Microsoft Defender for Endpoint laajennus Windows-alijärjestelmä Linuxille (WSL) varten

Yleiskatsaus

Windows-alijärjestelmä Linuxille (WSL) 2, joka korvaa WSL:n aiemman version (jota Microsoft Defender for Endpoint tukee ilman laajennusta), tarjoaa Linux-ympäristön, joka on integroitu saumattomasti Windowsiin, mutta eristetään virtualisointitekniikalla. Windows-alijärjestelmä Linuxille 2 (WSL) -laajennuksen Microsoft Defender for Endpoint mahdollistaa sen, että Defender for Endpoint tarjoaa enemmän näkyvyyttä kaikille käynnissä oleville WSL-säilöille liittämällä sen eristettyun alijärjestelmään.

Tunnetut ongelmat ja rajoitukset

Huomioi seuraavat asiat ennen aloittamista:

1. Laajennus ei tue automaattisia päivityksiä -versiota aiemmissa 0.24.426.1versioissa. Versiossa 0.24.426.1 ja uudemmissa versioissa päivityksiä tuetaan Windows Update kautta kaikissa renkaissa. Päivitykset Windows Server Update -palveluiden (WSUS), System Center Configuration Manager (SCCM) ja Microsoft Update -luettelon kautta tuetaan vain tuotantoringissä paketin vakauden varmistamiseksi.

2. Koska laajennuksen täydellinen alustaminen kestää muutaman minuutin ja WSL2-esiintymän käyttöönotossa jopa 30 minuuttia, lyhytikäiset WSL-säilöesiintymät saattavat johtaa siihen, että WSL2-esiintymää ei näy Microsoft Defender-portaalissa (https://security.microsoft.com). Kun (mikä tahansa) jakauma on ollut käynnissä tarpeeksi kauan (vähintään 30 minuuttia), se näkyy.

3. Tässä versiossa tuetaan mukautetun ytimen ja mukautetun ytimen komentorivin suorittamista. Laajennus ei kuitenkaan anna mitään takeita näkyvyydestä WSL:ssä mukautetun ytimen ja mukautetun ytimen komentorivin suorittamisen aikana.

Ohjelmiston edellytykset

• WSL-versiossa 2.0.7 tai uudemmassa on oltava käytössä vähintään yksi aktiivinen distro.

  Varmista wsl --update , että käytössäsi on uusin versio. Jos wsl -–version näyttää version, joka on vanhempi kuin 2.0.7, suorita wsl -–update –pre-release saadaksesi uusimman päivityksen.

• Defender for Endpoint on oltava käytössä Windows-isäntäjärjestelmässä.

• Isäntäjärjestelmässä on oltava käytössä Windows 10 Client, versio 2004 ja uudemmat versiot (koontiversio 19044 tai uudempi versio) tai Windows 11 Client, jotta se voi tukea laajennusta tukevia Windows-alijärjestelmä Linuxille versioita.

Ohjelmiston osat ja asennusohjelman tiedostonimet

Asennusohjelma: DefenderPlugin-x64-0.24.426.1.msi. Voit ladata sen Microsoft Defender portaalin perehdytyssivulta.

Asennushakemistot:

• %ProgramFiles%

• %ProgramData%

Asennetut osat:

• DefenderforEndpointPlug-in.dll. Tämä DLL on kirjasto, jonka avulla Defender for Endpoint voidaan ladata toimimaan WSL:n sisällä. Löydät sen osoitteesta %ProgramFiles%\Microsoft Defender for Endpoint laajennus WSL\plug-in-laajennukselle.

• healthcheck.exe. Tämä ohjelma tarkistaa Defender for Endpointin kuntotilan ja mahdollistaa WSL:n, laajennuksen ja Defender for Endpointin asennettujen versioiden näkemisen. Löydät sen kohdasta %ProgramFiles%\Microsoft Defender for Endpoint laajennus WSL\tools-kohteelle.

Asennusvaiheet

Jos Windows-alijärjestelmä Linuxille ei ole vielä asennettu, toimi seuraavasti:

1. Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)

2. Suorita komento wsl -–install.

   1. Varmista, että WSL on asennettu ja käynnissä

   1. Suorita käyttämällä Pääte- tai Komentokehote-toimintoa wsl –-update ja varmista, että käytössäsi on uusin versio.

   2. Suorita komento varmistaaksesi, wsl että WSL on käynnissä ennen testausta.

   2. Asenna laajennus

   Kun WSL on käynnissä ja täysin ajan tasalla, asenna laajennus seuraavasti:

   1. Asenna MSI-tiedosto, joka on ladattu Microsoft Defender portaalin perehdytysosiosta (Asetukset>Käyttöönottopäätepisteet>>Windows-alijärjestelmä Linuxille 2 (laajennus)).

   2. Avaa komentokehote/pääte ja suorita wsl.

   Voit ottaa paketin käyttöön käyttämällä Microsoft Intune.

Huomautus

Jos WslService se on käynnissä, se pysähtyy asennusprosessin aikana. Sinun ei tarvitse ottaa alijärjestelmää erikseen käyttöön; sen sijaan laajennus lisätään automaattisesti vuokraajaan, jonka Windows-isäntä on otettu käyttöön.

Asennuksen kelpoisuustarkistuksen tarkistusluettelo

1. Odota päivityksen tai asennuksen jälkeen vähintään viisi minuuttia, että laajennus alustaa ja kirjoittaa lokin tulosteen kokonaan.

2. Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)

3. Suorita komento: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

4. Suorita komento .\healthcheck.exe.

5. Tarkista Defenderin ja WSL:n tiedot ja varmista, että ne vastaavat tai ylittävät seuraavat vaatimukset:

   • Laajennuksen versio: 0.24.426.1
   • WSL-versio: 2.0.7.0 tai uudempi
   • Defender-sovelluksen versio: 701.00000.1509
   • Defenderin kuntotila: Healthy

Defenderin välityspalvelimen määrittäminen WSL:ssä

Tässä osiossa kuvataan, miten määritetään defender for Endpoint -laajennuksen välityspalvelinyhteydet. Jos yrityksesi käyttää välityspalvelinta yhteyden tarjoamiseen Defender for EndPointiin, joka on käynnissä Windows-isännässä, jatka lukemista määrittääksesi, onko se määritettävä laajennusta varten.

Jos haluat käyttää isäntä-Windowsin EDR-telemetriavälityspalvelimen määrityksiä MDE WSL-laajennukselle, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.

Jos haluat käyttää host winhttp -välityspalvelinmääritystä WSL-laajennuksen MDE, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.

Jos haluat käyttää WSL-laajennuksen MDE isäntäverkon ja verkon välityspalvelimen asetusta, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.

Laajennuksen välityspalvelimen valinta

Jos isäntäkoneessasi on useita välityspalvelinasetuksia, laajennus valitsee välityspalvelinmääritykset, joilla on seuraava hierarkia:

1. Defender for Endpointin staattinen välityspalvelinasetus (TelemetryProxyServer).

2. Winhttp välityspalvelin (määritetty komennolla netsh ).

3. Verkon & Internet-välityspalvelimen asetukset.

Esimerkki: Jos isäntäkoneessasi on sekä Winhttp-välityspalvelin että Verkko-& Internet-välityspalvelin, laajennus valitsee välityspalvelimen Winhttp proxy määritykseksi.

Huomautus

Rekisteriavainta DefenderProxyServer ei enää tueta. Määritä välityspalvelin laajennuksessa noudattamalla edellä mainittuja vaiheita.

Defenderin WSL-yhteystesti

Seuraavassa kuvataan, miten vahvistetaan, että Defenderin WSL-päätepisteessä on Internet-yhteys.

1. Avaa Rekisteri-Kirjoitusavustaja järjestelmänvalvojana.

2. Create rekisteriavaimeen seuraavat tiedot:

   • Nimi: ConnectivityTest
   • Tyyppi: REG_DWORD
   • Arvo: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
   • Polku: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

3. Kun rekisteri on määritetty, käynnistä wsl uudelleen seuraavien vaiheiden mukaisesti:

   1. Avaa komentokehote ja suorita komento. wsl --shutdown

   2. Suorita komento wsl.

4. Odota 5 minuuttia ja suorita healthcheck.exe (sijainti kohdassa %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools yhteystestin tuloksia varten).

   Jos se onnistuu, yhteystesti onnistui.

Huomautus

Jos haluat määrittää välityspalvelimen käytettäväksi WSL-säilöissä (alijärjestelmässä suoritettavat jakelut), katso Lisäasetusten määritys WSL:ssä.

Tarkistetaan toimintoja ja SOC-analyytikkokokemusta

Laajennuksen asentamisen jälkeen alijärjestelmä ja kaikki sen käynnissä olevat säilöt lisätään Microsoft Defender portaaliin.

1. Kirjaudu Microsoft Defender portaaliin ja avaa Laitteet-näkymä.

2. Suodata tunnisteen WSL2 avulla.

Näet kaikki ympäristösi WSL-esiintymät aktiivisen Defender for Endpoint -laajennuksen avulla WSL:lle. Nämä esiintymät edustavat kaikkia WSL:n sisällä suoritettavaa jakelua tietyssä isännässä. Laitteen isäntänimi vastaa Windows-isännän isäntänimeä. Se esitetään kuitenkin Linux-laitteena.

3. Avaa laitteen sivu. Yleiskatsaus-ruudussa on linkki siihen, missä laitetta isännöidä. Linkin avulla voit ymmärtää, että laite on windows-isännässä. Voit sitten pivotoida isännän tarkempaa tutkimusta ja/tai vastausta varten.

   

Aikajana on täytetty samalla tavalla kuin Defender for Endpoint Linuxissa, ja siihen liittyy tapahtumia alijärjestelmän sisältä (tiedosto, prosessi, verkko). Voit tarkkailla toimintaa ja tunnistuksia aikajananäkymässä. Myös hälytykset ja tapaukset luodaan.

Laajennuksen testaaminen

Testaa laajennus asennuksen jälkeen seuraavasti:

1. Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)

2. Suorita komento wsl.

3. Lataa ja pura komentosarjatiedosto kohteesta https://aka.ms/LinuxDIY.

4. Suorita Linux-kehotteessa komento ./mde_linux_edr_diy.sh.

   Ilmoituksen pitäisi näkyä portaalissa muutaman minuutin kuluttua WSL2-esiintymän havaitsemista varten.

   Huomautus

   Kestää noin 5 minuuttia, ennen kuin tapahtumat näkyvät Microsoft Defender portaalissa.

Käsittele konetta aivan kuin se olisi tavallinen Linux-isäntä ympäristössäsi, jota vastaan testaus suoritetaan. Haluamme erityisesti saada palautetta mahdollisuudesta näyttää mahdollisesti haitallista toimintaa uuden laajennuksen avulla.

Tarkennettu etsintä

Kehittyneen metsästyksen rakenteessa taulukon alla DeviceInfo on uusi määrite nimeltä HostDeviceId , jonka avulla voit yhdistää WSL-esiintymän sen Windows-isäntälaitteeseen. Seuraavassa on muutamia metsästyskyselyitä:

Hae kaikki WSL-laitetunnukset nykyiselle organisaatiolle tai vuokraajalle

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Hae WSL-laitetunnukset ja niitä vastaavat isäntälaitteen tunnukset

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Hanki luettelo WSL-laitetunnuksista, joissa suoritettiin curl- tai wget-näpäytyskohtaa

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Vianmääritys

1. Komento healthcheck.exe näyttää tuloksen "Käynnistä WSL-distro "bash"-komennolla ja yritä uudelleen 5 minuutin kuluttua."

   

2. Jos edellä mainittu virhe ilmenee, toimi seuraavasti:

   1. Avaa pääteesiintymä ja suorita komento wsl.

   2. Odota vähintään 5 minuuttia, ennen kuin suoritat kuntotietojen tarkistuksen uudelleen.

3. Komento healthcheck.exe saattaa näyttää tuloksen "Odottaa telemetriaa. Yritä uudelleen 5 minuutin kuluttua."

   

   Jos tämä virhe ilmenee, odota 5 minuuttia ja suorita healthcheck.exeuudelleen .

4. Jos et näe mitään laitteita Microsoft Defender portaalissa tai et näe aikajanalla tapahtumia, tarkista seuraavat asiat:

   • Jos et näe koneobjektia, varmista, että perehdyttämiseen on kulunut riittävästi aikaa (yleensä enintään 10 minuuttia).

   • Varmista, että käytät oikeita suodattimia ja että sinulla on oikeudet tarkastella kaikkia laiteobjekteja. (Onko tilisi tai ryhmäsi esimerkiksi rajoitettu tiettyyn ryhmään?)

   • Kunnontarkistustyökalun avulla voit antaa yleiskatsauksen laajennuksen yleisestä kunnosta. Avaa Pääte ja suorita healthcheck.exe työkalu kohteesta %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

     

   • Ota yhteystesti käyttöön ja tarkista Defender for Endpoint -yhteys WSL:ssä. Jos yhteystesti epäonnistuu, anna kunnontarkistustyökalun tulos kohteeseen mdeforwsl-preview@microsoft.com.

   • Jos yhteystesti raportoi kuntotarkistuksen "virheelliseksi", sisällytä seuraavat määritysasetukset .wslconfig kohteessa ja %UserProfile% käynnistä WSL uudelleen. Lisätietoja asetuksista on WSL-asetuksissa.

     • Windows 11

       # Settings apply across all Linux distros running on WSL 2
       [wsl2]
       
       dnsTunneling=true
       
       networkingMode=mirrored  
       

     • Windows 10:ssä

       # Settings apply across all Linux distros running on WSL 2
       [wsl2]
       
       dnsProxy=false
       

5. Jos kohtaat muita haasteita tai ongelmia, avaa pääte ja luo tukipaketti suorittamalla seuraavat komennot:

   cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
   

   .\healthcheck.exe --supportBundle 
   

   Tukipaketti löytyy edellisen komennon tarjoamasta polusta.

   

6. Microsoft Defender WSL:n päätepiste tukee WSL 2:ssa suoritettavia Linux-jakeluja. Jos ne liittyvät WSL 1:een, saatat kohdata ongelmia. Siksi on suositeltavaa poistaa WSL 1 käytöstä. Voit tehdä tämän Intune käytännöllä seuraavasti:

   1. Siirry Microsoft Intune hallintakeskusportaaliin.

   2. Siirry kohtaan Laitteiden>määritysprofiilit>Create>Uusi käytäntö.

   3. Valitse Windows 10 ja uudemmat>asetukset -luettelo.

   4. Create uudelle profiilille nimen ja etsi Windows-alijärjestelmä Linuxille, jotta näet käytettävissä olevien asetusten täydellisen luettelon ja lisäät sen.

   5. Määritä Salli WSL1 -asetukseksi Ei käytössä, jotta voidaan käyttää vain WSL 2 -jakaumia.

   Vaihtoehtoisesti jos haluat jatkaa WSL 1:n käyttöä tai olla käyttämättä Intune Käytäntöä, voit valikoivasti liittää asennetut jakaumat WSL 2:ssa suoritettavaksi suorittamalla komennon PowerShellissä:

   wsl --set-version <YourDistroName> 2
   

   Jos haluat WSL 2:n oletusarvoiseksi WSL-versioksi järjestelmään asennettaville uusille jakeluille, suorita seuraava komento PowerShellissä:

   wsl --set-default-version 2
   

7. Laajennus käyttää oletusarvoisesti Windows EDR -rengasta. Jos haluat vaihtaa aiempaan kehään, aseta OverrideReleaseRing jokin seuraavista Rekisteri-kohdassa ja käynnistä wsl uudelleen:

   • Nimi: OverrideReleaseRing
   • Tyyppi: REG_SZ
   • Arvo: Dogfood or External or InsiderFast or Production
   • Polku: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL