Végponthoz készült Microsoft Defender beépülő modul Linuxos Windows-alrendszer (WSL)
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 2. csomag
- Windows 11
- Windows 10, 2004-es és újabb verzió (19044-es és újabb build)
Áttekintés
A Linuxos Windows-alrendszer (WSL) 2, amely felváltja a WSL előző verzióját (amelyet a beépülő modul nélküli Végponthoz készült Microsoft Defender támogat), olyan Linux-környezetet biztosít, amely zökkenőmentesen integrálható a Windows rendszerrel, de virtualizálási technológiával izolálva van. A Végponthoz készült Defender for WSL beépülő modul lehetővé teszi a Végponthoz készült Defender számára, hogy jobban átláthassa az összes futó WSL-tárolót az elkülönített alrendszerhez való csatlakozással.
Ismert problémák és korlátozások
Mielőtt hozzákezd, vegye figyelembe az alábbiakat:
A beépülő modul nem támogatja a korábbi verziók automatikus frissítéseit
0.24.426.1
. Verzió és újabb verziókban0.24.426.1
; a frissítéseket Windows Update minden kör támogatja. Frissítések a Windows Server Update services (WSUS), a System Center Configuration Manager (SCCM) és a Microsoft Update katalógus csak az Éles körben támogatott a csomag stabilitásának biztosítása érdekében.A beépülő modul teljes példányosítása néhány percet vesz igénybe, egy WSL2-példány pedig akár 30 percet is igénybe vehet. A rövid élettartamú WSL-tárolópéldányok azt eredményezhetik, hogy a WSL2-példány nem jelenik meg a Microsoft Defender portálon (https://security.microsoft.com). Ha egy disztribúció elég hosszú ideig (legalább 30 percig) fut, megjelenik.
Ebben a verzióban az egyéni kernel és az egyéni kernel parancssorának futtatása támogatott; A beépülő modul azonban nem garantálja a WSL láthatóságát, ha egyéni kernelt és egyéni kernel parancssort futtat.
Az operációsrendszer-elosztás a WSL-eszköz Eszközáttekintő lapján, a Microsoft Defender portalon nem jelenik meg.
A beépülő modul arm64 processzorral rendelkező gépeken nem támogatott.
Szoftver előfeltételei
A WSL 2.0.7-es vagy újabb verziójának legalább egy aktív disztribúcióval kell futnia.
Futtassa a parancsot
wsl --update
, és győződjön meg arról, hogy a legújabb verziót használja. Hawsl -–version
a 2.0.7-esnél régebbi verzió jelenik meg, futtassa a parancsotwsl -–update –pre-release
a legújabb frissítés beszerzéséhez.A Windows-ügyféleszközt fel kell venni a Végponthoz készült Defenderbe.
A Windows-ügyféleszköznek Windows 10, 2004-es vagy újabb verziót (19044-es és újabb buildet) vagy Windows 11 kell futtatnia a beépülő modullal használható WSL-verziók támogatásához.
Szoftverösszetevők és telepítőfájlnevek
Telepítő: DefenderPlugin-x64-0.24.426.1.msi
. A Microsoft Defender portál előkészítési oldaláról töltheti le.
Telepítési könyvtárak:
%ProgramFiles%
%ProgramData%
Telepített összetevők:
DefenderforEndpointPlug-in.dll
. Ez a DLL az a kódtár, amely betölti a Végponthoz készült Defendert a WSL-ben való működéshez. Ezt a %ProgramFiles%\Végponthoz készült Microsoft Defender beépülő modulban találja a WSL\plug-in elemhez.healthcheck.exe
. Ez a program ellenőrzi a Végponthoz készült Defender állapotát, és lehetővé teszi a WSL, a beépülő modul és a Végponthoz készült Defender telepített verzióinak megtekintését. A %ProgramFiles%\Végponthoz készült Microsoft Defender WSL\tools beépülő modulban található.
Telepítési lépések
Ha a Linuxos Windows-alrendszer még nincs telepítve, kövesse az alábbi lépéseket:
Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)
Futtassa a következő parancsot
wsl -–install
: .Győződjön meg arról, hogy a WSL telepítve van és fut.
A terminál vagy a parancssor használatával a parancs futtatásával
wsl –-update
győződjön meg arról, hogy a legújabb verzióval rendelkezik.Futtassa a
wsl
parancsot annak ellenőrzéséhez, hogy a WSL fut-e a tesztelés előtt.
Telepítse a beépülő modult az alábbi lépésekkel:
Telepítse a Microsoft Defender portál előkészítési szakaszából letöltött MSI-fájlt (Settings>Endpoints>Onboarding>Linuxos Windows-alrendszer 2 (beépülő modul)).
Nyisson meg egy parancssort/terminált, és futtassa a parancsot
wsl
.
A csomagot a Microsoft Intune használatával helyezheti üzembe.
Megjegyzés:
Ha WslService
fut, a telepítési folyamat során leáll. Nem kell külön-külön elvégeznie az alrendszer előkészítését; ehelyett a beépülő modul automatikusan csatlakozik ahhoz a bérlőhöz, amelyen a Windows-gazdagép elő van készítve.
Telepítési érvényesítési ellenőrzőlista
A frissítés vagy telepítés után várjon legalább öt percet, amíg a beépülő modul teljesen inicializálja és megírja a napló kimenetét.
Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)
Futtassa a következő parancsot:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Futtassa a következő parancsot
.\healthcheck.exe
: .Tekintse át a Defender és a WSL részleteit, és győződjön meg arról, hogy azok megfelelnek vagy meghaladják a következő követelményeket:
- Beépülő modul verziója:
0.24.426.1
- WSL-verzió:
2.0.7.0
vagy újabb - Defender-alkalmazás verziója:
701.00000.1509
- Defender állapota:
Healthy
- Beépülő modul verziója:
A WSL-ben futó Defender proxyjának beállítása
Ez a szakasz a végponthoz készült Defender beépülő modul proxykapcsolatának konfigurálását ismerteti. Ha a vállalat proxyt használ a Windows-gazdagépen futó Végponthoz készült Defenderhez való kapcsolódáshoz, folytassa az olvasást annak megállapításához, hogy konfigurálnia kell-e a beépülő modulhoz.
Ha a WSL beépülő modulhoz tartozó MDE gazdagép Windows EDR telemetriai proxykonfigurációját szeretné használni, nincs több szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.
Ha a gazdagép winhttp proxykonfigurációját szeretné használni a WSL beépülő modulhoz MDE, semmi többre nincs szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.
Ha a WSL beépülő modul MDE gazdagéphálózati és hálózati proxybeállítását szeretné használni, nincs több szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.
Beépülő modul proxyjának kiválasztása
Ha a gazdagép több proxybeállítást is tartalmaz, a beépülő modul a következő hierarchiával rendelkező proxykonfigurációkat választja ki:
Végponthoz készült Defender statikus proxybeállítása (
TelemetryProxyServer
).Winhttp
proxy (parancson keresztülnetsh
konfigurálva).Hálózati & internetproxy-beállítások.
Példa: Ha a gazdagép winhttp proxyval és hálózati & internetproxyval is rendelkezik Winhttp proxy
, a beépülő modul proxykonfigurációként lesz kiválasztva.
Megjegyzés:
A DefenderProxyServer
beállításkulcs már nem támogatott. A proxy beépülő modulban való konfigurálásához kövesse a fent említett lépéseket.
Kapcsolati teszt a WSL-ben futó Defenderhez
Az alábbi eljárás azt ismerteti, hogyan győződhet meg arról, hogy a Végponti Defender a WSL-ben rendelkezik internetkapcsolattal.
Nyissa meg a Beállításjegyzék-Szerkesztő rendszergazdaként.
Létrehozás egy beállításkulcsot a következő részletekkel:
- Név:
ConnectivityTest
- Típus:
REG_DWORD
- Érték:
Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
- Elérési út:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
- Név:
A beállításjegyzék beállítása után indítsa újra a wsl fájlt az alábbi lépésekkel:
Nyissa meg a Parancssort, és futtassa a következő parancsot:
wsl --shutdown
.Futtassa a következő parancsot
wsl
: .
Várjon 5 percet, majd futtassa a parancsot
healthcheck.exe
(a kapcsolati teszt eredményéhez itt található%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
).Ha sikerült, láthatja, hogy a kapcsolati teszt sikeres volt. Ha nem sikerült, láthatja, hogy a kapcsolati teszt
invalid
azt jelzi, hogy a WSL és a Végponthoz készült Defender szolgáltatás URL-címei közötti ügyfélkapcsolat meghiúsult.
Megjegyzés:
A WSL-tárolókban (az alrendszeren futó disztribúciókban) használható proxy beállításához lásd: Speciális beállítások konfigurálása a WSL-ben.
A funkciók és az SOC-elemzői élmény ellenőrzése
A beépülő modul telepítése után az alrendszer és annak összes futó tárolója fel lesz készítve a Microsoft Defender portálra.
Jelentkezzen be a Microsoft Defender portálra, és nyissa meg az Eszközök nézetet.
Szűrjön a WSL2 címke használatával.
A környezet összes WSL-példányát láthatja egy aktív Végponthoz készült Defender beépülő modullal a WSL-hez. Ezek a példányok az adott gazdagép WSL-jén belül futó összes disztribúciót képviselik. Az eszköz állomásneve megegyezik a Windows-gazdagép nevére. Ez azonban Linux-eszközként jelenik meg.
Nyissa meg az eszközoldalt. Az Áttekintés panelen található egy hivatkozás arra a helyre, ahol az eszköz üzemel. A hivatkozással megértheti, hogy az eszköz windowsos gazdagépen fut. Ezután a gazdagéphez fordulva további vizsgálatot és/vagy választ kaphat.
Az idősor a Végponthoz készült Defenderhez hasonló módon töltődik fel a Linux rendszeren, az alrendszeren belüli eseményekkel (fájl, folyamat, hálózat). Az idősor nézetben megfigyelheti a tevékenységeket és az észleléseket. A riasztások és incidensek is megfelelő módon jönnek létre.
A beépülő modul tesztelése
A beépülő modul telepítés utáni teszteléséhez kövesse az alábbi lépéseket:
Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)
Futtassa a következő parancsot
wsl
: .Töltse le és bontsa ki a szkriptfájlt a fájlból https://aka.ms/LinuxDIY.
A Linux parancssorában futtassa a következő parancsot
./mde_linux_edr_diy.sh
: .A WSL2-példány észlelése érdekében néhány perc elteltével riasztásnak kell megjelennie a portálon.
Megjegyzés:
Körülbelül 5 percig tart, amíg az események megjelennek a Microsoft Defender portálon.
A gépet úgy kezelje, mintha a környezetben normál Linux-gazdagép lenne a tesztelés végrehajtásához. Különösen szeretnénk visszajelzést kapni a potenciálisan rosszindulatú viselkedésnek az új beépülő modullal való felszínre hozásának lehetőségéről.
Speciális veszélyforrás-keresés
Az Advanced Hunting sémában, a DeviceInfo
tábla alatt található egy új attribútum HostDeviceId
, amellyel leképezhet egy WSL-példányt a windowsos gazdagép eszközére. Íme néhány minta veszélyforrás-keresési lekérdezés:
Az aktuális szervezet/bérlő összes WSL-eszközazonosítójának lekérése
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
WSL-eszközazonosítók és a hozzájuk tartozó gazdaeszköz-azonosítók lekérése
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
A curl vagy wget futtatására szolgáló WSL-eszközazonosítók listájának lekérése
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Hibaelhárítás
A parancs
healthcheck.exe
a következő kimenetet jeleníti meg: "WSL-disztribúció indítása a "bash" paranccsal, majd 5 perc múlva próbálkozzon újra."Ha a korábban említett hiba jelentkezik, hajtsa végre a következő lépéseket:
Nyisson meg egy terminálpéldányt, és futtassa a parancsot
wsl
.Várjon legalább 5 percet, mielőtt újrafuttatja az állapot-ellenőrzést.
A
healthcheck.exe
parancs a következő kimenetet jelenítheti meg: "Várakozás a telemetriára. Próbálkozzon újra 5 perc múlva."Ha ez a hiba jelentkezik, várjon 5 percet, és futtassa újra a következőt
healthcheck.exe
: .Ha nem lát semmilyen eszközt a Microsoft Defender portálon, vagy nem lát eseményeket az idővonalon, ellenőrizze a következőket:
Ha nem látja a gépobjektumot, győződjön meg arról, hogy elegendő idő telt el az előkészítés befejezéséhez (általában legfeljebb 10 percig).
Győződjön meg arról, hogy a megfelelő szűrőket használja, és hogy rendelkezik a megfelelő engedélyekkel az összes eszközobjektum megtekintéséhez. (Például a fiókja/csoportja egy adott csoportra korlátozódik?)
Az állapot-ellenőrző eszközzel áttekintést kaphat a beépülő modulok általános állapotáról. Nyissa meg a Terminált, és futtassa az eszközt a
healthcheck.exe
következőből:%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.Engedélyezze a kapcsolati tesztet, és ellenőrizze, hogy van-e végponthoz készült Defender-kapcsolat a WSL-ben. Ha a kapcsolati teszt sikertelen, adja meg az állapot-ellenőrző eszköz kimenetét a következőnek: mdeforwsl-preview@microsoft.com.
Ha a kapcsolati teszt "érvénytelen" állapotot jelez az állapot-ellenőrzésben, adja meg a következő konfigurációs beállításokat a fájlban, majd indítsa újra a
.wslconfig
WSL-t%UserProfile%
. A beállítások részletei a WSL-beállítások között találhatók.- A Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
- A Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
- A Windows 11
Ha más kihívásokkal vagy problémákkal szembesül, nyissa meg a Terminált, és futtassa a következő parancsokat egy támogatási csomag létrehozásához:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
A támogatási csomag az előző parancs által megadott elérési úton található.
Microsoft Defender WSL-végpont támogatja a WSL 2-n futó Linux-disztribúciókat. Ha a WSL 1-hez vannak társítva, problémákat tapasztalhat. Ezért javasoljuk, hogy tiltsa le a WSL 1-et. Ehhez a Intune szabályzattal hajtsa végre a következő lépéseket:
Nyissa meg a Microsoft Intune Felügyeleti központot.
Lépjen az Eszközök>konfigurációs profiljai>Létrehozás>Új szabályzat területre.
Válassza a Windows 10 és a későbbi>Beállítások katalógust.
Létrehozás az új profil nevét, és keresse meg a Linuxos Windows-alrendszer, és adja hozzá az elérhető beállítások teljes listáját.
Állítsa a WSL1 engedélyezése beállítást Letiltva értékre, hogy csak a WSL 2-disztribúciók használhatók legyenek.
Ha továbbra is a WSL 1-et szeretné használni, vagy nem szeretné használni a Intune Szabályzatot, a telepített disztribúciókat szelektíven társíthatja a WSL 2-n való futtatáshoz, ha a parancsot a PowerShellben futtatja:
wsl --set-version <YourDistroName> 2
Ha azt szeretné, hogy a WSL 2 legyen az új disztribúciók alapértelmezett WSL-verziója, futtassa a következő parancsot a PowerShellben:
wsl --set-default-version 2
A beépülő modul alapértelmezés szerint a Windows EDR gyűrűt használja. Ha egy korábbi körre szeretne váltani, állítsa az
OverrideReleaseRing
alábbi beállítások egyikére a beállításjegyzékben, majd indítsa újra a WSL-t:
- Név:
OverrideReleaseRing
- Típus:
REG_SZ
- Érték:
Dogfood or External or InsiderFast or Production
- Elérési út:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
Ha a WSL indításakor hibaüzenet jelenik meg, például "A "DefenderforEndpointPlug-in beépülő modul végzetes hibát adott vissza" Hibakód: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", az azt jelenti, hogy a Végponthoz készült Defender beépülő modul hibás a WSL-telepítéshez. A javításhoz kövesse az alábbi lépéseket:
A Vezérlőpult lépjen a Programok Programok>és szolgáltatások elemre.
Keresse meg és válassza ki Végponthoz készült Microsoft Defender beépülő modult a WSL-hez. Ezután válassza a Javítás lehetőséget.
Ennek meg kell oldania a problémát, ha a megfelelő fájlokat helyezi el a várt könyvtárakban.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: