Del via


Microsoft Defender for endepunkt plugin-modul for Windows-undersystem for Linux (WSL)

Gjelder for:

Oversikt

Windows-undersystem for Linux (WSL) 2, som erstatter den forrige versjonen av WSL (støttet av Microsoft Defender for endepunkt uten plugin-modul), gir et Linux-miljø som er sømløst integrert med Windows, men som likevel er isolert ved hjelp av virtualiseringsteknologi. Plugin-modulen Defender for Endpoint for WSL gjør det mulig for Defender for Endpoint å gi mer synlighet i alle WSL-beholdere som kjører, ved å koble til det isolerte delsystemet.

Kjente problemer og begrensninger

Vær oppmerksom på følgende vurderinger før du begynner:

  • Plugin-modulen støtter ikke automatiske oppdateringer på versjoner før 1.24.522.2. På versjon 1.24.522.2 og nyere. Oppdateringer støttes gjennom Windows Update på tvers av alle ringer. Oppdateringer gjennom Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) og Microsoft Update-katalogen støttes bare i produksjonsringen for å sikre pakkestabilitet.

  • Det tar noen minutter før plugin-modulen instansieres fullstendig, og opptil 30 minutter for en WSL2-forekomst til selve modulen. Kortvarige WSL-beholderforekomster kan føre til at WSL2-forekomsten ikke vises i Microsoft Defender portal (https://security.microsoft.com). Når en distribusjon har kjørt lenge nok (minst 30 minutter), vises den.

  • Kjøring av en egendefinert kjerne og egendefinert kjernekommandolinje støttes ikke. Selv om plugin-modulen ikke blokkerer kjøring i denne konfigurasjonen, garanterer den ikke synlighet i WSL når du kjører en egendefinert kjerne og egendefinert kjernekommandolinje. Vi anbefaler at du blokkerer slike konfigurasjoner med Microsoft Intune wsl-innstillinger.

  • Plugin-modulen støttes ikke på maskiner med en ARM64-prosessor.

  • Plugin-modulen gir innsyn i hendelser fra WSL, men andre funksjoner som beskyttelse mot skadelig programvare, Håndtering av trusler og sikkerhetsproblemer og svarkommandoer er ikke tilgjengelige for den logiske WSL-enheten.

Forutsetninger for programvare

  • WSL-versjon 2.0.7.0 eller nyere må kjøres med minst én aktiv distro. Kjør wsl --update for å sikre at du har den nyeste versjonen. Hvis wsl -–version viser en versjon som er eldre enn 2.0.7.0, kjører wsl -–update –pre-release du for å få den nyeste oppdateringen.

  • Windows-klientenheten må være koblet til Defender for endepunkt.

  • Windows-klientenheten må kjøre Windows 10, versjon 2004 og nyere (bygg 19044 og nyere) eller Windows 11 for å støtte WSL-versjonene som kan fungere med plugin-modulen.

Programvarekomponenter og installasjonsfilnavn

Installasjonsprogram: DefenderPlugin-x64-0.24.426.1.msi. Du kan laste den ned fra pålastingssiden i Microsoft Defender-portalen. (Gå til Innstillinger>Endepunktene>Pålasting.)

Installasjonskataloger:

  • %ProgramFiles%

  • %ProgramData%

Komponenter installert:

  • DefenderforEndpointPlug-in.dll. Denne DLL-filen er biblioteket for innlasting av Defender for at endepunktet skal fungere i WSL. Du finner den på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

  • healthcheck.exe. Dette programmet kontrollerer tilstandsstatusen til Defender for endepunkt og lar deg se de installerte versjonene av WSL, plugin-modulen og Defender for endepunkt. Du finner den på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

Installasjonstrinn

Hvis Windows-undersystem for Linux ikke er installert ennå, gjør du følgende:

  1. Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)

  2. Kjør kommandoen wsl -–install.

  3. Bekreft at WSL er installert og kjører.

    1. Bruk Terminal eller Ledetekst, kjør wsl –-update for å sikre at du har den nyeste versjonen.

    2. wsl Kjør kommandoen for å sikre at WSL kjører før testing.

  4. Installer plugin-modulen ved å følge disse trinnene:

    1. Installer MSI-filen som er lastet ned fra pålastingsdelen i Microsoft Defender-portalen (Innstilling> avpålasting> av >endepunkterWindows-undersystem for Linux 2 (plugin-modul)).

    2. Åpne en ledetekst/terminal, og kjør wsl.

    Du kan distribuere pakken ved hjelp av Microsoft Intune.

Obs!

Hvis WslService den kjører, stopper den under installasjonsprosessen. Du trenger ikke å gå om bord i delsystemet separat. I stedet blir plugin-modulen automatisk innebygd i tenanten som Windows-verten er pålastet til. Microsoft Defender for endepunkt oppdatering for plugin-modulen for WSL KB Update.

Sjekkliste for installasjonsvalidering

  1. Etter oppdatering eller installasjon må du vente i minst fem minutter før plugin-modulen initialiserer og skriver loggutdata.

  2. Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)

  3. Kjør kommandoen: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Kjør kommandoen .\healthcheck.exe.

  5. Se gjennom detaljene i Defender og WSL, og kontroller at de samsvarer med eller overskrider følgende krav:

    • Plugin-modulversjon: 1.24.522.2
    • WSL-versjon: 2.0.7.0 eller nyere
    • Defender App-versjon: 101.24032.0007
    • Status for Defender-tilstand: Healthy

Angi proxy for Defender som kjører i WSL

Denne delen beskriver hvordan du konfigurerer proxy-tilkobling for plugin-modulen Defender for Endpoint. Hvis bedriften bruker en proxy til å gi tilkobling til Defender for Endpoint som kjører på Windows-verten, fortsetter du å lese for å finne ut om du må konfigurere den for plugin-modulen.

Hvis du vil bruke vertskonfigurasjonen windows EDR-telemetriproxy for MDE for WSL-plugin-modulen, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.

Hvis du vil bruke verten winhttp proxy-konfigurasjon for MDE for WSL plug-in, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.

Hvis du vil bruke vertsnettverket og nettverksproxyinnstillingen for MDE for WSL-programtillegg, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.

Obs!

WSL-forsvarer støtter bare http proxy.

Valg av plugin-modulproxy

Hvis vertsmaskinen inneholder flere proxy-innstillinger, velger plugin-modulen proxy-konfigurasjonene med følgende hierarki:

  1. Defender for statisk proxy-innstilling for endepunkt (TelemetryProxyServer).

  2. Winhttp proxy (konfigurert gjennom netsh kommando).

  3. Innstillinger for nettverks-& Internett-proxy.

Hvis vertsmaskinen for eksempel har både Winhttp proxy og Network & Internet proxy, velges Winhttp proxy plugin-modulen som proxy-konfigurasjon.

Obs!

Registernøkkelen DefenderProxyServer støttes ikke lenger. Følg trinnene som er beskrevet tidligere i denne artikkelen for å konfigurere plugin-modulen for proxy-modulen.

Tilkoblingstest for Defender for endepunkt som kjører i WSL

Tilkoblingstesten for Defender for Endpoint utløses når det er en proxy-endring på enheten og er planlagt å kjøre hver time.

Når du starter wsl-maskinen, venter du i 5 minutter og kjører healthcheck.exe (plassert på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools for resultatene av tilkoblingstesten). Hvis det lykkes, kan du se at tilkoblingstesten var vellykket. Hvis den mislykkes, kan du se at tilkoblingstesten invalid indikerte at klienttilkoblingen fra MDE plugin-modulen for WSL til Url-adresser for Defender for Endpoint-tjenesten mislyktes.

Obs!

Registernøkkelen ConnectivityTest støttes ikke lenger. Hvis du vil angi en proxy for bruk i WSL-beholdere (distribusjonene som kjører på delsystemet), kan du se Konfigurasjon av avanserte innstillinger i WSL.

Bekreft funksjonalitet og SOC-analytikeropplevelse

Når du har installert plugin-modulen, blir delsystemet og alle beholderne som kjører, pålastet til Microsoft Defender-portalen.

  1. Logg på Microsoft Defender-portalen, og åpne Enhet-visningen.

  2. Filtrer ved hjelp av koden WSL2.

    Skjermbilde som viser enhetslagerfilter

    Du kan se alle WSL-forekomster i miljøet med en aktiv Plugin-modul for Defender for Endpoint for WSL. Disse forekomstene representerer alle distribusjoner som kjører i WSL på en gitt vert. Vertsnavnet til en enhet samsvarer med Windows-verten. Den representeres imidlertid som en Linux-enhet.

  3. Åpne enhetssiden. Det finnes en kobling til hvor enheten driftes, i Oversikt-ruten . Med koblingen kan du forstå at enheten kjører på en Windows-vert. Deretter kan du pivotere til verten for videre undersøkelser og/eller svar.

    Skjermbilde som viser enhetsoversikt.

Tidslinjen fylles ut, på samme måte som Defender for Endpoint på Linux, med hendelser fra delsystemet (fil, prosess, nettverk). Du kan observere aktivitet og gjenkjenninger i tidslinjevisningen. Varsler og hendelser genereres også etter behov.

Konfigurere egendefinert kode for WSL-maskinen

Plugin-modulen tavler WSL-maskinen med koden WSL2. Hvis du eller organisasjonen trenger et egendefinert merke, følger du fremgangsmåten nedenfor:

  1. Åpne registeret Redaktør som administrator.

  2. Opprett en registernøkkel med følgende detaljer:

    • Navn: GROUP
    • Type: REG_SZ eller registerstreng
    • Verdi: Custom tag
    • Sti: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging
  3. Når registeret er angitt, starter du wsl på nytt ved hjelp av følgende fremgangsmåte:

    1. Åpne ledeteksten, og kjør kommandoen. wsl --shutdown

    2. wsl Kjør kommandoen.

  4. Vent i 5–10 minutter før portalen gjenspeiler endringene.

Obs!

Det egendefinerte kodesettet i registret vil bli etterfulgt av en _WSL2. Hvis for eksempel registerverdisettet er Microsoft, vil den egendefinerte koden være Microsoft_WSL2 og den samme vil være synlig i portalen.

Test plugin-modulen

Følg disse trinnene for å teste plugin-modulen etter installasjonen:

  1. Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)

  2. Kjør kommandoen wsl.

  3. Last ned og pakk ut skriptfilen fra https://aka.ms/MDE-Linux-EDR-DIY.

  4. Kjør kommandoen ./mde_linux_edr_diy.shi Linux-ledeteksten.

    Et varsel skal vises i portalen etter noen minutter for en gjenkjenning på WSL2-forekomsten.

    Obs!

    Det tar omtrent fem minutter før hendelsene vises på Microsoft Defender-portalen.

Behandle maskinen som om det var en vanlig Linux-vert i ditt miljø å utføre testing mot. Spesielt ønsker vi å få tilbakemelding om muligheten til å vise potensielt skadelig atferd ved hjelp av den nye plugin-modulen.

Avansert jakt

I Avansert jakt-skjemaet, under DeviceInfo tabellen, er det et nytt attributt HostDeviceId kalt som du kan bruke til å tilordne en WSL-forekomst til Windows-vertsenheten. Her er noen eksempler på jaktspørringer:

Få alle WSL-enhets-ID-er for gjeldende organisasjon/leier

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Få ID-er for WSL-enheter og tilhørende vertsenhets-ID-er

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Få en liste over WSL-enhets-ID-er der curl eller wget ble kjørt

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Feilsøking

Installasjonsfeil

Hvis du ser en feil under oppstart av WSL, for eksempel A fatal error was returned by plugin 'DefenderforEndpointPlug-in' Error code: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND, betyr det at plugin-modulen Defender for Endpoint for WSL-installasjonen er feil. Følg disse trinnene for å reparere den:

  1. Gå til Programmer>programmer og funksjoner i Kontrollpanel.

  2. Søk etter og velg Microsoft Defender for endepunkt plugin-modul for WSL. Velg deretter Reparer. Denne handlingen bør løse problemet ved å plassere de riktige filene i de forventede katalogene.

    Skjermbilde som viser MDE plugin-modul for WSL-reparasjonsalternativet i kontrollpanelet.

Kommandoen healthcheck.exe viser utdataene «Start WSL-distro med «bash»-kommando, og prøv på nytt om fem minutter.»

Skjermbilde som viser PowerShell-utdata.

  1. Åpne en terminalforekomst, og kjør kommandoen wsl.

  2. Vent i minst fem minutter før du kjører tilstandskontrollen på nytt.

Kommandoen healthcheck.exe viser kanskje utdataene «Venter på telemetri. Prøv på nytt om fem minutter.»

Skjermbilde som viser tilstandens telemetristatus.

Hvis denne feilen oppstår, venter du i fem minutter og kjører på nytt healthcheck.exe.

Du ser ingen enheter i Microsoft Defender-portalen, eller du ser ingen hendelser på tidslinjen

Kontroller følgende ting:

  • Hvis du ikke ser et maskinobjekt, må du kontrollere at det har gått tilstrekkelig tid før pålastingen fullføres (vanligvis opptil 10 minutter).

  • Pass på å bruke de riktige filtrene, og at du har de nødvendige tillatelsene tilordnet for å vise alle enhetsobjekter. (Er kontoen/gruppen for eksempel begrenset til en bestemt gruppe?)

  • Bruk tilstandskontrollverktøyet til å gi en oversikt over generell tilstand for programtillegg. Åpne Terminal, og kjør healthcheck.exe verktøyet fra %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

    Skjermbilde som viser status i PowerShell.

  • Aktiver tilkoblingstesten og se etter Defender for endepunkttilkobling i WSL. Hvis tilkoblingstesten mislykkes, kan du gi utdataene fra tilstandskontrollverktøyet til støtteteamet vårt.

Rapporter for tilkoblingstest "ugyldig" i tilstandskontroll

  • Hvis maskinen har et proxy-oppsett, kjører du kommandoen healthCheck --extendedProxy. Dette gir informasjon om hvilke proxy(er) som er angitt på maskinen, og om disse konfigurasjonene er ugyldige for WSL Defender.

    Utvid tilstandskontrollproxydokument

  • Hvis trinnene nevnt ovenfor ikke løser problemet, kan du inkludere følgende konfigurasjonsinnstillinger i .wslconfig plasseringen i WSL %UserProfile% og starte WSL på nytt. Du finner mer informasjon om innstillinger i WSL-innstillinger.

    I Windows 11

    
    # Settings apply across all Linux distros running on WSL 2
    [wsl2]
    
    dnsTunneling=true
    
    networkingMode=mirrored  
    

    I Windows 10

    # Settings apply across all Linux distros running on WSL 2
    [wsl2]
    
    dnsProxy=false
    
    

Tilkoblingsproblemer vedvarer

Samle inn nettverksloggene ved å følge disse trinnene:

  1. Åpne en hevet(administrator) PowerShell-ledetekst.

  2. Last ned og kjør: .\collect-networking-logs.ps1

    
    Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
    Set-ExecutionPolicy Bypass -Scope Process -Force
    .\collect-networking-logs.ps1
    
    
  3. Åpne en ny ledetekst, og kjør følgende kommando: wsl.

  4. Åpne en hevet ledetekst (administrator), og kjør følgende kommando: wsl --debug-shell.

  5. Kjør følgende i feilsøkingsskallet: mdatp connectivity test.

  6. Tillat at tilkoblingstesten fullføres.

  7. Stopp .ps1 kjørte i trinn 2.

  8. Del den genererte .zip-filen sammen med støttepakken som kan samles inn som nevnt i trinnene.

Samle inn en støttepakke

  1. Hvis du støter på andre utfordringer eller problemer, åpner du Terminal og kjører følgende kommandoer for å generere en støttepakke:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
    
    .\healthcheck.exe --supportBundle 
    

    Støttepakken finner du i banen som ble levert av den forrige kommandoen.

    Skjermbilde som viser status i PowerShell-utdata.

WSL1 vs WSL2

Microsoft Defender endepunkts plugin-modul for WSL støtter Linux-distribusjoner som kjører på WSL 2. Hvis de er knyttet til WSL 1, kan det oppstå problemer. Derfor anbefales det å deaktivere WSL 1. Hvis du vil gjøre dette med Intune-policyen, utfører du følgende trinn:

  1. Gå til administrasjonssenteret for Microsoft Intune.

  2. Gå tilKonfigurasjonsprofiler> for enheter>, opprett>ny policy.

  3. Velg Windows 10 og senere>Innstillingskatalog.

  4. Opprett et navn for den nye profilen, og søk etter Windows-undersystem for Linux for å se og legge til den fullstendige listen over tilgjengelige innstillinger.

  5. Angi Innstillingen Tillat WSL1 til Deaktivert for å sikre at bare WSL 2-fordelinger kan brukes.

    Alternativt, hvis du vil fortsette å bruke WSL 1 eller ikke bruke Intune Policy, kan du selektivt knytte de installerte distribusjonene til å kjøre på WSL 2, ved å kjøre kommandoen i PowerShell:

    wsl --set-version <YourDistroName> 2
    

    Hvis du vil at WSL 2 skal være standard WSL-versjon for nye distribusjoner som skal installeres i systemet, kjører du følgende kommando i PowerShell:

    wsl --set-default-version 2
    

Overstyr frigivelsesring

  • Plugin-modulen bruker Windows EDR-ringen som standard. Hvis du vil bytte til en tidligere ring, kan du angi OverrideReleaseRing ett av følgende under registret og starte WSL på nytt:

    • Navn: OverrideReleaseRing
    • Type: REG_SZ
    • Verdi: Dogfood or External or InsiderFast or Production
    • Bane: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL