פתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- Linux

  • חל על: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

ודא שההתקנה הצליחה

שגיאה בהתקנה עשויה לגרום או לא להוביל להודעת שגיאה משמעותית על-ידי מנהל החבילות. כדי לבדוק אם ההתקנה הצליחה, השג ובדוק את יומני ההתקנה באמצעות:

sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

grep 'postinstall end' installation.log

microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

פלט מהפקודה הקודמת עם התאריך והשעה הנכונים של ההתקנה מציין הצלחה.

בנוסף, בדוק את תצורת הלקוח כדי לאמת את תקינות המוצר ולאתר את קובץ הטקסט של EICAR.

ודא שברשותך החבילה הנכונה

ודא שהחבילה שאתה מתקין תואמת להפצה ולגירסה של המחשב המארח.


חבילת הפצה
mdatp-rhel8. Linux.x86_64.rpm Oracle, RHEL ו- CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm Oracle, RHEL ו- CentOS 7.x
mdatp. Linux.x86_64.deb דויאני אובונטו 16.04, 18.04 ו- 20.04

לפריסה ידנית, ודא שהפריסה והגירסה הנכונות נבחרו.

הערה

MDE Linux כבר לא שולחת פתרון עבור RHEL 6.

ההתקנה נכשלה עקב שגיאת תלות

אם ההתקנה Microsoft Defender עבור נקודת קצה נכשלת עקב שגיאות של יחסי תלות חסרים, באפשרותך להוריד באופן ידני את יחסי התלות המהווים דרישה מוקדמת.

יחסי התלות הבאים של החבילה החיצונית קיימים עבור חבילת mdatp:

  • חבילת Mdatp RPM דורשת glibc >= 2.17
  • עבור DEBIAN נדרשת חבילת mdatp libc6 >= 2.23

עבור גירסה שגילה עולה על 101.25032.0000:

  • צרכי חבילת RPM: mde-netfilter, pcre
  • חבילת DEBIAN זקוקה: mde-netfilter, libpcre3
  • mde-netfilter החבילה כוללת גם את יחסי התלות הבאים בחבילה: - עבור DEBIAN, חבילת mde-netfilter libnetfilter-queue1libglib2.0-0 דורשת ו- - עבור RPM, חבילת mde-netfilter libmnlדורשת , libnfnetlink, , libnetfilter_queueglib2101.25042.0003ומתחילה בגירסה , זמן ריצה של uuid אינו נדרש עוד כ תלות חיצונית.

ההתקנה נכשלה

בדוק אם שירות Defender for Endpoint פועל:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

שלבים לפתרון בעיות אם שירות mdatp אינו פועל

  1. בדוק אם המשתמש mdatp קיים:

    id "mdatp"

    אם אין פלט, הפעל את

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp

  2. נסה להפעיל ולהפעיל מחדש את השירות באמצעות:

    sudo service mdatp start

    sudo service mdatp restart

  3. אם mdatp.service לא נמצא בעת הפעלת הפקודה הקודמת, הפעל את:

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>

    where <systemd_path> is /lib/systemd/system for Ubuntu and Debian distributions and /usr/lib/systemd/system' for Rhel, CentOS, Oracle, and SLES. לאחר מכן הפעל מחדש את שלב 2.

  4. אם השלבים שלעיל אינם פועלים, בדוק אם SELinux מותקן ובמצב אכיפה. אם כן, נסה להגדיר אותו למצב מרתון (עדיף) או לא זמין. ניתן לעשות זאת על-ידי הגדרת הפרמטר SELINUX לקובץ disabledpermissive או בקובץ/etc/selinux/config, ולאחר מכן אתחול מחדש. עיין בדף man-page של selinux לקבלת פרטים נוספים.

    כעת נסה להפעיל מחדש את שירות mdatp באמצעות שלב 2. עם זאת, בטל את שינוי התצורה באופן מיידי מסיבות אבטחה לאחר שניסית אותו ובצע אתחול מחדש.

  5. אם /opt directory הוא קישור סמלי, צור טעינת איגוד עבור /opt/microsoft.

  6. ודא של- Daemon יש הרשאת הפעלה.

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon

    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon

    אם ל- Daemon אין הרשאות הפעלה, הפוך אותו לניתן להפעלה באמצעות:

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon

    ונסה שוב להפעיל את שלב 2.

  7. ודא שמערכת הקבצים המכילה את wdavdaemon אינה מותקנת עם noexec.

אם שירות Defender for Endpoint פועל, אך זיהוי קובץ הטקסט של EICAR אינו פועל

  1. בדוק את סוג מערכת הקבצים באמצעות:

    findmnt -T <path_of_EICAR_file>

    מערכות קבצים הנתמכות כעת עבור פעילות בגישה מפורטות כאן. קבצים מחוץ למערכות קבצים אלה אינם נסרקים.

כלי שורת הפקודה mdatp אינו פועל

  1. אם הפעלת כלי שורת הפקודה מספקת mdatp שגיאה command not found, הפעל את הפקודה הבאה:

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp

    ונסה שוב.

    אם אף אחד מהפעולות שלעיל אינו עוזר, אסוף את יומני האבחון:

    sudo mdatp diagnostic create

    Diagnostic file created: <path to file>

    נתיב לקובץ zip המכיל את יומני הרישום מוצג כפלט. צור קשר עם תמיכת הלקוחות שלנו באמצעות יומני רישום אלה.

  • Last updated on