Microsoft Defender voor Eindpunt-invoegtoepassing voor Windows-subsysteem voor Linux (WSL)
Van toepassing op:
- Plan 2 voor Microsoft Defender voor Eindpunt
- Windows 11
- Windows 10 versie 2004 en hoger (build 19044 en hoger)
Windows-subsysteem voor Linux (WSL) 2, dat de vorige versie van WSL vervangt (ondersteund door Microsoft Defender voor Eindpunt zonder een invoegtoepassing), biedt een Linux-omgeving die naadloos is geïntegreerd met Windows, maar is geïsoleerd met behulp van virtualisatietechnologie. Met de invoegtoepassing Defender voor Eindpunt voor WSL kan Defender voor Eindpunt meer inzicht bieden in alle actieve WSL-containers door deze aan te sluiten op het geïsoleerde subsysteem.
Houd rekening met de volgende overwegingen voordat u begint:
De invoegtoepassing biedt geen ondersteuning voor automatische updates voor versies die ouder zijn dan
1.24.522.2
. Op versie1.24.522.2
en hoger. Updates worden ondersteund via Windows Update in alle ringen. Updates via Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) en Microsoft Update-catalogus worden alleen ondersteund in de productiering om pakketstabiliteit te garanderen.Het duurt enkele minuten voordat de invoegtoepassing volledig is geïnstitueerde en tot 30 minuten voordat een WSL2-exemplaar zichzelf onboardt. Kortstondige WSL-containerinstanties kunnen ertoe leiden dat het WSL2-exemplaar niet wordt weergegeven in de Microsoft Defender portal (https://security.microsoft.com). Wanneer een distributie lang genoeg is uitgevoerd (ten minste 30 minuten), wordt deze wel weergegeven.
Het uitvoeren van een aangepaste kernel en een aangepaste kernel-opdrachtregel wordt niet ondersteund. Hoewel de invoegtoepassing het uitvoeren in die configuratie niet blokkeert, biedt deze geen garantie voor zichtbaarheid binnen WSL wanneer u een aangepaste kernel en aangepaste kernel opdrachtregel uitvoert. We raden u aan dergelijke configuraties te blokkeren met Microsoft Intune wsl-instellingen.
De invoegtoepassing wordt niet ondersteund op computers met een ARM64-processor.
De invoegtoepassing biedt inzicht in gebeurtenissen van WSL, maar andere functies, zoals antimalware, Threat and Vulnerability Management en antwoordopdrachten, zijn niet beschikbaar voor het logische WSL-apparaat.
WSL-versie
2.0.7.0
of hoger moet worden uitgevoerd met ten minste één actieve distributie. Voer uitwsl --update
om te controleren of u de nieuwste versie gebruikt. Alswsl -–version
een versie wordt weergegeven die ouder is dan2.0.7.0
, voert u uitwsl -–update –pre-release
om de meest recente update op te halen.Het Windows-clientapparaat moet worden toegevoegd aan Defender voor Eindpunt.
Op het Windows-clientapparaat moet Windows 10, versie 2004 en hoger (build 19044 en hoger) of Windows 11 worden uitgevoerd om de WSL-versies te ondersteunen die met de invoegtoepassing kunnen werken.
Installatieprogramma: DefenderPlugin-x64-0.24.426.1.msi
. U kunt deze downloaden van de onboarding-pagina in de Microsoft Defender portal. (Ga naar Instellingen>Eindpunten>Onboarding.)
Installatiemappen:
%ProgramFiles%
%ProgramData%
Geïnstalleerde onderdelen:
DefenderforEndpointPlug-in.dll
. Dit DLL-bestand is de bibliotheek voor het laden van Defender voor Eindpunt om te werken binnen WSL. U vindt deze op%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in
.healthcheck.exe
. Dit programma controleert de status van Defender voor Eindpunt en stelt u in staat om de geïnstalleerde versies van WSL, invoegtoepassing en Defender voor Eindpunt te zien. U vindt deze op%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.
Als uw Windows-subsysteem voor Linux nog niet is geïnstalleerd, voert u de volgende stappen uit:
Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)
Voer de opdracht
wsl -–install
uit.Controleer of WSL is geïnstalleerd en wordt uitgevoerd.
Voer uit
wsl –-update
met terminal of opdrachtprompt om te controleren of u de nieuwste versie hebt.Voer de
wsl
opdracht uit om ervoor te zorgen dat WSL wordt uitgevoerd voordat u gaat testen.
Installeer de invoegtoepassing door de volgende stappen uit te voeren:
Installeer het MSI-bestand dat is gedownload vanuit de sectie onboarding in de Microsoft Defender-portal (Instellingen>Eindpunten>Onboarding>Windows-subsysteem voor Linux 2 (invoegtoepassing)).
Open een opdrachtprompt/terminal en voer uit
wsl
.
U kunt het pakket implementeren met behulp van Microsoft Intune.
Notitie
Als WslService
wordt uitgevoerd, stopt deze tijdens het installatieproces. U hoeft het subsysteem niet afzonderlijk te onboarden. In plaats daarvan wordt de invoegtoepassing automatisch onboarding uitgevoerd naar de tenant waarvoor de Windows-host is onboarding uitgevoerd.
Microsoft Defender voor Eindpunt update voor invoegtoepassing voor WSL KB Update.
Wacht na de update of installatie ten minste vijf minuten totdat de invoegtoepassing volledig is geïnitialiseerd en logboekuitvoer heeft geschreven.
Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)
Voer de opdracht uit:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Voer de opdracht
.\healthcheck.exe
uit.Controleer de details van Defender en WSL en zorg ervoor dat ze voldoen aan of voldoen aan de volgende vereisten:
-
Invoegtoepassingsversie:
1.24.522.2
-
WSL-versie:
2.0.7.0
of hoger -
Versie van Defender-app:
101.24032.0007
-
Status van Defender:
Healthy
-
Invoegtoepassingsversie:
In deze sectie wordt beschreven hoe u proxyconnectiviteit configureert voor de Defender voor Eindpunt-invoegtoepassing. Als uw onderneming een proxy gebruikt om verbinding te bieden met Defender voor Eindpunt dat wordt uitgevoerd op de Windows-host, leest u verder om te bepalen of u deze moet configureren voor de invoegtoepassing.
Als u de configuratie van de host windows EDR-telemetrieproxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.
Als u de configuratie van de host winhttp-proxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.
Als u de instelling voor het hostnetwerk en de netwerkproxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.
Notitie
WSL Defender ondersteunt alleen http
proxy.
Als uw hostcomputer meerdere proxy-instellingen bevat, selecteert de invoegtoepassing de proxyconfiguraties met de volgende hiërarchie:
Instelling voor statische proxy van Defender voor Eindpunt (
TelemetryProxyServer
).Winhttp
proxy (geconfigureerd vianetsh
opdracht).Netwerk & internetproxy-instellingen.
Als uw hostcomputer bijvoorbeeld zowel als Winhttp proxy
Network & Internet proxy
heeft, selecteert Winhttp proxy
de invoegtoepassing als proxyconfiguratie.
Notitie
De DefenderProxyServer
registersleutel wordt niet meer ondersteund. Volg de stappen die eerder in dit artikel zijn beschreven om de proxy in de invoegtoepassing te configureren.
De Defender voor Eindpunt-connectiviteitstest wordt geactiveerd wanneer er een proxywijziging op uw apparaat is en wordt elk uur uitgevoerd.
Wacht bij het starten van uw wsl-machine 5 minuten en voer vervolgens uit healthcheck.exe
(op %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
voor de resultaten van de connectiviteitstest). Als dit is gelukt, kunt u zien dat de connectiviteitstest is geslaagd. Als dit mislukt, kunt u zien dat de connectiviteitstest invalid
aangeeft dat de clientverbinding van MDE-invoegtoepassing voor WSL naar Defender for Endpoint-service-URL's mislukt.
Notitie
De ConnectivityTest
registersleutel wordt niet meer ondersteund.
Zie Geavanceerde instellingen configureren in WSL als u een proxy wilt instellen voor gebruik in WSL-containers (de distributies die worden uitgevoerd op het subsysteem).
Na de installatie van de invoegtoepassing worden het subsysteem en alle actieve containers onboarding naar de Microsoft Defender portal.
Meld u aan bij de Microsoft Defender-portal en open de weergave Apparaten.
Filter met de tag WSL2.
U kunt alle WSL-exemplaren in uw omgeving zien met een actieve Defender for Endpoint-invoegtoepassing voor WSL. Deze exemplaren vertegenwoordigen alle distributies die worden uitgevoerd in WSL op een bepaalde host. De hostnaam van een apparaat komt overeen met die van de Windows-host. Het wordt echter weergegeven als een Linux-apparaat.
Open de apparaatpagina. In het deelvenster Overzicht ziet u een koppeling naar de locatie waar het apparaat wordt gehost. Met de koppeling kunt u begrijpen dat het apparaat wordt uitgevoerd op een Windows-host. U kunt vervolgens naar de host draaien voor verder onderzoek en/of antwoord.
De tijdlijn wordt ingevuld, vergelijkbaar met Defender voor Eindpunt in Linux, met gebeurtenissen van binnen het subsysteem (bestand, proces, netwerk). U kunt activiteiten en detecties bekijken in de tijdlijnweergave. Waarschuwingen en incidenten worden ook naar behoren gegenereerd.
De invoegtoepassing onboardt de WSL-machine met de tag WSL2
. Als u of uw organisatie een aangepaste tag nodig heeft, volgt u de onderstaande stappen:
Open Register Editor als beheerder.
Maak een registersleutel met de volgende details:
- Naam:
GROUP
- Type:
REG_SZ
of registertekenreeks - Waarde:
Custom tag
- Pad:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging
- Naam:
Zodra het register is ingesteld, start u wsl opnieuw met behulp van de volgende stappen:
Open de opdrachtprompt en voer de opdracht uit,
wsl --shutdown
.Voer de opdracht
wsl
uit.
Wacht 5-10 minuten totdat de wijzigingen in de portal worden weergegeven.
Notitie
De aangepaste tag die in het register is ingesteld, wordt gevolgd door een _WSL2
.
Als de registerwaardeset bijvoorbeeld is Microsoft
ingesteld, wordt Microsoft_WSL2
de aangepaste tag en wordt hetzelfde weergegeven in de portal.
Voer de volgende stappen uit om de invoegtoepassing na de installatie te testen:
Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)
Voer de opdracht
wsl
uit.Download en pak het scriptbestand uit https://aka.ms/MDE-Linux-EDR-DIY.
Voer bij de Linux-prompt de opdracht
./mde_linux_edr_diy.sh
uit.Er moet na enkele minuten een waarschuwing worden weergegeven in de portal voor een detectie op het WSL2-exemplaar.
Notitie
Het duurt ongeveer vijf minuten voordat de gebeurtenissen worden weergegeven in de Microsoft Defender portal.
Behandel de computer alsof deze een gewone Linux-host in uw omgeving is om tests uit te voeren. In het bijzonder willen we graag uw feedback ontvangen over de mogelijkheid om mogelijk schadelijk gedrag aan de oppervlakte te krijgen met behulp van de nieuwe invoegtoepassing.
In het schema Geavanceerde opsporing onder de tabel bevindt zich een nieuw kenmerk met de DeviceInfo
naam HostDeviceId
dat u kunt gebruiken om een WSL-exemplaar toe te wijzen aan het Windows-hostapparaat. Hier volgen enkele voorbeelden van opsporingsquery's:
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Als u een fout ziet bij het starten van WSL, zoals A fatal error was returned by plugin 'DefenderforEndpointPlug-in' Error code: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND
, betekent dit dat de Defender for Endpoint-invoegtoepassing voor WSL-installatie defect is. Voer de volgende stappen uit om het te herstellen:
Ga in Configuratiescherm naar Programma's>en onderdelen.
Zoek en selecteer Microsoft Defender voor Eindpunt-invoegtoepassing voor WSL. Selecteer vervolgens Herstellen. Met deze actie wordt het probleem opgelost door de juiste bestanden in de verwachte mappen te plaatsen.
Met de opdracht healthcheck.exe
wordt de uitvoer 'WSL-distributie starten met de opdracht 'bash' weergegeven en probeer het binnen vijf minuten opnieuw.
Open een terminalexemplaren en voer de opdracht
wsl
uit.Wacht ten minste vijf minuten voordat u de statuscontrole opnieuw uitvoert.
Met de healthcheck.exe
opdracht wordt mogelijk de uitvoer 'Wachten op telemetrie' weergegeven. Probeer het over vijf minuten opnieuw.
Als deze fout optreedt, wacht u vijf minuten en voert u opnieuw uit healthcheck.exe
.
Controleer het volgende:
Als u een machineobject niet ziet, controleert u of er voldoende tijd is verstreken om de onboarding te voltooien (meestal maximaal 10 minuten).
Zorg ervoor dat u de juiste filters gebruikt en dat u de juiste machtigingen hebt toegewezen om alle apparaatobjecten weer te geven. (Is uw account/groep bijvoorbeeld beperkt tot een specifieke groep?)
Gebruik het hulpprogramma statuscontrole om een overzicht te geven van de algehele status van de invoegtoepassing. Open Terminal en voer het
healthcheck.exe
hulpprogramma uit vanuit%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.Schakel de connectiviteitstest in en controleer op Defender for Endpoint-connectiviteit in WSL. Als de connectiviteitstest mislukt, geeft u de uitvoer van het hulpprogramma voor statuscontrole op aan ons ondersteuningsteam.
Als uw computer een proxy-installatie heeft, voert u de opdracht
healthCheck --extendedProxy
uit. Dit geeft informatie over welke proxy(s) is ingesteld op uw computer en of deze configuraties ongeldig zijn voor WSL Defender.Als de bovenstaande stappen het probleem niet oplossen, neemt u de volgende configuratie-instellingen op in de in uw
%UserProfile%
WSL en start u het.wslconfig
opnieuw op. Meer informatie over instellingen vindt u in WSL-instellingen.In Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
In Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
Verzamel de netwerklogboeken door deze stappen uit te voeren:
Open een PowerShell-prompt met verhoogde bevoegdheid (beheerder).
Downloaden en uitvoeren:
.\collect-networking-logs.ps1
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1 Set-ExecutionPolicy Bypass -Scope Process -Force .\collect-networking-logs.ps1
Open een nieuwe opdrachtprompt en voer de volgende opdracht uit:
wsl
.Open een opdrachtprompt met verhoogde bevoegdheid (beheerder) en voer de volgende opdracht uit:
wsl --debug-shell
.Voer in de foutopsporingsshell het volgende uit:
mdatp connectivity test
.Toestaan dat de connectiviteitstest wordt voltooid.
Stop de .ps1 is uitgevoerd in stap 2.
Deel het gegenereerde .zip-bestand samen met de ondersteuningsbundel die kan worden verzameld zoals vermeld in de stappen.
Als u andere uitdagingen of problemen ondervindt, opent u Terminal en voert u de volgende opdrachten uit om een ondersteuningsbundel te genereren:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
De ondersteuningsbundel vindt u in het pad dat is opgegeven met de vorige opdracht.
Microsoft Defender Eindpuntinvoegtoepassing voor WSL ondersteunt Linux-distributies die worden uitgevoerd op WSL 2. Als ze zijn gekoppeld aan WSL 1, kunnen er problemen optreden. Daarom is het raadzaam om WSL 1 uit te schakelen. Voer de volgende stappen uit om dit te doen met het Intune-beleid:
Ga naar het Microsoft Intune-beheercentrum.
Ga naar Apparaten>Configuratieprofielen>Nieuw beleidmaken>.
Selecteer Windows 10 en hoger>Instellingencatalogus.
Maak een naam voor het nieuwe profiel en zoek naar Windows-subsysteem voor Linux om de volledige lijst met beschikbare instellingen weer te geven en toe te voegen.
Stel de instelling WSL1 toestaan in op Uitgeschakeld om ervoor te zorgen dat alleen WSL 2-distributies kunnen worden gebruikt.
Als u WSL 1 wilt blijven gebruiken of het Intune-beleid niet wilt gebruiken, kunt u de geïnstalleerde distributies selectief koppelen om te worden uitgevoerd op WSL 2 door de opdracht uit te voeren in PowerShell:
wsl --set-version <YourDistroName> 2
Als u WSL 2 wilt hebben als uw standaard WSL-versie voor nieuwe distributies die in het systeem moeten worden geïnstalleerd, voert u de volgende opdracht uit in PowerShell:
wsl --set-default-version 2
De invoegtoepassing maakt standaard gebruik van de Windows EDR-ring. Als u wilt overschakelen naar een eerdere ring, stelt
OverrideReleaseRing
u in het register in op een van de volgende en start u WSL opnieuw:-
Naam:
OverrideReleaseRing
-
Type:
REG_SZ
-
Waarde:
Dogfood or External or InsiderFast or Production
-
Pad:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
-
Naam: