeichnet.
Abhängigkeit externer Pakete
Die folgenden externen Paketabhängigkeiten sind für das mdatp-Paket vorhanden:
- Das mdatp-RPM-Paket erfordert "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- Für RHEL6 erfordert das mdatp-RPM-Paket "audit", "policycoreutils", "libselinux", "mde-netfilter".
- Für DEBIAN erfordert das mdatp-Paket "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
Das mde-netfilter-Paket verfügt außerdem über die folgenden Paketabhängigkeiten:
- Für DEBIAN erfordert das mde-netfilter-Paket "libnetfilter-queue1", "libglib2.0-0".
- Für RPM erfordert das mde-netfilter-Paket "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
Wenn die Installation von Microsoft Defender für Endpunkt aufgrund fehlender Abhängigkeiten fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen.
Konfigurieren von Ausschlüssen
Beim Hinzufügen von Ausschlüssen zu Microsoft Defender Antivirus sollten Sie auf häufige Ausschlussfehler für Microsoft Defender Antivirus achten.
Netzwerkverbindungen
Stellen Sie sicher, dass eine Verbindung zwischen Ihren Geräten und microsoft Defender für Endpunkt-Clouddiensten möglich ist. Um Ihre Umgebung vorzubereiten, lesen Sie SCHRITT 1: Konfigurieren Ihrer Netzwerkumgebung, um die Konnektivität mit dem Defender für Endpunkt-Dienst sicherzustellen.
Defender für Endpunkt unter Linux kann mithilfe der folgenden Ermittlungsmethoden eine Verbindung über einen Proxyserver herstellen:
- Transparenter Proxy
- Manuelle statische Proxykonfiguration
Wenn ein Proxy oder eine Firewall anonymen Datenverkehr blockiert, stellen Sie sicher, dass anonymer Datenverkehr in den zuvor aufgeführten URLs zulässig ist. Für transparente Proxys ist keine zusätzliche Konfiguration für Defender für Endpunkt erforderlich. Führen Sie für statische Proxys die Schritte unter Manuelle statische Proxykonfiguration aus.
Warnung
PAC, WPAD und authentifizierte Proxys werden nicht unterstützt. Stellen Sie sicher, dass nur ein statischer oder transparenter Proxy verwendet wird.
Die SSL-Überprüfung und das Abfangen von Proxys werden aus Sicherheitsgründen ebenfalls nicht unterstützt. Konfigurieren Sie eine Ausnahme für die SSL-Überprüfung und Ihren Proxyserver, um Daten von Defender für Endpunkt für Linux direkt an die relevanten URLs ohne Abfangen zu übergeben. Das Hinzufügen Ihres Abfangzertifikats zum globalen Speicher ermöglicht kein Abfangen.
Schritte zur Problembehandlung finden Sie unter Behandeln von Problemen mit der Cloudkonnektivität für Microsoft Defender für Endpunkt unter Linux.
Aktualisieren von Microsoft Defender für Endpunkt unter Linux
Microsoft veröffentlicht regelmäßig Softwareupdates zur Verbesserung von Leistung und Sicherheit oder zur Bereitstellung neuer Features. Informationen zum Aktualisieren von Microsoft Defender für Endpunkt unter Linux finden Sie unter Bereitstellen von Updates für Microsoft Defender für Endpunkt unter Linux.
So konfigurieren Sie Microsoft Defender für Endpunkt unter Linux
Anleitungen zum Konfigurieren des Produkts in Unternehmensumgebungen finden Sie unter Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux.
Allgemeine Anwendungen für Microsoft Defender für Endpunkt können auswirkungen
Hohe E/A-Workloads von bestimmten Anwendungen können leistungsprobleme auftreten, wenn Microsoft Defender für Endpunkt installiert ist. Dazu gehören Anwendungen für Entwicklerszenarien wie Jenkins und Jira sowie Datenbankworkloads wie OracleDB und Postgres. Wenn eine Leistungsbeeinträchtigung auftritt, sollten Sie Ausschlüsse für vertrauenswürdige Anwendungen festlegen und dabei häufige Ausschlussfehler für Microsoft Defender Antivirus berücksichtigen. Weitere Anleitungen finden Sie in der Dokumentation zu Antivirenausschlüssen aus Anwendungen von Drittanbietern.
Ressourcen
- Weitere Informationen zum Protokollieren, Deinstallieren oder anderen Artikeln finden Sie unter Ressourcen.
Verwandte Artikel
- Schützen Sie Ihre Endpunkte mit der integrierten EDR-Lösung von Defender für Cloud: Microsoft Defender für Endpunkt
- Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender für Cloud
- Aktivieren des Netzwerkschutzes für Linux
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für