Delen via

Microsoft Defender voor Eindpunt-invoegtoepassing voor Windows-subsysteem voor Linux (WSL)

  • Artikel

Van toepassing op:

Overzicht

Windows-subsysteem voor Linux (WSL) 2, dat de vorige versie van WSL vervangt (ondersteund door Microsoft Defender voor Eindpunt zonder een invoegtoepassing), biedt een Linux-omgeving die naadloos is geïntegreerd met Windows, maar is geïsoleerd met behulp van virtualisatietechnologie. Met de invoegtoepassing Defender voor Eindpunt voor WSL kan Defender voor Eindpunt meer inzicht bieden in alle actieve WSL-containers door deze aan te sluiten op het geïsoleerde subsysteem.

Bekende problemen en beperkingen

Houd rekening met de volgende overwegingen voordat u begint:

  1. De invoegtoepassing biedt geen ondersteuning voor automatische updates voor versies die ouder zijn dan 1.24.522.2. Op versie 1.24.522.2 en hoger worden updates ondersteund via Windows Update in alle ringen. Updates via Windows Server Update-services (WSUS), System Center Configuration Manager (SCCM) en Microsoft Update-catalogus worden alleen ondersteund in de productiering om pakketstabiliteit te garanderen.

  2. Het duurt enkele minuten voordat de invoegtoepassing volledig is geïnstitueerde en tot 30 minuten voordat een WSL2-exemplaar zichzelf onboardt. Kortstondige WSL-containerinstanties kunnen ertoe leiden dat het WSL2-exemplaar niet wordt weergegeven in de Microsoft Defender portal (https://security.microsoft.com). Zodra een distributie lang genoeg is uitgevoerd (ten minste 30 minuten), wordt deze weergegeven.

  3. Het uitvoeren van een aangepaste kernel en een aangepaste kernel-opdrachtregel wordt niet ondersteund. Hoewel de invoegtoepassing het uitvoeren in die configuratie niet blokkeert, biedt deze geen garantie voor zichtbaarheid binnen WSL wanneer u een aangepaste kernel en aangepaste kernel opdrachtregel uitvoert. U wordt aangeraden dergelijke configuraties te blokkeren met behulp van Microsoft Intune wsl-instellingen.

  4. Besturingssysteemdistributie wordt geen weergegeven op de pagina Apparaatoverzicht van een WSL-apparaat in de Microsoft Defender portal.

  5. De invoegtoepassing wordt niet ondersteund op machines met ARM64-processor.

  6. De invoegtoepassing biedt inzicht in gebeurtenissen van WSL, maar andere functies, zoals antimalware, Threat and Vulnerability Management en antwoordopdrachten, zijn niet beschikbaar voor het logische WSL-apparaat.

Softwarevereisten

  • WSL-versie 2.0.7.0 of hoger moet worden uitgevoerd met ten minste één actieve distributie.

    Voer uit wsl --update om te controleren of u de nieuwste versie gebruikt. Als wsl -–version een versie wordt weergegeven die ouder is dan 2.0.7.0, voert u uit wsl -–update –pre-release om de meest recente update op te halen.

  • Het Windows-clientapparaat moet worden toegevoegd aan Defender voor Eindpunt.

  • Op het Windows-clientapparaat moet Windows 10, versie 2004 en hoger (build 19044 en hoger) of Windows 11 worden uitgevoerd om de WSL-versies te ondersteunen die met de invoegtoepassing kunnen werken.

Namen van softwareonderdelen en installatiebestand

Installatieprogramma: DefenderPlugin-x64-0.24.426.1.msi. U kunt deze downloaden van de onboarding-pagina in de Microsoft Defender portal. (Ga naar Instellingen>Eindpunten>Onboarding.)

Installatiemappen:

  • %ProgramFiles%

  • %ProgramData%

Geïnstalleerde onderdelen:

  • DefenderforEndpointPlug-in.dll. Dit DLL-bestand is de bibliotheek voor het laden van Defender voor Eindpunt om te werken binnen WSL. U vindt deze op %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

  • healthcheck.exe. Dit programma controleert de status van Defender voor Eindpunt en stelt u in staat om de geïnstalleerde versies van WSL, invoegtoepassing en Defender voor Eindpunt te zien. U vindt deze op %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

Installatiestappen

Als uw Windows-subsysteem voor Linux nog niet is geïnstalleerd, voert u de volgende stappen uit:

  1. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  2. Voer de opdracht wsl -–install uit.

  3. Controleer of WSL is geïnstalleerd en wordt uitgevoerd.

    1. Voer uit wsl –-update met terminal of opdrachtprompt om te controleren of u de nieuwste versie hebt.

    2. Voer de wsl opdracht uit om ervoor te zorgen dat WSL wordt uitgevoerd voordat u gaat testen.

  4. Installeer de invoegtoepassing door de volgende stappen uit te voeren:

    1. Installeer het MSI-bestand dat is gedownload vanuit de sectie onboarding in de Microsoft Defender-portal (Instellingen>Eindpunten>Onboarding>Windows-subsysteem voor Linux 2 (invoegtoepassing)).

    2. Open een opdrachtprompt/terminal en voer uit wsl.

    U kunt het pakket implementeren met behulp van Microsoft Intune.

Opmerking

Als WslService wordt uitgevoerd, stopt deze tijdens het installatieproces. U hoeft het subsysteem niet afzonderlijk te onboarden. In plaats daarvan wordt de invoegtoepassing automatisch onboarding uitgevoerd naar de tenant waarvoor de Windows-host is onboarding uitgevoerd.

Controlelijst voor installatievalidatie

  1. Wacht na de update of installatie ten minste vijf minuten totdat de invoegtoepassing volledig is geïnitialiseerd en logboekuitvoer heeft geschreven.

  2. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  3. Voer de opdracht uit: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Voer de opdracht .\healthcheck.exe uit.

  5. Controleer de details van Defender en WSL en zorg ervoor dat ze voldoen aan of voldoen aan de volgende vereisten:

    • Invoegtoepassingsversie: 1.24.522.2
    • WSL-versie: 2.0.7.0 of hoger
    • Versie van Defender-app: 101.24032.0007
    • Status van Defender: Healthy

Een proxy instellen voor Defender die wordt uitgevoerd in WSL

In deze sectie wordt beschreven hoe u proxyconnectiviteit configureert voor de Defender voor Eindpunt-invoegtoepassing. Als uw onderneming een proxy gebruikt om verbinding te bieden met Defender voor Eindpunt dat wordt uitgevoerd op de Windows-host, leest u verder om te bepalen of u deze moet configureren voor de invoegtoepassing.

Als u de configuratie van de host windows EDR-telemetrieproxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Als u de configuratie van de host winhttp-proxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Als u de instelling voor het hostnetwerk en de netwerkproxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Opmerking

WSL Defender ondersteunt alleen http proxy.

Selectie van invoegtoepassingsproxy

Als uw hostcomputer meerdere proxy-instellingen bevat, selecteert de invoegtoepassing de proxyconfiguraties met de volgende hiërarchie:

  1. Instelling voor statische proxy van Defender voor Eindpunt (TelemetryProxyServer).

  2. Winhttp proxy (geconfigureerd via netsh opdracht).

  3. Netwerk & internetproxy-instellingen.

Als uw hostcomputer bijvoorbeeld zowel als Winhttp proxyNetwork & Internet proxyheeft, selecteert Winhttp proxy de invoegtoepassing als proxyconfiguratie.

Opmerking

De DefenderProxyServer registersleutel wordt niet meer ondersteund. Volg de stappen die eerder in dit artikel zijn beschreven om de proxy in de invoegtoepassing te configureren.

Connectiviteitstest voor Defender die wordt uitgevoerd in WSL

De Defender-connectiviteitstest wordt geactiveerd wanneer er een proxywijziging op uw apparaat is en wordt elk uur uitgevoerd.

Wacht bij het starten van uw wsl-machine 5 minuten en voer vervolgens uit healthcheck.exe (op %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools voor de resultaten van de connectiviteitstest). Als dit is gelukt, kunt u zien dat de connectiviteitstest is geslaagd. Als dit mislukt, kunt u zien dat de connectiviteitstest invalid aangeeft dat de clientverbinding van MDE-invoegtoepassing voor WSL naar Defender for Endpoint-service-URL's mislukt.

Opmerking

De ConnectivityTest registersleutel wordt niet meer ondersteund. Zie Geavanceerde instellingen configureren in WSL als u een proxy wilt instellen voor gebruik in WSL-containers (de distributies die worden uitgevoerd op het subsysteem).

Functionaliteit en SOC-analistervaring verifiëren

Na de installatie van de invoegtoepassing worden het subsysteem en alle actieve containers onboarding naar de Microsoft Defender portal.

  1. Meld u aan bij de Microsoft Defender-portal en open de weergave Apparaten.

  2. Filter met de tag WSL2.

    Schermopname van het filter voor de apparaatinventaris

    U kunt alle WSL-exemplaren in uw omgeving zien met een actieve Defender for Endpoint-invoegtoepassing voor WSL. Deze exemplaren vertegenwoordigen alle distributies die worden uitgevoerd in WSL op een bepaalde host. De hostnaam van een apparaat komt overeen met die van de Windows-host. Het wordt echter weergegeven als een Linux-apparaat.

  3. Open de apparaatpagina. In het deelvenster Overzicht ziet u een koppeling naar de locatie waar het apparaat wordt gehost. Met de koppeling kunt u begrijpen dat het apparaat wordt uitgevoerd op een Windows-host. U kunt vervolgens naar de host draaien voor verder onderzoek en/of antwoord.

    Schermopname van het apparaatoverzicht.

De tijdlijn wordt ingevuld, vergelijkbaar met Defender voor Eindpunt in Linux, met gebeurtenissen van binnen het subsysteem (bestand, proces, netwerk). U kunt activiteiten en detecties bekijken in de tijdlijnweergave. Waarschuwingen en incidenten worden ook naar behoren gegenereerd.

Aangepaste tag instellen voor uw WSL-computer

De invoegtoepassing onboardt de WSL-machine met de tag WSL2. Als u of uw organisatie een aangepaste tag nodig heeft, volgt u de onderstaande stappen:

  1. Open Register Editor als beheerder.

  2. Maak een registersleutel met de volgende details:

    • Naam: GROUP
    • Type: REG_SZ of registertekenreeks
    • Waarde: Custom tag
    • Pad: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging

  3. Zodra het register is ingesteld, start u wsl opnieuw met behulp van de volgende stappen:

    1. Open de opdrachtprompt en voer de opdracht uit, wsl --shutdown.

    2. Voer de opdracht wsl uit.

  4. Wacht 5-10 minuten totdat de wijzigingen in de portal worden weergegeven.

Opmerking

De aangepaste tag die in het register is ingesteld, wordt gevolgd door een _WSL2. Als de registerwaardeset bijvoorbeeld is Microsoftingesteld, wordt Microsoft_WSL2 de aangepaste tag en wordt hetzelfde weergegeven in de portal.

De invoegtoepassing testen

Voer de volgende stappen uit om de invoegtoepassing na de installatie te testen:

  1. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  2. Voer de opdracht wsl uit.

  3. Download en pak het scriptbestand uit https://aka.ms/MDE-Linux-EDR-DIY.

  4. Voer bij de Linux-prompt de opdracht ./mde_linux_edr_diy.shuit.

    Er moet na enkele minuten een waarschuwing worden weergegeven in de portal voor een detectie op het WSL2-exemplaar.

    Opmerking

    Het duurt ongeveer vijf minuten voordat de gebeurtenissen worden weergegeven in de Microsoft Defender portal.

Behandel de computer alsof deze een gewone Linux-host in uw omgeving is om tests uit te voeren. In het bijzonder willen we graag uw feedback ontvangen over de mogelijkheid om mogelijk schadelijk gedrag aan de oppervlakte te krijgen met behulp van de nieuwe invoegtoepassing.

Geavanceerd opsporen

In het schema Geavanceerde opsporing onder de tabel bevindt zich een nieuw kenmerk met de DeviceInfo naam HostDeviceId dat u kunt gebruiken om een WSL-exemplaar toe te wijzen aan het Windows-hostapparaat. Hier volgen enkele voorbeelden van opsporingsquery's:

Alle WSL-apparaat-id's ophalen voor de huidige organisatie/tenant

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

WSL-apparaat-id's en de bijbehorende hostapparaat-id's ophalen

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Een lijst met WSL-apparaat-id's ophalen waarop curl of wget is uitgevoerd

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Problemen oplossen

Met de opdracht healthcheck.exe wordt de uitvoer 'WSL-distributie starten met de opdracht 'bash' weergegeven en probeer het binnen vijf minuten opnieuw.

Schermopname van PowerShell-uitvoer.

  1. Open een terminalexemplaren en voer de opdracht wsluit.

  2. Wacht ten minste vijf minuten voordat u de statuscontrole opnieuw uitvoert.

Met de healthcheck.exe opdracht wordt mogelijk de uitvoer 'Wachten op telemetrie' weergegeven. Probeer het over vijf minuten opnieuw.

Schermopname van statustelemetriestatus.

Als deze fout optreedt, wacht u vijf minuten en voert u opnieuw uit healthcheck.exe.

U ziet geen apparaten in de Microsoft Defender portal of u ziet geen gebeurtenissen in de tijdlijn

Controleer het volgende:

  • Als u een machineobject niet ziet, controleert u of er voldoende tijd is verstreken om de onboarding te voltooien (meestal maximaal 10 minuten).

  • Zorg ervoor dat u de juiste filters gebruikt en dat u de juiste machtigingen hebt toegewezen om alle apparaatobjecten weer te geven. (Is uw account/groep bijvoorbeeld beperkt tot een specifieke groep?)

  • Gebruik het hulpprogramma statuscontrole om een overzicht te geven van de algehele status van de invoegtoepassing. Open Terminal en voer het healthcheck.exe hulpprogramma uit vanuit %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

    Schermopname van de status in PowerShell.

  • Schakel de connectiviteitstest in en controleer op Defender for Endpoint-connectiviteit in WSL. Als de connectiviteitstest mislukt, geeft u de uitvoer van het hulpprogramma voor statuscontrole op aan ons ondersteuningsteam.

Connectiviteitstest meldt 'ongeldig' in statuscontrole

  • Als uw computer een proxy-installatie heeft, voert u de opdracht healthCheck --extendedProxyuit. Dit geeft informatie over welke proxy(s) is ingesteld op uw computer en of deze configuraties ongeldig zijn voor WSL Defender.

    HealthCheck Proxy-document uitbreiden

  • Als de bovenstaande stappen het probleem niet oplossen, neemt u de volgende configuratie-instellingen op in de in uw %UserProfile% WSL en start u het .wslconfig opnieuw op. Meer informatie over instellingen vindt u in WSL-instellingen.

    In Windows 11

    
# Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored

    In Windows 10

    # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

Verbindingsproblemen blijven bestaan

Verzamel de netwerklogboeken door deze stappen uit te voeren:

  1. Open een PowerShell-prompt met verhoogde bevoegdheid (beheerder).

  2. Downloaden en uitvoeren: .\collect-networking-logs.ps1

    
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
Set-ExecutionPolicy Bypass -Scope Process -Force
.\collect-networking-logs.ps1

  3. Open een nieuwe opdrachtprompt en voer de volgende opdracht uit: wsl.

  4. Open een opdrachtprompt met verhoogde bevoegdheid (beheerder) en voer de volgende opdracht uit: wsl --debug-shell.

  5. Voer in de foutopsporingsshell het volgende uit: mdatp connectivity test.

  6. Toestaan dat de connectiviteitstest wordt voltooid.

  7. Stop de .ps1 is uitgevoerd in stap 2.

  8. Deel het gegenereerde .zip-bestand samen met de ondersteuningsbundel die kan worden verzameld zoals vermeld in de stappen.

Een ondersteuningsbundel verzamelen

  1. Als u andere uitdagingen of problemen ondervindt, opent u Terminal en voert u de volgende opdrachten uit om een ondersteuningsbundel te genereren:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    De ondersteuningsbundel vindt u in het pad dat is opgegeven met de vorige opdracht.

    Schermopname van de status in PowerShell-uitvoer.

  2. Microsoft Defender Endpoint voor WSL ondersteunt Linux-distributies die worden uitgevoerd op WSL 2. Als ze zijn gekoppeld aan WSL 1, kunnen er problemen optreden. Daarom is het raadzaam om WSL 1 uit te schakelen. Voer de volgende stappen uit om dit te doen met het Intune-beleid:

    1. Ga naar het Microsoft Intune-beheercentrum.

    2. Ga naar Apparaten>Configuratieprofielen>Nieuw beleidmaken>.

    3. Selecteer Windows 10 en hoger>Instellingencatalogus.

    4. Maak een naam voor het nieuwe profiel en zoek naar Windows-subsysteem voor Linux om de volledige lijst met beschikbare instellingen weer te geven en toe te voegen.

    5. Stel de instelling WSL1 toestaan in op Uitgeschakeld om ervoor te zorgen dat alleen WSL 2-distributies kunnen worden gebruikt.

      Als u WSL 1 wilt blijven gebruiken of het Intune-beleid niet wilt gebruiken, kunt u de geïnstalleerde distributies selectief koppelen om te worden uitgevoerd op WSL 2 door de opdracht uit te voeren in PowerShell:

      wsl --set-version <YourDistroName> 2

      Als u WSL 2 wilt hebben als uw standaard WSL-versie voor nieuwe distributies die in het systeem moeten worden geïnstalleerd, voert u de volgende opdracht uit in PowerShell:

      wsl --set-default-version 2

  3. De invoegtoepassing maakt standaard gebruik van de Windows EDR-ring. Als u wilt overschakelen naar een eerdere ring, stelt OverrideReleaseRing u in het register in op een van de volgende en start u WSL opnieuw:

    • Naam: OverrideReleaseRing
    • Type: REG_SZ
    • Waarde: Dogfood or External or InsiderFast or Production
    • Pad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  4. Als u een fout ziet bij het starten van WSL, zoals 'Er is een fatale fout geretourneerd door de invoegtoepassing DefenderforEndpointPlug-in' Foutcode: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND, betekent dit dat de Installatie van Defender voor Eindpunt voor WSL defect is. Voer de volgende stappen uit om het te herstellen:

    1. Ga in Configuratiescherm naar Programma's>en onderdelen.

    2. Zoek en selecteer Microsoft Defender voor Eindpunt-invoegtoepassing voor WSL. Selecteer vervolgens Herstellen. Met deze actie wordt het probleem opgelost door de juiste bestanden in de verwachte mappen te plaatsen.

      Schermopname van MDE invoegtoepassing voor WSL-reparatieoptie in het configuratiescherm.