Microsoft Defender for Endpoint laajennus Windows-alijärjestelmä Linuxille (WSL) varten
Yleiskatsaus
Windows-alijärjestelmä Linuxille (WSL) 2, joka korvaa WSL:n aiemman version (jota Microsoft Defender for Endpoint tukee ilman laajennusta), tarjoaa Linux-ympäristön, joka on integroitu saumattomasti Windowsiin, mutta eristetään virtualisointitekniikalla. Windows-alijärjestelmä Linuxille 2 (WSL) -laajennuksen Microsoft Defender for Endpoint mahdollistaa sen, että Defender for Endpoint tarjoaa enemmän näkyvyyttä kaikille käynnissä oleville WSL-säilöille liittämällä sen eristettyun alijärjestelmään.
Tunnetut ongelmat ja rajoitukset
Huomioi seuraavat asiat ennen aloittamista:
Laajennus ei tue automaattisia päivityksiä -versiota aiemmissa
0.24.426.1
versioissa. Versiossa0.24.426.1
ja uudemmissa versioissa päivityksiä tuetaan Windows Update kautta kaikissa renkaissa. Päivitykset Windows Server Update -palveluiden (WSUS), System Center Configuration Manager (SCCM) ja Microsoft Update -luettelon kautta tuetaan vain tuotantoringissä paketin vakauden varmistamiseksi.Koska laajennuksen täydellinen alustaminen kestää muutaman minuutin ja WSL2-esiintymän käyttöönotossa jopa 30 minuuttia, lyhytikäiset WSL-säilöesiintymät saattavat johtaa siihen, että WSL2-esiintymää ei näy Microsoft Defender-portaalissa (https://security.microsoft.com). Kun (mikä tahansa) jakauma on ollut käynnissä tarpeeksi kauan (vähintään 30 minuuttia), se näkyy.
Tässä versiossa tuetaan mukautetun ytimen ja mukautetun ytimen komentorivin suorittamista. Laajennus ei kuitenkaan anna mitään takeita näkyvyydestä WSL:ssä mukautetun ytimen ja mukautetun ytimen komentorivin suorittamisen aikana.
Ohjelmiston edellytykset
WSL-versiossa 2.0.7 tai uudemmassa on oltava käytössä vähintään yksi aktiivinen distro.
Varmista
wsl --update
, että käytössäsi on uusin versio. Joswsl -–version
näyttää version, joka on vanhempi kuin 2.0.7, suoritawsl -–update –pre-release
saadaksesi uusimman päivityksen.Defender for Endpoint on oltava käytössä Windows-isäntäjärjestelmässä.
Isäntäjärjestelmässä on oltava käytössä Windows 10 Client, versio 2004 ja uudemmat versiot (koontiversio 19044 tai uudempi versio) tai Windows 11 Client, jotta se voi tukea laajennusta tukevia Windows-alijärjestelmä Linuxille versioita.
Ohjelmiston osat ja asennusohjelman tiedostonimet
Asennusohjelma: DefenderPlugin-x64-0.24.426.1.msi
. Voit ladata sen Microsoft Defender portaalin perehdytyssivulta.
Asennushakemistot:
%ProgramFiles%
%ProgramData%
Asennetut osat:
DefenderforEndpointPlug-in.dll
. Tämä DLL on kirjasto, jonka avulla Defender for Endpoint voidaan ladata toimimaan WSL:n sisällä. Löydät sen osoitteesta %ProgramFiles%\Microsoft Defender for Endpoint laajennus WSL\plug-in-laajennukselle.healthcheck.exe
. Tämä ohjelma tarkistaa Defender for Endpointin kuntotilan ja mahdollistaa WSL:n, laajennuksen ja Defender for Endpointin asennettujen versioiden näkemisen. Löydät sen kohdasta %ProgramFiles%\Microsoft Defender for Endpoint laajennus WSL\tools-kohteelle.
Asennusvaiheet
Jos Windows-alijärjestelmä Linuxille ei ole vielä asennettu, toimi seuraavasti:
Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)
Suorita komento
wsl -–install
.1. Varmista, että WSL on asennettu ja käynnissä
Suorita käyttämällä Pääte- tai Komentokehote-toimintoa
wsl –-update
ja varmista, että käytössäsi on uusin versio.Suorita komento varmistaaksesi,
wsl
että WSL on käynnissä ennen testausta.
2. Asenna laajennus
Kun WSL on käynnissä ja täysin ajan tasalla, asenna laajennus seuraavasti:
Asenna MSI-tiedosto, joka on ladattu Microsoft Defender portaalin perehdytysosiosta (Asetukset>Käyttöönottopäätepisteet>>Windows-alijärjestelmä Linuxille 2 (laajennus)).
Avaa komentokehote/pääte ja suorita
wsl
.
Huomautus
Jos WslService
se on käynnissä, se pysähtyy asennusprosessin aikana. Sinun ei tarvitse ottaa alijärjestelmää erikseen käyttöön; sen sijaan laajennus lisätään automaattisesti vuokraajaan, jonka Windows-isäntä on otettu käyttöön.
Asennuksen kelpoisuustarkistuksen tarkistusluettelo
Odota päivityksen tai asennuksen jälkeen vähintään viisi minuuttia, että laajennus alustaa ja kirjoittaa lokin tulosteen kokonaan.
Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)
Suorita komento:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Suorita komento
.\healthcheck.exe
.Tarkista Defenderin ja WSL:n tiedot ja varmista, että ne vastaavat tai ylittävät seuraavat vaatimukset:
- Laajennuksen versio:
0.24.426.1
- WSL-versio:
2.0.7.0
tai uudempi - Defender-sovelluksen versio:
701.00000.1509
- Defenderin kuntotila:
Healthy
- Laajennuksen versio:
Defenderin välityspalvelimen määrittäminen WSL:ssä
Tässä osiossa kuvataan, miten määritetään defender for Endpoint -laajennuksen välityspalvelinyhteydet. Jos yrityksesi käyttää välityspalvelinta yhteyden tarjoamiseen Defender for EndPointiin, joka on käynnissä Windows-isännässä, jatka lukemista määrittääksesi, onko se määritettävä laajennusta varten.
Jos haluat käyttää isäntä-Windowsin EDR-telemetriavälityspalvelimen määrityksiä MDE WSL-laajennukselle, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.
Jos haluat käyttää host winhttp -välityspalvelinmääritystä WSL-laajennuksen MDE, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.
Jos haluat käyttää WSL-laajennuksen MDE isäntäverkon ja verkon välityspalvelimen asetusta, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.
Laajennuksen välityspalvelimen valinta
Jos isäntäkoneessasi on useita välityspalvelinasetuksia, laajennus valitsee välityspalvelinmääritykset, joilla on seuraava hierarkia:
Defender for Endpointin staattinen välityspalvelinasetus (
TelemetryProxyServer
).Winhttp
välityspalvelin (määritetty komennollanetsh
).Verkon & Internet-välityspalvelimen asetukset.
Esimerkki: Jos isäntäkoneessasi on sekä Winhttp-välityspalvelin että Verkko-& Internet-välityspalvelin, laajennus valitsee välityspalvelimen Winhttp proxy
määritykseksi.
Huomautus
Rekisteriavainta DefenderProxyServer
ei enää tueta. Määritä välityspalvelin laajennuksessa noudattamalla edellä mainittuja vaiheita.
Defenderin WSL-yhteystesti
Seuraavassa kuvataan, miten vahvistetaan, että Defenderin WSL-päätepisteessä on Internet-yhteys.
Avaa Rekisteri-Kirjoitusavustaja järjestelmänvalvojana.
Create rekisteriavaimeen seuraavat tiedot:
- Nimi:
ConnectivityTest
- Tyyppi:
REG_DWORD
- Arvo:
Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
- Polku:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
- Nimi:
Kun rekisteri on määritetty, käynnistä wsl uudelleen seuraavien vaiheiden mukaisesti:
Avaa komentokehote ja suorita komento.
wsl --shutdown
Suorita komento
wsl
.
Odota 5 minuuttia ja suorita
healthcheck.exe
(sijainti kohdassa%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
yhteystestin tuloksia varten).Jos se onnistuu, yhteystesti onnistui.
Huomautus
Jos haluat määrittää välityspalvelimen käytettäväksi WSL-säilöissä (alijärjestelmässä suoritettavat jakelut), katso Lisäasetusten määritys WSL:ssä.
Tarkistetaan toimintoja ja SOC-analyytikkokokemusta
Laajennuksen asentamisen jälkeen alijärjestelmä ja kaikki sen käynnissä olevat säilöt lisätään Microsoft Defender portaaliin.
Kirjaudu Microsoft Defender portaaliin ja avaa Laitteet-näkymä.
Suodata tunnisteen WSL2 avulla.
Näet kaikki ympäristösi WSL-esiintymät aktiivisen Defender for Endpoint -laajennuksen avulla WSL:lle. Nämä esiintymät edustavat kaikkia WSL:n sisällä suoritettavaa jakelua tietyssä isännässä. Laitteen isäntänimi vastaa Windows-isännän isäntänimeä. Se esitetään kuitenkin Linux-laitteena.
Avaa laitteen sivu. Yleiskatsaus-ruudussa on linkki siihen, missä laitetta isännöidä. Linkin avulla voit ymmärtää, että laite on windows-isännässä. Voit sitten pivotoida isännän tarkempaa tutkimusta ja/tai vastausta varten.
Aikajana on täytetty samalla tavalla kuin Defender for Endpoint Linuxissa, ja siihen liittyy tapahtumia alijärjestelmän sisältä (tiedosto, prosessi, verkko). Voit tarkkailla toimintaa ja tunnistuksia aikajananäkymässä. Myös hälytykset ja tapaukset luodaan.
Laajennuksen testaaminen
Testaa laajennus asennuksen jälkeen seuraavasti:
Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)
Suorita komento
wsl
.Lataa ja pura komentosarjatiedosto kohteesta https://aka.ms/LinuxDIY.
Suorita Linux-kehotteessa komento
./mde_linux_edr_diy.sh
.Ilmoituksen pitäisi näkyä portaalissa muutaman minuutin kuluttua WSL2-esiintymän havaitsemista varten.
Huomautus
Kestää noin 5 minuuttia, ennen kuin tapahtumat näkyvät Microsoft Defender portaalissa.
Käsittele konetta aivan kuin se olisi tavallinen Linux-isäntä ympäristössäsi, jota vastaan testaus suoritetaan. Haluamme erityisesti saada palautetta mahdollisuudesta näyttää mahdollisesti haitallista toimintaa uuden laajennuksen avulla.
Tarkennettu etsintä
Kehittyneen metsästyksen rakenteessa taulukon alla DeviceInfo
on uusi määrite nimeltä HostDeviceId
, jonka avulla voit yhdistää WSL-esiintymän sen Windows-isäntälaitteeseen. Seuraavassa on muutamia metsästyskyselyitä:
Hae kaikki WSL-laitetunnukset nykyiselle organisaatiolle tai vuokraajalle
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
Hae WSL-laitetunnukset ja niitä vastaavat isäntälaitteen tunnukset
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
Hanki luettelo WSL-laitetunnuksista, joissa suoritettiin curl- tai wget-näpäytyskohtaa
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Vianmääritys
Komento
healthcheck.exe
näyttää tuloksen "Käynnistä WSL-distro "bash"-komennolla ja yritä uudelleen 5 minuutin kuluttua."Jos edellä mainittu virhe ilmenee, toimi seuraavasti:
Avaa pääteesiintymä ja suorita komento
wsl
.Odota vähintään 5 minuuttia, ennen kuin suoritat kuntotietojen tarkistuksen uudelleen.
Komento
healthcheck.exe
saattaa näyttää tuloksen "Odottaa telemetriaa. Yritä uudelleen 5 minuutin kuluttua."Jos tämä virhe ilmenee, odota 5 minuuttia ja suorita
healthcheck.exe
uudelleen .Jos et näe mitään laitteita Microsoft Defender portaalissa tai et näe aikajanalla tapahtumia, tarkista seuraavat asiat:
Jos et näe koneobjektia, varmista, että perehdyttämiseen on kulunut riittävästi aikaa (yleensä enintään 10 minuuttia).
Varmista, että käytät oikeita suodattimia ja että sinulla on oikeudet tarkastella kaikkia laiteobjekteja. (Onko tilisi tai ryhmäsi esimerkiksi rajoitettu tiettyyn ryhmään?)
Kunnontarkistustyökalun avulla voit antaa yleiskatsauksen laajennuksen yleisestä kunnosta. Avaa Pääte ja suorita
healthcheck.exe
työkalu kohteesta%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.Ota yhteystesti käyttöön ja tarkista Defender for Endpoint -yhteys WSL:ssä. Jos yhteystesti epäonnistuu, anna kunnontarkistustyökalun tulos kohteeseen mdeforwsl-preview@microsoft.com.
Jos yhteystesti raportoi kuntotarkistuksen "virheelliseksi", sisällytä seuraavat määritysasetukset
.wslconfig
kohteessa ja%UserProfile%
käynnistä WSL uudelleen. Lisätietoja asetuksista on WSL-asetuksissa.- Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
- Windows 10:ssä
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
- Windows 11
Jos kohtaat muita haasteita tai ongelmia, avaa pääte ja luo tukipaketti suorittamalla seuraavat komennot:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
Tukipaketti löytyy edellisen komennon tarjoamasta polusta.
Microsoft Defender WSL:n päätepiste tukee WSL 2:ssa suoritettavia Linux-jakeluja. Jos ne liittyvät WSL 1:een, saatat kohdata ongelmia. Siksi on suositeltavaa poistaa WSL 1 käytöstä. Voit tehdä tämän Intune käytännöllä seuraavasti:
Siirry Microsoft Intune hallintakeskusportaaliin.
Siirry kohtaan Laitteiden>määritysprofiilit>Create>Uusi käytäntö.
Valitse Windows 10 ja uudemmat>asetukset -luettelo.
Create uudelle profiilille nimen ja etsi Windows-alijärjestelmä Linuxille, jotta näet käytettävissä olevien asetusten täydellisen luettelon ja lisäät sen.
Määritä Salli WSL1 -asetukseksi Ei käytössä, jotta voidaan käyttää vain WSL 2 -jakaumia.
Vaihtoehtoisesti jos haluat jatkaa WSL 1:n käyttöä tai olla käyttämättä Intune Käytäntöä, voit valikoivasti liittää asennetut jakaumat WSL 2:ssa suoritettavaksi suorittamalla komennon PowerShellissä:
wsl --set-version <YourDistroName> 2
Jos haluat WSL 2:n oletusarvoiseksi WSL-versioksi järjestelmään asennettaville uusille jakeluille, suorita seuraava komento PowerShellissä:
wsl --set-default-version 2
Laajennus käyttää oletusarvoisesti Windows EDR -rengasta. Jos haluat vaihtaa aiempaan kehään, aseta
OverrideReleaseRing
jokin seuraavista Rekisteri-kohdassa ja käynnistä wsl uudelleen:- Nimi:
OverrideReleaseRing
- Tyyppi:
REG_SZ
- Arvo:
Dogfood or External or InsiderFast or Production
- Polku:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
- Nimi:
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle