Microsoft Defender for endepunkt plugin-modul for Windows-undersystem for Linux (WSL)
Gjelder for:
- Microsoft Defender for endepunkt plan 2
- Windows 11
- Windows 10, versjon 2004 og nyere (bygg 19044 og nyere)
Oversikt
Windows-undersystem for Linux (WSL) 2, som erstatter den forrige versjonen av WSL (støttet av Microsoft Defender for endepunkt uten plugin-modul), gir et Linux-miljø som er sømløst integrert med Windows, men som likevel er isolert ved hjelp av virtualiseringsteknologi. Plugin-modulen Defender for Endpoint for WSL gjør det mulig for Defender for Endpoint å gi mer synlighet i alle WSL-beholdere som kjører, ved å koble til det isolerte delsystemet.
Kjente problemer og begrensninger
Vær oppmerksom på følgende vurderinger før du begynner:
Plugin-modulen støtter ikke automatiske oppdateringer på versjoner før
1.24.522.2
. På versjon1.24.522.2
og nyere. Oppdateringer støttes gjennom Windows Update på tvers av alle ringer. Oppdateringer gjennom Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) og Microsoft Update-katalogen støttes bare i produksjonsringen for å sikre pakkestabilitet.Det tar noen minutter før plugin-modulen instansieres fullstendig, og opptil 30 minutter for en WSL2-forekomst til selve modulen. Kortvarige WSL-beholderforekomster kan føre til at WSL2-forekomsten ikke vises i Microsoft Defender portal (https://security.microsoft.com). Når en distribusjon har kjørt lenge nok (minst 30 minutter), vises den.
Kjøring av en egendefinert kjerne og egendefinert kjernekommandolinje støttes ikke. Selv om plugin-modulen ikke blokkerer kjøring i denne konfigurasjonen, garanterer den ikke synlighet i WSL når du kjører en egendefinert kjerne og egendefinert kjernekommandolinje. Vi anbefaler at du blokkerer slike konfigurasjoner med Microsoft Intune wsl-innstillinger.
Plugin-modulen støttes ikke på maskiner med en ARM64-prosessor.
Plugin-modulen gir innsyn i hendelser fra WSL, men andre funksjoner som beskyttelse mot skadelig programvare, Håndtering av trusler og sikkerhetsproblemer og svarkommandoer er ikke tilgjengelige for den logiske WSL-enheten.
Forutsetninger for programvare
WSL-versjon
2.0.7.0
eller nyere må kjøres med minst én aktiv distro. Kjørwsl --update
for å sikre at du har den nyeste versjonen. Hviswsl -–version
viser en versjon som er eldre enn2.0.7.0
, kjørerwsl -–update –pre-release
du for å få den nyeste oppdateringen.Windows-klientenheten må være koblet til Defender for endepunkt.
Windows-klientenheten må kjøre Windows 10, versjon 2004 og nyere (bygg 19044 og nyere) eller Windows 11 for å støtte WSL-versjonene som kan fungere med plugin-modulen.
Programvarekomponenter og installasjonsfilnavn
Installasjonsprogram: DefenderPlugin-x64-0.24.426.1.msi
. Du kan laste den ned fra pålastingssiden i Microsoft Defender-portalen. (Gå til Innstillinger>Endepunktene>Pålasting.)
Installasjonskataloger:
%ProgramFiles%
%ProgramData%
Komponenter installert:
DefenderforEndpointPlug-in.dll
. Denne DLL-filen er biblioteket for innlasting av Defender for at endepunktet skal fungere i WSL. Du finner den på%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in
.healthcheck.exe
. Dette programmet kontrollerer tilstandsstatusen til Defender for endepunkt og lar deg se de installerte versjonene av WSL, plugin-modulen og Defender for endepunkt. Du finner den på%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.
Installasjonstrinn
Hvis Windows-undersystem for Linux ikke er installert ennå, gjør du følgende:
Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)
Kjør kommandoen
wsl -–install
.Bekreft at WSL er installert og kjører.
Bruk Terminal eller Ledetekst, kjør
wsl –-update
for å sikre at du har den nyeste versjonen.wsl
Kjør kommandoen for å sikre at WSL kjører før testing.
Installer plugin-modulen ved å følge disse trinnene:
Installer MSI-filen som er lastet ned fra pålastingsdelen i Microsoft Defender-portalen (Innstilling> avpålasting> av >endepunkterWindows-undersystem for Linux 2 (plugin-modul)).
Åpne en ledetekst/terminal, og kjør
wsl
.
Obs!
Hvis WslService
den kjører, stopper den under installasjonsprosessen. Du trenger ikke å gå om bord i delsystemet separat. I stedet blir plugin-modulen automatisk innebygd i tenanten som Windows-verten er pålastet til.
Microsoft Defender for endepunkt oppdatering for plugin-modulen for WSL KB Update.
Sjekkliste for installasjonsvalidering
Etter oppdatering eller installasjon må du vente i minst fem minutter før plugin-modulen initialiserer og skriver loggutdata.
Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)
Kjør kommandoen:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Kjør kommandoen
.\healthcheck.exe
.Se gjennom detaljene i Defender og WSL, og kontroller at de samsvarer med eller overskrider følgende krav:
-
Plugin-modulversjon:
1.24.522.2
-
WSL-versjon:
2.0.7.0
eller nyere -
Defender App-versjon:
101.24032.0007
-
Status for Defender-tilstand:
Healthy
-
Plugin-modulversjon:
Angi proxy for Defender som kjører i WSL
Denne delen beskriver hvordan du konfigurerer proxy-tilkobling for plugin-modulen Defender for Endpoint. Hvis bedriften bruker en proxy til å gi tilkobling til Defender for Endpoint som kjører på Windows-verten, fortsetter du å lese for å finne ut om du må konfigurere den for plugin-modulen.
Hvis du vil bruke vertskonfigurasjonen windows EDR-telemetriproxy for MDE for WSL-plugin-modulen, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.
Hvis du vil bruke verten winhttp proxy-konfigurasjon for MDE for WSL plug-in, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.
Hvis du vil bruke vertsnettverket og nettverksproxyinnstillingen for MDE for WSL-programtillegg, kreves det ikke noe mer. Denne konfigurasjonen tas i bruk av plugin-modulen automatisk.
Obs!
WSL-forsvarer støtter bare http
proxy.
Valg av plugin-modulproxy
Hvis vertsmaskinen inneholder flere proxy-innstillinger, velger plugin-modulen proxy-konfigurasjonene med følgende hierarki:
Defender for statisk proxy-innstilling for endepunkt (
TelemetryProxyServer
).Winhttp
proxy (konfigurert gjennomnetsh
kommando).Innstillinger for nettverks-& Internett-proxy.
Hvis vertsmaskinen for eksempel har både Winhttp proxy
og Network & Internet proxy
, velges Winhttp proxy
plugin-modulen som proxy-konfigurasjon.
Obs!
Registernøkkelen DefenderProxyServer
støttes ikke lenger. Følg trinnene som er beskrevet tidligere i denne artikkelen for å konfigurere plugin-modulen for proxy-modulen.
Tilkoblingstest for Defender for endepunkt som kjører i WSL
Tilkoblingstesten for Defender for Endpoint utløses når det er en proxy-endring på enheten og er planlagt å kjøre hver time.
Når du starter wsl-maskinen, venter du i 5 minutter og kjører healthcheck.exe
(plassert på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
for resultatene av tilkoblingstesten). Hvis det lykkes, kan du se at tilkoblingstesten var vellykket. Hvis den mislykkes, kan du se at tilkoblingstesten invalid
indikerte at klienttilkoblingen fra MDE plugin-modulen for WSL til Url-adresser for Defender for Endpoint-tjenesten mislyktes.
Obs!
Registernøkkelen ConnectivityTest
støttes ikke lenger.
Hvis du vil angi en proxy for bruk i WSL-beholdere (distribusjonene som kjører på delsystemet), kan du se Konfigurasjon av avanserte innstillinger i WSL.
Bekreft funksjonalitet og SOC-analytikeropplevelse
Når du har installert plugin-modulen, blir delsystemet og alle beholderne som kjører, pålastet til Microsoft Defender-portalen.
Logg på Microsoft Defender-portalen, og åpne Enhet-visningen.
Filtrer ved hjelp av koden WSL2.
Du kan se alle WSL-forekomster i miljøet med en aktiv Plugin-modul for Defender for Endpoint for WSL. Disse forekomstene representerer alle distribusjoner som kjører i WSL på en gitt vert. Vertsnavnet til en enhet samsvarer med Windows-verten. Den representeres imidlertid som en Linux-enhet.
Åpne enhetssiden. Det finnes en kobling til hvor enheten driftes, i Oversikt-ruten . Med koblingen kan du forstå at enheten kjører på en Windows-vert. Deretter kan du pivotere til verten for videre undersøkelser og/eller svar.
Tidslinjen fylles ut, på samme måte som Defender for Endpoint på Linux, med hendelser fra delsystemet (fil, prosess, nettverk). Du kan observere aktivitet og gjenkjenninger i tidslinjevisningen. Varsler og hendelser genereres også etter behov.
Konfigurere egendefinert kode for WSL-maskinen
Plugin-modulen tavler WSL-maskinen med koden WSL2
. Hvis du eller organisasjonen trenger et egendefinert merke, følger du fremgangsmåten nedenfor:
Åpne registeret Redaktør som administrator.
Opprett en registernøkkel med følgende detaljer:
- Navn:
GROUP
- Type:
REG_SZ
eller registerstreng - Verdi:
Custom tag
- Sti:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging
- Navn:
Når registeret er angitt, starter du wsl på nytt ved hjelp av følgende fremgangsmåte:
Åpne ledeteksten, og kjør kommandoen.
wsl --shutdown
wsl
Kjør kommandoen.
Vent i 5–10 minutter før portalen gjenspeiler endringene.
Obs!
Det egendefinerte kodesettet i registret vil bli etterfulgt av en _WSL2
.
Hvis for eksempel registerverdisettet er Microsoft
, vil den egendefinerte koden være Microsoft_WSL2
og den samme vil være synlig i portalen.
Test plugin-modulen
Følg disse trinnene for å teste plugin-modulen etter installasjonen:
Åpne Terminal eller Ledetekst. (Gå til Start> i WindowsLedetekst. Du kan også høyreklikke på startknappen og deretter velge Terminal.)
Kjør kommandoen
wsl
.Last ned og pakk ut skriptfilen fra https://aka.ms/MDE-Linux-EDR-DIY.
Kjør kommandoen
./mde_linux_edr_diy.sh
i Linux-ledeteksten.Et varsel skal vises i portalen etter noen minutter for en gjenkjenning på WSL2-forekomsten.
Obs!
Det tar omtrent fem minutter før hendelsene vises på Microsoft Defender-portalen.
Behandle maskinen som om det var en vanlig Linux-vert i ditt miljø å utføre testing mot. Spesielt ønsker vi å få tilbakemelding om muligheten til å vise potensielt skadelig atferd ved hjelp av den nye plugin-modulen.
Avansert jakt
I Avansert jakt-skjemaet, under DeviceInfo
tabellen, er det et nytt attributt HostDeviceId
kalt som du kan bruke til å tilordne en WSL-forekomst til Windows-vertsenheten. Her er noen eksempler på jaktspørringer:
Få alle WSL-enhets-ID-er for gjeldende organisasjon/leier
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
Få ID-er for WSL-enheter og tilhørende vertsenhets-ID-er
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
Få en liste over WSL-enhets-ID-er der curl eller wget ble kjørt
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Feilsøking
Installasjonsfeil
Hvis du ser en feil under oppstart av WSL, for eksempel A fatal error was returned by plugin 'DefenderforEndpointPlug-in' Error code: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND
, betyr det at plugin-modulen Defender for Endpoint for WSL-installasjonen er feil. Følg disse trinnene for å reparere den:
Gå til Programmer>programmer og funksjoner i Kontrollpanel.
Søk etter og velg Microsoft Defender for endepunkt plugin-modul for WSL. Velg deretter Reparer. Denne handlingen bør løse problemet ved å plassere de riktige filene i de forventede katalogene.
Kommandoen healthcheck.exe
viser utdataene «Start WSL-distro med «bash»-kommando, og prøv på nytt om fem minutter.»
Åpne en terminalforekomst, og kjør kommandoen
wsl
.Vent i minst fem minutter før du kjører tilstandskontrollen på nytt.
Kommandoen healthcheck.exe
viser kanskje utdataene «Venter på telemetri. Prøv på nytt om fem minutter.»
Hvis denne feilen oppstår, venter du i fem minutter og kjører på nytt healthcheck.exe
.
Du ser ingen enheter i Microsoft Defender-portalen, eller du ser ingen hendelser på tidslinjen
Kontroller følgende ting:
Hvis du ikke ser et maskinobjekt, må du kontrollere at det har gått tilstrekkelig tid før pålastingen fullføres (vanligvis opptil 10 minutter).
Pass på å bruke de riktige filtrene, og at du har de nødvendige tillatelsene tilordnet for å vise alle enhetsobjekter. (Er kontoen/gruppen for eksempel begrenset til en bestemt gruppe?)
Bruk tilstandskontrollverktøyet til å gi en oversikt over generell tilstand for programtillegg. Åpne Terminal, og kjør
healthcheck.exe
verktøyet fra%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.Aktiver tilkoblingstesten og se etter Defender for endepunkttilkobling i WSL. Hvis tilkoblingstesten mislykkes, kan du gi utdataene fra tilstandskontrollverktøyet til støtteteamet vårt.
Rapporter for tilkoblingstest "ugyldig" i tilstandskontroll
Hvis maskinen har et proxy-oppsett, kjører du kommandoen
healthCheck --extendedProxy
. Dette gir informasjon om hvilke proxy(er) som er angitt på maskinen, og om disse konfigurasjonene er ugyldige for WSL Defender.Hvis trinnene nevnt ovenfor ikke løser problemet, kan du inkludere følgende konfigurasjonsinnstillinger i
.wslconfig
plasseringen i WSL%UserProfile%
og starte WSL på nytt. Du finner mer informasjon om innstillinger i WSL-innstillinger.I Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
I Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
Tilkoblingsproblemer vedvarer
Samle inn nettverksloggene ved å følge disse trinnene:
Åpne en hevet(administrator) PowerShell-ledetekst.
Last ned og kjør:
.\collect-networking-logs.ps1
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1 Set-ExecutionPolicy Bypass -Scope Process -Force .\collect-networking-logs.ps1
Åpne en ny ledetekst, og kjør følgende kommando:
wsl
.Åpne en hevet ledetekst (administrator), og kjør følgende kommando:
wsl --debug-shell
.Kjør følgende i feilsøkingsskallet:
mdatp connectivity test
.Tillat at tilkoblingstesten fullføres.
Stopp .ps1 kjørte i trinn 2.
Del den genererte .zip-filen sammen med støttepakken som kan samles inn som nevnt i trinnene.
Samle inn en støttepakke
Hvis du støter på andre utfordringer eller problemer, åpner du Terminal og kjører følgende kommandoer for å generere en støttepakke:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
Støttepakken finner du i banen som ble levert av den forrige kommandoen.
WSL1 vs WSL2
Microsoft Defender endepunkts plugin-modul for WSL støtter Linux-distribusjoner som kjører på WSL 2. Hvis de er knyttet til WSL 1, kan det oppstå problemer. Derfor anbefales det å deaktivere WSL 1. Hvis du vil gjøre dette med Intune-policyen, utfører du følgende trinn:
Gå tilKonfigurasjonsprofiler> for enheter>, opprett>ny policy.
Velg Windows 10 og senere>Innstillingskatalog.
Opprett et navn for den nye profilen, og søk etter Windows-undersystem for Linux for å se og legge til den fullstendige listen over tilgjengelige innstillinger.
Angi Innstillingen Tillat WSL1 til Deaktivert for å sikre at bare WSL 2-fordelinger kan brukes.
Alternativt, hvis du vil fortsette å bruke WSL 1 eller ikke bruke Intune Policy, kan du selektivt knytte de installerte distribusjonene til å kjøre på WSL 2, ved å kjøre kommandoen i PowerShell:
wsl --set-version <YourDistroName> 2
Hvis du vil at WSL 2 skal være standard WSL-versjon for nye distribusjoner som skal installeres i systemet, kjører du følgende kommando i PowerShell:
wsl --set-default-version 2
Overstyr frigivelsesring
Plugin-modulen bruker Windows EDR-ringen som standard. Hvis du vil bytte til en tidligere ring, kan du angi
OverrideReleaseRing
ett av følgende under registret og starte WSL på nytt:-
Navn:
OverrideReleaseRing
-
Type:
REG_SZ
-
Verdi:
Dogfood or External or InsiderFast or Production
-
Bane:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
-
Navn: