שתף באמצעות

Microsoft Defender עבור נקודת קצה תוסף עבור מערכת משנה של Windows עבור Linux (WSL)

  • מאמר

חל על:

סקירה כללית

מערכת משנה של Windows עבור Linux (WSL) 2, שמחליף את הגירסה הקודמת של WSL (הנתמכת על-ידי Microsoft Defender עבור נקודת קצה ללא תוסף), מספקת סביבת Linux שמשולבת בצורה חלקה עם Windows, אך עדיין מבודדת באמצעות טכנולוגיית וירטואליזציה. תוסף Defender for Endpoint עבור WSL מאפשר ל- Defender for Endpoint לספק ניראות נוספת לכל הגורמים המכילים הפועלים של WSL על-ידי חיבור אל מערכת המשנה המבודדת.

בעיות ומגבלות ידועות

לפני שתתחיל, שים לב לפעולות הבאות:

  1. התוסף אינו תומך בעדכונים אוטומטיים בגירסאות הקודמות ל- 1.24.522.2. בגירסה 1.24.522.2 ואילך; עדכונים נתמכים באמצעות Windows Update בכל הטבעות. עדכונים באמצעות שירותי Windows Server Update (WSUS), System Center Configuration Manager (SCCM) וקטלוג Microsoft Update נתמכים רק טבעת הייצור כדי להבטיח את יציבות החבילה.

  2. יצירת מופעים מלאה של התוסף אורכת כמה דקות, עד 30 דקות עד שמופע WSL2 יקלוט את עצמו. מופעי גורם מכיל של WSL קצרים עשויים לגרום לכך שמופע WSL2 לא יופיע Microsoft Defender (https://security.microsoft.com). לאחר שהפצה כלשהי תימשך מספיק (לפחות 30 דקות), היא תופיע.

  3. הפעלת ליבה מותאמת אישית ופקודת פקודה מותאמת אישית של ליבה נתמכת בגירסה זו; עם זאת, התוסף אינו מבטיח ניראות בתוך WSL בעת הפעלת ליבה מותאמת אישית ופקודת הליבה המותאמת אישית.

  4. הפצת מערכת ההפעלה מוצגת ללא בדף מבט כולל על מכשירים של מכשיר WSL Microsoft Defender הפורטל.

  5. התוסף אינו נתמך במחשבים עם מעבד ARM64.

דרישות מוקדמות של תוכנה

  • WSL גירסה 2.0.7.0 ואילך חייב לפעול עם הפצה פעילה אחת לפחות.

    הפעל wsl --update כדי לוודא שאתה משתמש בגירסה העדכנית ביותר. אם wsl -–version מוצגת גירסה ישנה יותר מ- 2.0.7.0, הפעל wsl -–update –pre-release כדי לקבל את העדכון האחרון.

  • מכשיר לקוח Windows חייב להיות מחובר ל- Defender for Endpoint.

  • מכשיר הלקוח של Windows חייב לפעול בגירסה Windows 10, גירסה 2004 ואילך (גירסת Build מס' 19044 ואילך) או ב- Windows 11 כדי לתמוך בגירסאות WSL ה יכולות לעבוד עם התוסף.

רכיבי תוכנה ושמות קבצים של תוכנת התקנה

תוכנית התקנה: DefenderPlugin-x64-0.24.426.1.msi. באפשרותך להוריד אותו מתוך דף הצירוף בפורטל Microsoft Defender שלך.

ספריות התקנה:

  • %ProgramFiles%

  • %ProgramData%

רכיבים מותקנים:

  • DefenderforEndpointPlug-in.dll. DLL זה הוא הספריה לטעינת Defender for Endpoint כך שיפעלו בתוך WSL. ניתן למצוא אותו ב- %ProgramFiles%\Microsoft Defender עבור נקודת קצה Plug-in עבור WSL\plug-in.

  • healthcheck.exe. תוכנית זו בודקת את מצב התקינות של Defender עבור נקודת קצה ומאפשרת לך לראות את הגירסאות המותקנות של WSL, תוסף ו- Defender עבור נקודת קצה. ניתן למצוא אותו ב- %ProgramFiles%\Microsoft Defender עבור נקודת קצה Plug-in עבור WSL\tools.

שלבי התקנה

אם ה מערכת משנה של Windows עבור Linux שלך עדיין לא מותקן, בצע את הפעולות הבאות:

  1. פתח את Terminal או את שורת הפקודה. (ב- Windows, עבור אל 'התחל'>שורת הפקודה. לחלופין, לחץ באמצעות לחצן העכבר הימני על לחצן התחל ולאחר מכן בחר מסוף.)

  2. הפעל את הפקודה wsl -–install.

  3. ודא ש- WSL מותקן פועלים.

    1. באמצעות Terminal או Command Prompt, הפעל wsl –-update כדי לוודא שברשותך הגירסה העדכנית ביותר.

    2. הפעל את wsl הפקודה כדי לוודא ש- WSL פועל לפני הבדיקה.

  4. התקן את התוסף על-ידי ביצוע השלבים הבאים:

    1. התקן את קובץ ה- MSI שהורד ממקטע הצירוף בפורטל Microsoft Defender (הגדרות>>> צירוף נקודות קצה מערכת משנה של Windows עבור Linux 2 (תוסף)).

    2. פתח שורת פקודה/מסוף והפעל את wsl.

    באפשרותך לפרוס את החבילה באמצעות Microsoft Intune.

הערה

אם WslService הוא פועל, הוא נפסק במהלך תהליך ההתקנה. אין צורך לקלוט את מערכת המשנה בנפרד; במקום זאת, התוסף רשום באופן אוטומטי לדייר שמארח Windows מחובר אל.

רשימת פעולות לביצוע לאימות התקנה

  1. לאחר עדכון או התקנה, המתן לפחות חמש דקות עד לאתחול מלא של התוסף ופלט יומן הכתיבה.

  2. פתח את Terminal או את שורת הפקודה. (ב- Windows, עבור אל 'התחל'>שורת הפקודה. לחלופין, לחץ באמצעות לחצן העכבר הימני על לחצן התחל ולאחר מכן בחר מסוף.)

  3. הפעל את הפקודה: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. הפעל את הפקודה .\healthcheck.exe.

  5. סקור את הפרטים של Defender ו- WSL וודא שהם תואמים לדרישות הבאות או חורגות מהדרישות הבאות:

    • גירסת תוסף: 1.24.522.2
    • גירסת WSL: 2.0.7.0 ואילך
    • גירסת אפליקציית Defender: 101.24032.0007
    • מצב תקינות Defender: Healthy

הגדרת Proxy עבור Defender הפועל ב- WSL

סעיף זה מתאר כיצד להגדיר קישוריות Proxy עבור התוסף Defender for Endpoint. אם הארגון שלך משתמש ב- Proxy כדי לספק קישוריות אל Defender for Endpoint הפועל במארח Windows, המשך לקרוא כדי לקבוע אם עליך לקבוע אם עליך להגדיר אותו עבור התוסף.

אם ברצונך להשתמש בתצורת ה- Proxy של מדידת השימוש של Windows EDR MDE עבור תוסף WSL, לא נדרש דבר נוסף. תצורה זו נאמצת על-ידי התוסף באופן אוטומטי.

אם ברצונך להשתמש בתצורה של שרת ה- Proxy של winhttp עבור MDE עבור תוסף WSL, לא נדרש דבר נוסף. תצורה זו נאמצת על-ידי התוסף באופן אוטומטי.

אם ברצונך להשתמש בהגדרת ה- Proxy של הרשת המארחת והרשת עבור MDE עבור תוסף WSL, לא נדרש דבר נוסף. תצורה זו נאמצת על-ידי התוסף באופן אוטומטי.

בחירת Proxy של התוסף

אם המחשב המארח שלך מכיל הגדרות Proxy מרובות, התוסף בוחר את תצורות ה- Proxy עם ההירארכיה הבאה:

  1. הגדרת Proxy סטטית (TelemetryProxyServer) של Defender for Endpoint.

  2. Winhttp Proxy (מוגדר באמצעות netsh הפקודה).

  3. הגדרות & של האינטרנט.

דוגמה: אם במחשב המארח שלך יש גם Proxy של Winhttpוגם שרת Proxy של רשת &,Winhttp proxy התוסף בוחר כתצורות ה- Proxy.

הערה

מפתח DefenderProxyServer הרישום אינו נתמך עוד. בצע את השלבים שהוזכרו לעיל כדי לקבוע את התצורה של תוסף Proxy in.

בדיקת קישוריות עבור Defender פועל ב- WSL

ההליך הבא מתאר כיצד לאשר כי Defender ב- Endpoint ב- WSL כולל קישוריות אינטרנט.

  1. פתח את עורך הרישום כמנהל מערכת.

  2. Create מפתח רישום עם הפרטים הבאים:

    • שם:ConnectivityTest
    • סוג סוג: REG_DWORD
    • ערך:Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • נתיב:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  3. לאחר הגדרת הרישום, הפעל מחדש את wsl באמצעות השלבים הבאים:

    1. פתח את שורת הפקודה והפעל את הפקודה, wsl --shutdown.

    2. הפעל את הפקודה wsl.

  4. המתן 5 דקות ולאחר מכן הפעל healthcheck.exe (ממוקם ב %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools לקבלת תוצאות בדיקת הקישוריות).

    אם בדיקת הקישוריות הצליחה, תוכל לראות שבדיקה זו הצליחה. אם נכשלה, תוכל לראות invalid שמבחן הקישוריות מציין כי קישוריות הלקוח מ- WSL לכתובות URL של שירות Defender for Endpoint נכשלת.

הערה

כדי להגדיר Proxy לשימוש בגורמים מכילים של WSL (ההתפלגויות הפועלות מערכת המשנה), ראה תצורת הגדרות מתקדמות ב- WSL.

אימות פונקציונליות וחוויה של אנליסט SOC

לאחר התקנת התוסף, מערכת המשנה וכל הגורמים המכילים הפועלים שלה מחוברים לפורטל Microsoft Defender שלהם.

  1. היכנס לפורטל Microsoft Defender ופתח את התצוגה מכשירים.

  2. סנן באמצעות התג WSL2.

צילום מסך המציג מסנן מלאי מכשירים

באפשרותך לראות את כל מופעי WSL בסביבה שלך עם תוסף פעיל של Defender for Endpoint עבור WSL. מופעים אלה מייצגים את כל ההתפלגויות הפועלות בתוך WSL במארח נתון. שם המחשב המארח של מכשיר תואם למארח Windows. עם זאת, הוא מיוצג כמכשיר Linux.

  1. פתח את דף המכשיר. בחלונית מבט כולל, קיים קישור עבור המקום שבו מתארח המכשיר. הקישור מאפשר לך להבין שהמכשיר פועל במחשב מארח של Windows. לאחר מכן תוכל ליצור ציר למארח לבדיקה נוספת ו/או לתגובה.

    צילום מסך המציג מבט כולל על המכשיר.

ציר הזמן מאוכלס, בדומה ל- Defender for Endpoint ב- Linux, באירועים מתוך מערכת המשנה (קובץ, תהליך, רשת). באפשרותך לצפות בפעילות ובזיהויים בתצוגת ציר הזמן. התראות ותקריות נוצרים בהתאם.

בדוק את התוסף

כדי לבדוק את התוסף לאחר ההתקנה, בצע את הפעולות הבאות:

  1. פתח את Terminal או את שורת הפקודה. (ב- Windows, עבור אל 'התחל'>שורת הפקודה. לחלופין, לחץ באמצעות לחצן העכבר הימני על לחצן התחל ולאחר מכן בחר מסוף.)

  2. הפעל את הפקודה wsl.

  3. הורד וחלץ את קובץ ה- Script מ- https://aka.ms/LinuxDIY.

  4. בשורת הפקודה של Linux, הפעל את הפקודה ./mde_linux_edr_diy.sh.

    התראה אמורה להופיע בפורטל לאחר כמה דקות לגילוי במופע WSL2.

    הערה

    ייתכן שיופיעו אירועים בפורטל של Microsoft Defender כ- 5 דקות.

התייחס למחשב כאילו הוא היה מארח Linux רגיל בסביבה שלך כדי לבצע בדיקות מולו. במיוחד, אנו עשויים להציג את המשוב שלך על היכולת להציג התנהגות שעלולה להיות זדונית באמצעות התוסף החדש.

ציד מתקדם

בסכימת הציד המתקדם DeviceInfo , תחת הטבלה, HostDeviceId קיימת תכונה חדשה שנקראת שניתן להשתמש בה כדי למפות מופע WSL למכשיר המארח של Windows. להלן כמה שאילתות ציד לדוגמה:

קבל את כל זהות מכשיר WSL עבור הארגון/הדייר הנוכחי

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

קבל את זהות מכשיר WSL ואת זהות המכשיר המארח המתאים שלהם

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

קבל רשימה של מזהה מכשיר WSL שבו הופעל קרלינג או wget

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

פתרון בעיות

  1. הפקודה מציגה healthcheck.exe את הפלט, "הפעל את ההפצה של WSL עם הפקודה 'bash' ונסה שוב בתוך 5 דקות."

    צילום מסך המציג פלט של PowerShell.

  2. אם מתרחשת השגיאה שהוזכרה קודם לכן, בצע את השלבים הבאים:

    1. פתח מופע מסוף והפעל את הפקודה wsl.

    2. המתן לפחות 5 דקות לפני ההפעלה מחדש של בדיקת התקינות.

  3. הפקודה healthcheck.exe עשויה להציג את הפלט, "ממתין למדידת שימוש. נסה שנית עוד 5 דקות."

    צילום מסך המציג את מצב מדידת השימוש של תקינות.

    אם שגיאה זו מתרחשת, המתן 5 דקות והפעל מחדש healthcheck.exeאת .

  4. אם אינך רואה מכשירים כלשהם בפורטל Microsoft Defender, או אם אינך רואה אירועים בציר הזמן, בדוק את הפעולות הבאות:

    • אם אינך רואה אובייקט מחשב, ודא שהספיק הזמן להשלמת הצירוף (בדרך כלל עד 10 דקות).

    • הקפד להשתמש במסננים המתאימים, ושמוקצות לך ההרשאות המתאימות להצגת כל אובייקטי המכשיר. (לדוגמה, האם החשבון/הקבוצה שלך מוגבלים לקבוצה ספציפית?)

    • השתמש בכלי בדיקת התקינות כדי לספק מבט כולל על תקינות התוסף הכוללת. פתח את Terminal והפעל את הכלי healthcheck.exe מ- %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

      צילום מסך המציג מצב ב- PowerShell.

    • הפוך את בדיקת הקישוריות לזמינה ובדוק אם יש ב- Defender קישוריות נקודת קצה ב- WSL. אם בדיקת הקישוריות נכשלת, ספק את הפלט של כלי בדיקת התקינות לצוות התמיכה שלנו.

    • אם בדיקת הקישוריות מדווחת "לא חוקית" בבדיקת התקינות, .wslconfig כלול את הגדרות התצורה הבאות ב- הממוקם ב %UserProfile% - והפעל מחדש את WSL. ניתן למצוא פרטים על ההגדרות בהגדרות WSL.

      • ב- Windows 11
        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored
      • ב- Windows 10
        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

  5. אם אתה נתקל באתגרים או בבעיות אחרים, פתח את Terminal והפעל את הפקודות הבאות כדי ליצור חבילת תמיכה:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    ניתן למצוא את חבילת התמיכה בנתיב שסופק על-ידי הפקודה הקודמת.

    צילום מסך המציג מצב בפלט PowerShell.

  6. Microsoft Defender קצה של WSL תומכת בהתפלגויות Linux הפועלות ב- WSL 2. אם הם משויכים ל- WSL 1, ייתכן שתיתקל בבעיות. לכן, מומלץ להשבית WSL 1. לשם כך, Intune, בצע את השלבים הבאים:

    1. עבור אל Microsoft Intune הניהול.

    2. עבור אל פרופילי>תצורה של מכשירים>Create>מדיניות חדשה.

    3. בחר Windows 10 הגדרות ואילך>.

    4. Create שם עבור הפרופיל החדש, וחפש את מערכת משנה של Windows עבור Linux כדי לראות ולהוסיף את הרשימה המלאה של ההגדרות הזמינות.

    5. הגדר את ההגדרה אפשר WSL1כלא זמין, כדי להבטיח שניתן להשתמש בהתפלגויות WSL 2 בלבד.

      לחלופין, אם ברצונך להמשיך להשתמש ב- WSL 1, או לא להשתמש במדיניות Intune, באפשרותך לשייך באופן סלקטיבי את ההתפלגויות המותקנות כך שיפעלו ב- WSL 2, על-ידי הפעלת הפקודה ב- PowerShell:

      wsl --set-version <YourDistroName> 2

      כדי ש- WSL 2 יהיה גירסת WSL המהווה ברירת מחדל עבור התפלגויות חדשות להתקנה במערכת, הפעל את הפקודה הבאה ב- PowerShell:

      wsl --set-default-version 2

  7. התוסף משתמש טבעת Windows EDR כברירת מחדל. אם ברצונך לעבור למצלצל מוקדם יותר, OverrideReleaseRing הגדר לאחת מהאפשרויות הבאות תחת רישום והפעל מחדש את WSL:

  • שם:OverrideReleaseRing
  • סוג סוג: REG_SZ
  • ערך:Dogfood or External or InsiderFast or Production
  • נתיב:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  1. אם אתה רואה שגיאה בהפעלת WSL, כגון "שגיאה מכרעת הוחזרה על-ידי התוסף 'DefenderforEndpointPlug-in'' קוד שגיאה: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", משמעות הדבר שתוסף Defender for Endpoint עבור התקנת WSL אינו תואם. כדי לתקן אותה, בצע את הפעולות הבאות:

    1. ב לוח הבקרה, עבור אל תוכניות>ותכונות.

    2. חפש ובחר Microsoft Defender עבור נקודת קצה עבור WSL. לאחר מכן בחר תקן.

    פעולה זו אמורה לפתור את הבעיה על-ידי הצבת הקבצים המתאימים בספריות הצפויות.

    צילום מסך MDE תוסף עבור אפשרות תיקון WSL בלוח הבקרה.