שתף באמצעות

Microsoft Defender עבור נקודת קצה תוסף עבור מערכת משנה של Windows עבור Linux (WSL)

  • מאמר

חל על:

סקירה כללית

מערכת משנה של Windows עבור Linux (WSL) 2, שמחליף את הגירסה הקודמת של WSL (הנתמכת על-ידי Microsoft Defender עבור נקודת קצה ללא תוסף), מספקת סביבת Linux שמשולבת בצורה חלקה עם Windows, אך עדיין מבודדת באמצעות טכנולוגיית וירטואליזציה. תוסף Defender for Endpoint עבור WSL מאפשר ל- Defender for Endpoint לספק ניראות נוספת לכל הגורמים המכילים הפועלים של WSL על-ידי חיבור אל מערכת המשנה המבודדת.

בעיות ומגבלות ידועות

לפני שתתחיל, שים לב לשיקולים הבאים:

  1. התוסף אינו תומך בעדכונים אוטומטיים בגירסאות הקודמות ל- 1.24.522.2. בגירסה 1.24.522.2 ואילך, עדכונים נתמכים באמצעות Windows Update בכל הטבעות. עדכונים באמצעות שירותי Windows Server Update (WSUS), System Center Configuration Manager (SCCM) וקטלוג Microsoft Update נתמכים רק טבעת הייצור כדי להבטיח את יציבות החבילה.

  2. יצירת מופעים מלאה של התוסף אורכת כמה דקות, עד 30 דקות עד שמופע WSL2 יקלוט את עצמו. מופעי גורם מכיל של WSL קצרים עשויים לגרום לכך שמופע WSL2 לא יופיע Microsoft Defender (https://security.microsoft.com). לאחר שהפצה כלשהי תימשך מספיק (לפחות 30 דקות), היא תופיע.

  3. אין תמיכה בהפעלה של שורת פקודה מותאמת אישית של ליבה והליבה. אף על פי שתוסף אינו חוסם את ההפעלה בתצורה זו, הוא אינו מבטיח ניראות בתוך WSL כאשר אתה מפעיל ליבה מותאמת אישית ופקודת פקודה מותאמת אישית של ליבה. אנו ממליצים לחסום תצורות כאלה בעזרת הגדרות Microsoft Intune wsl.

  4. התפלגות מערכת ההפעלה מוצגת ללא בדף מבט כולל על מכשיר WSL בפורטל Microsoft Defender ההתקן.

  5. התוסף אינו נתמך במחשבים עם מעבד ARM64.

  6. התוסף מספק ניראות לאירועים מ- WSL, אך תכונות אחרות כגון מניעת תוכנות זדוניות, Threat and Vulnerability Management ופקודות תגובה אינן זמינות עבור ההתקן הלוגי WSL.

דרישות מוקדמות של תוכנה

  • WSL גירסה 2.0.7.0 ואילך חייב לפעול עם הפצה פעילה אחת לפחות.

    הפעל wsl --update כדי לוודא שאתה משתמש בגירסה העדכנית ביותר. אם wsl -–version מוצגת גירסה הקודמת ל 2.0.7.0- , הפעל wsl -–update –pre-release כדי לקבל את העדכון האחרון.

  • מכשיר לקוח Windows חייב להיות מחובר ל- Defender for Endpoint.

  • מכשיר הלקוח של Windows חייב לפעול בגירסה Windows 10, גירסה 2004 ואילך (גירסת Build מס' 19044 ואילך) או ב- Windows 11 כדי לתמוך בגירסאות WSL ה יכולות לעבוד עם התוסף.

רכיבי תוכנה ושמות קבצים של תוכנת התקנה

תוכנית התקנה: DefenderPlugin-x64-0.24.426.1.msi. באפשרותך להוריד אותו מתוך דף הצירוף בפורטל Microsoft Defender שלך. (עבור אל 'הגדרות'>נקודות קצה>צירוף.)

ספריות התקנה:

  • %ProgramFiles%

  • %ProgramData%

רכיבים מותקנים:

  • DefenderforEndpointPlug-in.dll. DLL זה הוא הספריה לטעינת Defender for Endpoint כך שיפעלו בתוך WSL. תוכל למצוא אותו בכתובת %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

  • healthcheck.exe. תוכנית זו בודקת את מצב התקינות של Defender עבור נקודת קצה ומאפשרת לך לראות את הגירסאות המותקנות של WSL, תוסף ו- Defender עבור נקודת קצה. תוכל למצוא אותו בכתובת %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

שלבי התקנה

אם ה מערכת משנה של Windows עבור Linux שלך עדיין לא מותקן, בצע את הפעולות הבאות:

  1. פתח את Terminal או את שורת הפקודה. (ב- Windows, עבור אל 'התחל'>שורת הפקודה. לחלופין, לחץ באמצעות לחצן העכבר הימני על לחצן התחל ולאחר מכן בחר מסוף.)

  2. הפעל את הפקודה wsl -–install.

  3. ודא ש- WSL מותקן פועלים.

    1. באמצעות Terminal או Command Prompt, הפעל wsl –-update כדי לוודא שברשותך הגירסה העדכנית ביותר.

    2. הפעל את wsl הפקודה כדי לוודא ש- WSL פועל לפני הבדיקה.

  4. התקן את התוסף על-ידי ביצוע השלבים הבאים:

    1. התקן את קובץ ה- MSI שהורד ממקטע הצירוף בפורטל Microsoft Defender (הגדרות>>> צירוף נקודות קצה מערכת משנה של Windows עבור Linux 2 (תוסף)).

    2. פתח שורת פקודה/מסוף והפעל את wsl.

    באפשרותך לפרוס את החבילה באמצעות Microsoft Intune.

הערה

אם WslService הוא פועל, הוא נפסק במהלך תהליך ההתקנה. אין צורך לקלוט את מערכת המשנה בנפרד. במקום זאת, התוסף רשום באופן אוטומטי לדייר שמארח Windows רשום בו.

רשימת פעולות לביצוע לאימות התקנה

  1. לאחר עדכון או התקנה, המתן לפחות חמש דקות עד לאתחול מלא של התוסף ופלט יומן הכתיבה.

  2. פתח את Terminal או את שורת הפקודה. (ב- Windows, עבור אל 'התחל'>שורת הפקודה. לחלופין, לחץ באמצעות לחצן העכבר הימני על לחצן התחל ולאחר מכן בחר מסוף.)

  3. הפעל את הפקודה: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. הפעל את הפקודה .\healthcheck.exe.

  5. סקור את הפרטים של Defender ו- WSL וודא שהם תואמים לדרישות הבאות או חורגות מהדרישות הבאות:

    • גירסת תוסף: 1.24.522.2
    • גירסת WSL: 2.0.7.0 ואילך
    • גירסת אפליקציית Defender: 101.24032.0007
    • מצב תקינות Defender: Healthy

הגדרת Proxy עבור Defender הפועל ב- WSL

סעיף זה מתאר כיצד להגדיר קישוריות Proxy עבור התוסף Defender for Endpoint. אם הארגון שלך משתמש ב- Proxy כדי לספק קישוריות אל Defender for Endpoint הפועל במארח Windows, המשך לקרוא כדי לקבוע אם עליך לקבוע אם עליך להגדיר אותו עבור התוסף.

אם ברצונך להשתמש בתצורת ה- Proxy של מדידת השימוש של Windows EDR MDE עבור תוסף WSL, לא נדרש דבר נוסף. תצורה זו נאמצת על-ידי התוסף באופן אוטומטי.

אם ברצונך להשתמש בתצורה של שרת ה- Proxy של winhttp עבור MDE עבור תוסף WSL, לא נדרש דבר נוסף. תצורה זו נאמצת על-ידי התוסף באופן אוטומטי.

אם ברצונך להשתמש בהגדרת ה- Proxy של הרשת המארחת והרשת עבור MDE עבור תוסף WSL, לא נדרש דבר נוסף. תצורה זו נאמצת על-ידי התוסף באופן אוטומטי.

הערה

WSL defender תומך ב- http Proxy בלבד.

בחירת Proxy של התוסף

אם המחשב המארח שלך מכיל הגדרות Proxy מרובות, התוסף בוחר את תצורות ה- Proxy עם ההירארכיה הבאה:

  1. הגדרת Proxy סטטית (TelemetryProxyServer) של Defender for Endpoint.

  2. Winhttp Proxy (מוגדר באמצעות netsh הפקודה).

  3. הגדרות & של האינטרנט.

לדוגמה, אם במחשב המארח שלך יש גם Winhttp proxy וגם Network & Internet proxyאת התוסף , התוסף בוחר כתצורות Winhttp proxy ה- Proxy.

הערה

מפתח DefenderProxyServer הרישום אינו נתמך עוד. בצע את השלבים המתוארים לעיל במאמר זה כדי לקבוע את התצורה של תוסף Proxy in.

בדיקת קישוריות עבור Defender פועל ב- WSL

בדיקת הקישוריות של Defender מופעלת בכל פעם שיש שינוי Proxy במכשיר שלך, והיא מתוזמנת לפעול מדי שעה.

בעת הפעלת מחשב wsl, המתן 5 healthcheck.exe דקות ולאחר מכן הפעל ( %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools הממוקם ב לקבלת התוצאות של בדיקת הקישוריות). אם הצלחת, תוכל לראות שמבחן הקישוריות הצליח. אם נכשלה, invalid תוכל לראות שמבחן הקישוריות מציין כי קישוריות הלקוח מתוסף MDE עבור WSL אל Defender עבור כתובות URL של שירות נקודת קצה נכשלת.

הערה

מפתח ConnectivityTest הרישום אינו נתמך עוד. כדי להגדיר Proxy לשימוש בגורמים מכילים של WSL (ההתפלגויות הפועלות מערכת המשנה), ראה תצורת הגדרות מתקדמות ב- WSL.

אימות פונקציונליות וחוויה של אנליסט SOC

לאחר התקנת התוסף, מערכת המשנה וכל הגורמים המכילים הפועלים שלה מחוברים לפורטל Microsoft Defender שלהם.

  1. היכנס לפורטל Microsoft Defender ופתח את התצוגה מכשירים.

  2. סנן באמצעות התג WSL2.

    צילום מסך המציג מסנן מלאי מכשירים

    באפשרותך לראות את כל מופעי WSL בסביבה שלך עם תוסף פעיל של Defender for Endpoint עבור WSL. מופעים אלה מייצגים את כל ההתפלגויות הפועלות בתוך WSL במארח נתון. שם המחשב המארח של מכשיר תואם למארח Windows. עם זאת, הוא מיוצג כמכשיר Linux.

  3. פתח את דף המכשיר. בחלונית מבט כולל, קיים קישור עבור המקום שבו מתארח המכשיר. הקישור מאפשר לך להבין שהמכשיר פועל במחשב מארח של Windows. לאחר מכן תוכל ליצור ציר למארח לבדיקה נוספת ו/או לתגובה.

    צילום מסך המציג מבט כולל על המכשיר.

ציר הזמן מאוכלס, בדומה ל- Defender for Endpoint ב- Linux, באירועים מתוך מערכת המשנה (קובץ, תהליך, רשת). באפשרותך לצפות בפעילות ובזיהויים בתצוגת ציר הזמן. התראות ותקריות נוצרים בהתאם.

הגדרת תגית מותאמת אישית עבור מחשב WSL

התוסף מקליט את מחשב ה- WSL עם התג WSL2. אם אתה או הארגון שלך זקוקים לתגית מותאמת אישית, בצע את השלבים המפורטים להלן:

  1. פתח את עורך הרישום כמנהל מערכת.

  2. צור מפתח רישום עם הפרטים הבאים:

    • שם: GROUP
    • סוג: REG_SZ או מחרוזת רישום
    • ערך: Custom tag
    • נתיב: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging

  3. לאחר הגדרת הרישום, הפעל מחדש את wsl באמצעות השלבים הבאים:

    1. פתח את שורת הפקודה והפעל את הפקודה, wsl --shutdown.

    2. הפעל את wsl הפקודה.

  4. המתן 5-10 דקות עד שהפורטל ישקף את השינויים.

הערה

לאחר ערכת התגים המותאמת אישית ברישום יופיע ._WSL2 לדוגמה, אם ערכת ערכי הרישום היא Microsoft, התגית המותאמת אישית Microsoft_WSL2 תהיה וזהה תהיה גלויה בפורטל.

בדוק את התוסף

כדי לבדוק את התוסף לאחר ההתקנה, בצע את הפעולות הבאות:

  1. פתח את Terminal או את שורת הפקודה. (ב- Windows, עבור אל 'התחל'>שורת הפקודה. לחלופין, לחץ באמצעות לחצן העכבר הימני על לחצן התחל ולאחר מכן בחר מסוף.)

  2. הפעל את הפקודה wsl.

  3. הורד וחלץ את קובץ ה- Script מ- https://aka.ms/MDE-Linux-EDR-DIY.

  4. בשורת הפקודה של Linux, הפעל את הפקודה ./mde_linux_edr_diy.sh.

    התראה אמורה להופיע בפורטל לאחר כמה דקות לגילוי במופע WSL2.

    הערה

    ייתכן שיופיעו כחמש דקות בפורטל Microsoft Defender.

התייחס למחשב כאילו הוא היה מארח Linux רגיל בסביבה שלך כדי לבצע בדיקות מולו. במיוחד, אנו עשויים להציג את המשוב שלך על היכולת להציג התנהגות שעלולה להיות זדונית באמצעות התוסף החדש.

ציד מתקדם

בסכימת הציד המתקדם DeviceInfo , תחת הטבלה, HostDeviceId קיימת תכונה חדשה שנקראת שניתן להשתמש בה כדי למפות מופע WSL למכשיר המארח של Windows. להלן כמה שאילתות ציד לדוגמה:

קבל את כל זהות מכשיר WSL עבור הארגון/הדייר הנוכחי

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

קבל את זהות מכשיר WSL ואת זהות המכשיר המארח המתאים שלהם

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

קבל רשימה של מזהה מכשיר WSL שבו הופעל קרלינג או wget

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

פתרון בעיות

הפקודה מציגה healthcheck.exe את הפלט, "הפעל את ההשקה של WSL עם הפקודה 'bash' ונסה שוב בעוד חמש דקות."

צילום מסך המציג פלט של PowerShell.

  1. פתח מופע מסוף והפעל את הפקודה wsl.

  2. המתן לפחות חמש דקות לפני ההפעלה מחדש של בדיקת התקינות.

הפקודה healthcheck.exe עשויה להציג את הפלט, "ממתין למדידת שימוש. נסה שנית בעוד חמש דקות."

צילום מסך המציג את מצב מדידת השימוש של תקינות.

אם שגיאה זו מתרחשת, המתן חמש דקות והפעל מחדש healthcheck.exeאת .

אינך רואה מכשירים בפורטל Microsoft Defender, או שאינך רואה אירועים בציר הזמן

בדוק את הפעולות הבאות:

  • אם אינך רואה אובייקט מחשב, ודא שהספיק הזמן להשלמת הצירוף (בדרך כלל עד 10 דקות).

  • הקפד להשתמש במסננים המתאימים, ושמוקצות לך ההרשאות המתאימות להצגת כל אובייקטי המכשיר. (לדוגמה, האם החשבון/הקבוצה שלך מוגבלים לקבוצה ספציפית?)

  • השתמש בכלי בדיקת התקינות כדי לספק מבט כולל על תקינות התוסף הכוללת. פתח את Terminal והפעל את הכלי healthcheck.exe מ- %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

    צילום מסך המציג מצב ב- PowerShell.

  • הפוך את בדיקת הקישוריות לזמינה ובדוק אם יש ב- Defender קישוריות נקודת קצה ב- WSL. אם בדיקת הקישוריות נכשלת, ספק את הפלט של כלי בדיקת התקינות לצוות התמיכה שלנו.

דוחות בדיקת קישוריות "לא חוקיים" בבדיקת תקינות

  • אם במחשב שלך יש הגדרת Proxy, הפעל את הפקודה healthCheck --extendedProxy. פעולה זו תספק מידע אודות ה- Proxy(ים) הוגדרו במחשב שלך ואם תצורות אלה לא חוקיות עבור Defender WSL.

    הרחב את מסמך ה- Proxy של בדיקת התקינות

  • אם השלבים שהוזכרו לעיל אינם פותרים את הבעיה, .wslconfig כלול את הגדרות התצורה הבאות ב- הממוקם והפעל %UserProfile% מחדש את WSL. ניתן למצוא פרטים על ההגדרות בהגדרות WSL.

    ב- Windows 11

    
# Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored

    ב- Windows 10

    # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

בעיות קישוריות נמשכות

אסוף את יומני הרשת על-ידי ביצוע השלבים הבאים:

  1. פתח בקשה ל- PowerShell עם הרשאות מלאות( מנהל מערכת).

  2. הורד והפעל: .\collect-networking-logs.ps1

    
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
Set-ExecutionPolicy Bypass -Scope Process -Force
.\collect-networking-logs.ps1

  3. פתח שורת פקודה חדשה והפעל את הפקודה הבאה: wsl.

  4. פתח שורת פקודה עם הרשאות מלאות (מנהל מערכת) והפעל את הפקודה הבאה: wsl --debug-shell.

  5. במעטפת איתור הבאגים, הפעל את: mdatp connectivity test.

  6. אפשר את השלמת בדיקת הקישוריות.

  7. עצור את .ps1 רץ בשלב #2.

  8. שתף את .zip שנוצר יחד עם חבילת תמיכה שניתן לאסוף כאמור בשלבים.

איסוף חבילת תמיכה

  1. אם אתה נתקל באתגרים או בבעיות אחרים, פתח את Terminal והפעל את הפקודות הבאות כדי ליצור חבילת תמיכה:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    ניתן למצוא את חבילת התמיכה בנתיב שסופק על-ידי הפקודה הקודמת.

    צילום מסך המציג מצב בפלט PowerShell.

  2. Microsoft Defender קצה של WSL תומכת בהתפלגויות Linux הפועלות ב- WSL 2. אם הם משויכים ל- WSL 1, ייתכן שתיתקל בבעיות. לכן, מומלץ להשבית WSL 1. לשם כך, Intune, בצע את השלבים הבאים:

    1. עבור אל Microsoft Intune הניהול.

    2. עבור אל פרופילי>תצורה של מכשירים>צור>מדיניות חדשה.

    3. בחר Windows 10 הגדרות ואילך>.

    4. צור שם עבור הפרופיל החדש וחפש את מערכת משנה של Windows עבור Linux כדי לראות ולהוסיף את הרשימה המלאה של ההגדרות הזמינות.

    5. הגדר את ההגדרה אפשר WSL1כלא זמין, כדי להבטיח שניתן להשתמש בהתפלגויות WSL 2 בלבד.

      לחלופין, אם ברצונך להמשיך להשתמש ב- WSL 1, או לא להשתמש במדיניות Intune, באפשרותך לשייך באופן סלקטיבי את ההתפלגויות המותקנות כך שיפעלו ב- WSL 2, על-ידי הפעלת הפקודה ב- PowerShell:

      wsl --set-version <YourDistroName> 2

      כדי ש- WSL 2 יהיה גירסת WSL המהווה ברירת מחדל עבור התפלגויות חדשות להתקנה במערכת, הפעל את הפקודה הבאה ב- PowerShell:

      wsl --set-default-version 2

  3. התוסף משתמש טבעת Windows EDR כברירת מחדל. אם ברצונך לעבור למצלצל מוקדם יותר, OverrideReleaseRing הגדר לאחת מהאפשרויות הבאות תחת רישום והפעל מחדש את WSL:

    • שם:OverrideReleaseRing
    • סוג סוג: REG_SZ
    • ערך:Dogfood or External or InsiderFast or Production
    • נתיב:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  4. אם אתה רואה שגיאה בהפעלת WSL, כגון "שגיאה מכרעת הוחזרה על-ידי התוסף 'DefenderforEndpointPlug-in'' קוד שגיאה: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", משמעות הדבר שתוסף Defender for Endpoint עבור התקנת WSL אינו תואם. כדי לתקן אותה, בצע את הפעולות הבאות:

    1. ב לוח הבקרה, עבור אל תוכניות>ותכונות.

    2. חפש ובחר Microsoft Defender עבור נקודת קצה עבור WSL. לאחר מכן בחר תקן. פעולה זו אמורה לפתור את הבעיה על-ידי הצבת הקבצים המתאימים בספריות הצפויות.

      צילום מסך MDE תוסף עבור אפשרות תיקון WSL בלוח הבקרה.