Share via

Végponthoz készült Microsoft Defender beépülő modul Linuxos Windows-alrendszer (WSL)

  • Cikk

Érintett szolgáltatás:

Áttekintés

A Linuxos Windows-alrendszer (WSL) 2, amely felváltja a WSL előző verzióját (amelyet a beépülő modul nélküli Végponthoz készült Microsoft Defender támogat), olyan Linux-környezetet biztosít, amely zökkenőmentesen integrálható a Windows rendszerrel, de virtualizálási technológiával izolálva van. A Végponthoz készült Defender for WSL beépülő modul lehetővé teszi a Végponthoz készült Defender számára, hogy jobban átláthassa az összes futó WSL-tárolót az elkülönített alrendszerhez való csatlakozással.

Ismert problémák és korlátozások

Mielőtt hozzákezd, vegye figyelembe az alábbiakat:

  1. A beépülő modul nem támogatja a korábbi verziók automatikus frissítéseit 0.24.426.1. Verzió és újabb verziókban0.24.426.1; a frissítéseket Windows Update minden kör támogatja. Frissítések a Windows Server Update services (WSUS), a System Center Configuration Manager (SCCM) és a Microsoft Update katalógus csak az Éles körben támogatott a csomag stabilitásának biztosítása érdekében.

  2. A beépülő modul teljes példányosítása néhány percet vesz igénybe, egy WSL2-példány pedig akár 30 percet is igénybe vehet. A rövid élettartamú WSL-tárolópéldányok azt eredményezhetik, hogy a WSL2-példány nem jelenik meg a Microsoft Defender portálon (https://security.microsoft.com). Ha egy disztribúció elég hosszú ideig (legalább 30 percig) fut, megjelenik.

  3. Ebben a verzióban az egyéni kernel és az egyéni kernel parancssorának futtatása támogatott; A beépülő modul azonban nem garantálja a WSL láthatóságát, ha egyéni kernelt és egyéni kernel parancssort futtat.

  4. Az operációsrendszer-elosztás a WSL-eszköz Eszközáttekintő lapján, a Microsoft Defender portalon nem jelenik meg.

  5. A beépülő modul arm64 processzorral rendelkező gépeken nem támogatott.

Szoftver előfeltételei

  • A WSL 2.0.7-es vagy újabb verziójának legalább egy aktív disztribúcióval kell futnia.

    Futtassa a parancsot wsl --update , és győződjön meg arról, hogy a legújabb verziót használja. Ha wsl -–version a 2.0.7-esnél régebbi verzió jelenik meg, futtassa a parancsot wsl -–update –pre-release a legújabb frissítés beszerzéséhez.

  • A Windows-ügyféleszközt fel kell venni a Végponthoz készült Defenderbe.

  • A Windows-ügyféleszköznek Windows 10, 2004-es vagy újabb verziót (19044-es és újabb buildet) vagy Windows 11 kell futtatnia a beépülő modullal használható WSL-verziók támogatásához.

Szoftverösszetevők és telepítőfájlnevek

Telepítő: DefenderPlugin-x64-0.24.426.1.msi. A Microsoft Defender portál előkészítési oldaláról töltheti le.

Telepítési könyvtárak:

  • %ProgramFiles%

  • %ProgramData%

Telepített összetevők:

  • DefenderforEndpointPlug-in.dll. Ez a DLL az a kódtár, amely betölti a Végponthoz készült Defendert a WSL-ben való működéshez. Ezt a %ProgramFiles%\Végponthoz készült Microsoft Defender beépülő modulban találja a WSL\plug-in elemhez.

  • healthcheck.exe. Ez a program ellenőrzi a Végponthoz készült Defender állapotát, és lehetővé teszi a WSL, a beépülő modul és a Végponthoz készült Defender telepített verzióinak megtekintését. A %ProgramFiles%\Végponthoz készült Microsoft Defender WSL\tools beépülő modulban található.

Telepítési lépések

Ha a Linuxos Windows-alrendszer még nincs telepítve, kövesse az alábbi lépéseket:

  1. Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)

  2. Futtassa a következő parancsot wsl -–install: .

  3. Győződjön meg arról, hogy a WSL telepítve van és fut.

    1. A terminál vagy a parancssor használatával a parancs futtatásával wsl –-update győződjön meg arról, hogy a legújabb verzióval rendelkezik.

    2. Futtassa a wsl parancsot annak ellenőrzéséhez, hogy a WSL fut-e a tesztelés előtt.

  4. Telepítse a beépülő modult az alábbi lépésekkel:

    1. Telepítse a Microsoft Defender portál előkészítési szakaszából letöltött MSI-fájlt (Settings>Endpoints>Onboarding>Linuxos Windows-alrendszer 2 (beépülő modul)).

    2. Nyisson meg egy parancssort/terminált, és futtassa a parancsot wsl.

    A csomagot a Microsoft Intune használatával helyezheti üzembe.

Megjegyzés:

Ha WslService fut, a telepítési folyamat során leáll. Nem kell külön-külön elvégeznie az alrendszer előkészítését; ehelyett a beépülő modul automatikusan csatlakozik ahhoz a bérlőhöz, amelyen a Windows-gazdagép elő van készítve.

Telepítési érvényesítési ellenőrzőlista

  1. A frissítés vagy telepítés után várjon legalább öt percet, amíg a beépülő modul teljesen inicializálja és megírja a napló kimenetét.

  2. Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)

  3. Futtassa a következő parancsot: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Futtassa a következő parancsot .\healthcheck.exe: .

  5. Tekintse át a Defender és a WSL részleteit, és győződjön meg arról, hogy azok megfelelnek vagy meghaladják a következő követelményeket:

    • Beépülő modul verziója: 0.24.426.1
    • WSL-verzió: 2.0.7.0 vagy újabb
    • Defender-alkalmazás verziója: 701.00000.1509
    • Defender állapota: Healthy

A WSL-ben futó Defender proxyjának beállítása

Ez a szakasz a végponthoz készült Defender beépülő modul proxykapcsolatának konfigurálását ismerteti. Ha a vállalat proxyt használ a Windows-gazdagépen futó Végponthoz készült Defenderhez való kapcsolódáshoz, folytassa az olvasást annak megállapításához, hogy konfigurálnia kell-e a beépülő modulhoz.

Ha a WSL beépülő modulhoz tartozó MDE gazdagép Windows EDR telemetriai proxykonfigurációját szeretné használni, nincs több szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.

Ha a gazdagép winhttp proxykonfigurációját szeretné használni a WSL beépülő modulhoz MDE, semmi többre nincs szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.

Ha a WSL beépülő modul MDE gazdagéphálózati és hálózati proxybeállítását szeretné használni, nincs több szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.

Beépülő modul proxyjának kiválasztása

Ha a gazdagép több proxybeállítást is tartalmaz, a beépülő modul a következő hierarchiával rendelkező proxykonfigurációkat választja ki:

  1. Végponthoz készült Defender statikus proxybeállítása (TelemetryProxyServer).

  2. Winhttp proxy (parancson keresztül netsh konfigurálva).

  3. Hálózati & internetproxy-beállítások.

Példa: Ha a gazdagép winhttp proxyval és hálózati & internetproxyval is rendelkezik Winhttp proxy , a beépülő modul proxykonfigurációként lesz kiválasztva.

Megjegyzés:

A DefenderProxyServer beállításkulcs már nem támogatott. A proxy beépülő modulban való konfigurálásához kövesse a fent említett lépéseket.

Kapcsolati teszt a WSL-ben futó Defenderhez

Az alábbi eljárás azt ismerteti, hogyan győződhet meg arról, hogy a Végponti Defender a WSL-ben rendelkezik internetkapcsolattal.

  1. Nyissa meg a Beállításjegyzék-Szerkesztő rendszergazdaként.

  2. Létrehozás egy beállításkulcsot a következő részletekkel:

    • Név: ConnectivityTest
    • Típus: REG_DWORD
    • Érték: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • Elérési út: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  3. A beállításjegyzék beállítása után indítsa újra a wsl fájlt az alábbi lépésekkel:

    1. Nyissa meg a Parancssort, és futtassa a következő parancsot: wsl --shutdown.

    2. Futtassa a következő parancsot wsl: .

  4. Várjon 5 percet, majd futtassa a parancsot healthcheck.exe (a kapcsolati teszt eredményéhez itt található %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools ).

    Ha sikerült, láthatja, hogy a kapcsolati teszt sikeres volt. Ha nem sikerült, láthatja, hogy a kapcsolati teszt invalid azt jelzi, hogy a WSL és a Végponthoz készült Defender szolgáltatás URL-címei közötti ügyfélkapcsolat meghiúsult.

Megjegyzés:

A WSL-tárolókban (az alrendszeren futó disztribúciókban) használható proxy beállításához lásd: Speciális beállítások konfigurálása a WSL-ben.

A funkciók és az SOC-elemzői élmény ellenőrzése

A beépülő modul telepítése után az alrendszer és annak összes futó tárolója fel lesz készítve a Microsoft Defender portálra.

  1. Jelentkezzen be a Microsoft Defender portálra, és nyissa meg az Eszközök nézetet.

  2. Szűrjön a WSL2 címke használatával.

Képernyőkép az eszközleltárszűrőről

A környezet összes WSL-példányát láthatja egy aktív Végponthoz készült Defender beépülő modullal a WSL-hez. Ezek a példányok az adott gazdagép WSL-jén belül futó összes disztribúciót képviselik. Az eszköz állomásneve megegyezik a Windows-gazdagép nevére. Ez azonban Linux-eszközként jelenik meg.

  1. Nyissa meg az eszközoldalt. Az Áttekintés panelen található egy hivatkozás arra a helyre, ahol az eszköz üzemel. A hivatkozással megértheti, hogy az eszköz windowsos gazdagépen fut. Ezután a gazdagéphez fordulva további vizsgálatot és/vagy választ kaphat.

    Képernyőkép az eszköz áttekintéséről.

Az idősor a Végponthoz készült Defenderhez hasonló módon töltődik fel a Linux rendszeren, az alrendszeren belüli eseményekkel (fájl, folyamat, hálózat). Az idősor nézetben megfigyelheti a tevékenységeket és az észleléseket. A riasztások és incidensek is megfelelő módon jönnek létre.

A beépülő modul tesztelése

A beépülő modul telepítés utáni teszteléséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)

  2. Futtassa a következő parancsot wsl: .

  3. Töltse le és bontsa ki a szkriptfájlt a fájlból https://aka.ms/LinuxDIY.

  4. A Linux parancssorában futtassa a következő parancsot ./mde_linux_edr_diy.sh: .

    A WSL2-példány észlelése érdekében néhány perc elteltével riasztásnak kell megjelennie a portálon.

    Megjegyzés:

    Körülbelül 5 percig tart, amíg az események megjelennek a Microsoft Defender portálon.

A gépet úgy kezelje, mintha a környezetben normál Linux-gazdagép lenne a tesztelés végrehajtásához. Különösen szeretnénk visszajelzést kapni a potenciálisan rosszindulatú viselkedésnek az új beépülő modullal való felszínre hozásának lehetőségéről.

Speciális veszélyforrás-keresés

Az Advanced Hunting sémában, a DeviceInfo tábla alatt található egy új attribútum HostDeviceId , amellyel leképezhet egy WSL-példányt a windowsos gazdagép eszközére. Íme néhány minta veszélyforrás-keresési lekérdezés:

Az aktuális szervezet/bérlő összes WSL-eszközazonosítójának lekérése

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

WSL-eszközazonosítók és a hozzájuk tartozó gazdaeszköz-azonosítók lekérése

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

A curl vagy wget futtatására szolgáló WSL-eszközazonosítók listájának lekérése

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Hibaelhárítás

  1. A parancs healthcheck.exe a következő kimenetet jeleníti meg: "WSL-disztribúció indítása a "bash" paranccsal, majd 5 perc múlva próbálkozzon újra."

    Képernyőkép a PowerShell kimenetről.

  2. Ha a korábban említett hiba jelentkezik, hajtsa végre a következő lépéseket:

    1. Nyisson meg egy terminálpéldányt, és futtassa a parancsot wsl.

    2. Várjon legalább 5 percet, mielőtt újrafuttatja az állapot-ellenőrzést.

  3. A healthcheck.exe parancs a következő kimenetet jelenítheti meg: "Várakozás a telemetriára. Próbálkozzon újra 5 perc múlva."

    Képernyőkép az állapottelemetria állapotáról.

    Ha ez a hiba jelentkezik, várjon 5 percet, és futtassa újra a következőt healthcheck.exe: .

  4. Ha nem lát semmilyen eszközt a Microsoft Defender portálon, vagy nem lát eseményeket az idővonalon, ellenőrizze a következőket:

    • Ha nem látja a gépobjektumot, győződjön meg arról, hogy elegendő idő telt el az előkészítés befejezéséhez (általában legfeljebb 10 percig).

    • Győződjön meg arról, hogy a megfelelő szűrőket használja, és hogy rendelkezik a megfelelő engedélyekkel az összes eszközobjektum megtekintéséhez. (Például a fiókja/csoportja egy adott csoportra korlátozódik?)

    • Az állapot-ellenőrző eszközzel áttekintést kaphat a beépülő modulok általános állapotáról. Nyissa meg a Terminált, és futtassa az eszközt a healthcheck.exe következőből: %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

      Képernyőkép a PowerShell állapotáról.

    • Engedélyezze a kapcsolati tesztet, és ellenőrizze, hogy van-e végponthoz készült Defender-kapcsolat a WSL-ben. Ha a kapcsolati teszt sikertelen, adja meg az állapot-ellenőrző eszköz kimenetét a következőnek: mdeforwsl-preview@microsoft.com.

    • Ha a kapcsolati teszt "érvénytelen" állapotot jelez az állapot-ellenőrzésben, adja meg a következő konfigurációs beállításokat a fájlban, majd indítsa újra a .wslconfig WSL-t %UserProfile% . A beállítások részletei a WSL-beállítások között találhatók.

      • A Windows 11
        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored
      • A Windows 10
        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

  5. Ha más kihívásokkal vagy problémákkal szembesül, nyissa meg a Terminált, és futtassa a következő parancsokat egy támogatási csomag létrehozásához:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    A támogatási csomag az előző parancs által megadott elérési úton található.

    Képernyőkép a PowerShell-kimenet állapotáról.

  6. Microsoft Defender WSL-végpont támogatja a WSL 2-n futó Linux-disztribúciókat. Ha a WSL 1-hez vannak társítva, problémákat tapasztalhat. Ezért javasoljuk, hogy tiltsa le a WSL 1-et. Ehhez a Intune szabályzattal hajtsa végre a következő lépéseket:

    1. Nyissa meg a Microsoft Intune Felügyeleti központot.

    2. Lépjen az Eszközök>konfigurációs profiljai>Létrehozás>Új szabályzat területre.

    3. Válassza a Windows 10 és a későbbi>Beállítások katalógust.

    4. Létrehozás az új profil nevét, és keresse meg a Linuxos Windows-alrendszer, és adja hozzá az elérhető beállítások teljes listáját.

    5. Állítsa a WSL1 engedélyezése beállítást Letiltva értékre, hogy csak a WSL 2-disztribúciók használhatók legyenek.

      Ha továbbra is a WSL 1-et szeretné használni, vagy nem szeretné használni a Intune Szabályzatot, a telepített disztribúciókat szelektíven társíthatja a WSL 2-n való futtatáshoz, ha a parancsot a PowerShellben futtatja:

      wsl --set-version <YourDistroName> 2

      Ha azt szeretné, hogy a WSL 2 legyen az új disztribúciók alapértelmezett WSL-verziója, futtassa a következő parancsot a PowerShellben:

      wsl --set-default-version 2

  7. A beépülő modul alapértelmezés szerint a Windows EDR gyűrűt használja. Ha egy korábbi körre szeretne váltani, állítsa az OverrideReleaseRing alábbi beállítások egyikére a beállításjegyzékben, majd indítsa újra a WSL-t:

  • Név: OverrideReleaseRing
  • Típus: REG_SZ
  • Érték: Dogfood or External or InsiderFast or Production
  • Elérési út: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  1. Ha a WSL indításakor hibaüzenet jelenik meg, például "A "DefenderforEndpointPlug-in beépülő modul végzetes hibát adott vissza" Hibakód: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", az azt jelenti, hogy a Végponthoz készült Defender beépülő modul hibás a WSL-telepítéshez. A javításhoz kövesse az alábbi lépéseket:

    1. A Vezérlőpult lépjen a Programok Programok>és szolgáltatások elemre.

    2. Keresse meg és válassza ki Végponthoz készült Microsoft Defender beépülő modult a WSL-hez. Ezután válassza a Javítás lehetőséget.

    Ennek meg kell oldania a problémát, ha a megfelelő fájlokat helyezi el a várt könyvtárakban.

    Képernyőkép MDE WSL javítási lehetőségről a vezérlőpulton.