Share via


Microsoft Defender voor Eindpunt-invoegtoepassing voor Windows-subsysteem voor Linux (WSL)

Van toepassing op:

Overzicht

Windows-subsysteem voor Linux (WSL) 2, dat de vorige versie van WSL vervangt (ondersteund door Microsoft Defender voor Eindpunt zonder een invoegtoepassing), biedt een Linux-omgeving die naadloos is geïntegreerd met Windows, maar is geïsoleerd met behulp van virtualisatietechnologie. Met de invoegtoepassing Defender voor Eindpunt voor WSL kan Defender voor Eindpunt meer inzicht bieden in alle actieve WSL-containers door deze aan te sluiten op het geïsoleerde subsysteem.

Bekende problemen en beperkingen

Houd rekening met het volgende voordat u begint:

  1. De invoegtoepassing biedt geen ondersteuning voor automatische updates voor versies die ouder zijn dan 0.24.426.1. Op versie 0.24.426.1 en hoger worden updates ondersteund via Windows Update in alle ringen. Updates via Windows Server Update-services (WSUS), System Center Configuration Manager (SCCM) en Microsoft Update-catalogus worden alleen ondersteund in de productiering om pakketstabiliteit te garanderen.

  2. Het duurt enkele minuten voordat de invoegtoepassing volledig is geïnstitueerde en tot 30 minuten voordat een WSL2-exemplaar zichzelf onboardt. Kortstondige WSL-containerinstanties kunnen ertoe leiden dat het WSL2-exemplaar niet wordt weergegeven in de Microsoft Defender portal (https://security.microsoft.com). Zodra een distributie lang genoeg is uitgevoerd (ten minste 30 minuten), wordt deze weergegeven.

  3. Het uitvoeren van een aangepaste kernel en een aangepaste kernel opdrachtregel wordt ondersteund in deze versie; De invoegtoepassing garandeert echter geen zichtbaarheid binnen WSL wanneer u een aangepaste kernel en een aangepaste kernel opdrachtregel uitvoert.

  4. Os-distributie wordt weergegeven geen op de pagina Apparaatoverzicht van het WSL-apparaat in Microsoft Defender portal.

  5. De invoegtoepassing wordt niet ondersteund op machines met ARM64-processor.

Softwarevereisten

  • WSL-versie 2.0.7 of hoger moet worden uitgevoerd met ten minste één actieve distributie.

    Voer uit wsl --update om te controleren of u de nieuwste versie gebruikt. Als wsl -–version er een versie wordt weergegeven die ouder is dan 2.0.7, voert u uit wsl -–update –pre-release om de meest recente update te downloaden.

  • Het Windows-clientapparaat moet worden toegevoegd aan Defender voor Eindpunt.

  • Op het Windows-clientapparaat moet Windows 10, versie 2004 en hoger (build 19044 en hoger) of Windows 11 worden uitgevoerd om de WSL-versies te ondersteunen die met de invoegtoepassing kunnen werken.

Namen van softwareonderdelen en installatiebestand

Installatieprogramma: DefenderPlugin-x64-0.24.426.1.msi. U kunt deze downloaden van de onboarding-pagina in de Microsoft Defender portal.

Installatiemappen:

  • %ProgramFiles%

  • %ProgramData%

Geïnstalleerde onderdelen:

  • DefenderforEndpointPlug-in.dll. Dit DLL-bestand is de bibliotheek voor het laden van Defender voor Eindpunt om te werken binnen WSL. U vindt deze op %ProgramFiles%\Microsoft Defender voor Eindpunt-invoegtoepassing voor WSL\plug-in.

  • healthcheck.exe. Dit programma controleert de status van Defender voor Eindpunt en stelt u in staat om de geïnstalleerde versies van WSL, invoegtoepassing en Defender voor Eindpunt te zien. U vindt deze op %ProgramFiles%\Microsoft Defender voor Eindpunt-invoegtoepassing voor WSL\tools.

Installatiestappen

Als uw Windows-subsysteem voor Linux nog niet is geïnstalleerd, voert u de volgende stappen uit:

  1. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  2. Voer de opdracht wsl -–install uit.

  3. Controleer of WSL is geïnstalleerd en wordt uitgevoerd.

    1. Voer uit wsl –-update met terminal of opdrachtprompt om te controleren of u de nieuwste versie hebt.

    2. Voer de wsl opdracht uit om ervoor te zorgen dat WSL wordt uitgevoerd voordat u gaat testen.

  4. Installeer de invoegtoepassing door de volgende stappen uit te voeren:

    1. Installeer het MSI-bestand dat is gedownload vanuit de sectie onboarding in de Microsoft Defender-portal (Instellingen>Eindpunten>Onboarding>Windows-subsysteem voor Linux 2 (invoegtoepassing)).

    2. Open een opdrachtprompt/terminal en voer uit wsl.

    U kunt het pakket implementeren met behulp van Microsoft Intune.

Opmerking

Als WslService wordt uitgevoerd, stopt deze tijdens het installatieproces. U hoeft het subsysteem niet afzonderlijk te onboarden; In plaats daarvan wordt de invoegtoepassing automatisch onboarding uitgevoerd naar de tenant waarvoor de Windows-host is onboarded.

Controlelijst voor installatievalidatie

  1. Wacht na de update of installatie ten minste vijf minuten totdat de invoegtoepassing volledig is geïnitialiseerd en logboekuitvoer heeft geschreven.

  2. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  3. Voer de opdracht uit: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Voer de opdracht .\healthcheck.exe uit.

  5. Controleer de details van Defender en WSL en zorg ervoor dat ze voldoen aan of voldoen aan de volgende vereisten:

    • Invoegtoepassingsversie: 0.24.426.1
    • WSL-versie: 2.0.7.0 of hoger
    • Versie van Defender-app: 701.00000.1509
    • Status van Defender: Healthy

Een proxy instellen voor Defender die wordt uitgevoerd in WSL

In deze sectie wordt beschreven hoe u proxyconnectiviteit configureert voor de Defender voor Eindpunt-invoegtoepassing. Als uw onderneming een proxy gebruikt om verbinding te bieden met Defender voor Eindpunt dat wordt uitgevoerd op de Windows-host, leest u verder om te bepalen of u deze moet configureren voor de invoegtoepassing.

Als u de configuratie van de host windows EDR-telemetrieproxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Als u de configuratie van de host winhttp-proxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Als u de instelling voor het hostnetwerk en de netwerkproxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Selectie van invoegtoepassingsproxy

Als uw hostcomputer meerdere proxy-instellingen bevat, selecteert de invoegtoepassing de proxyconfiguraties met de volgende hiërarchie:

  1. Instelling voor statische proxy van Defender voor Eindpunt (TelemetryProxyServer).

  2. Winhttp proxy (geconfigureerd via netsh opdracht).

  3. Netwerk & internetproxy-instellingen.

Voorbeeld: als uw hostcomputer zowel Winhttp-proxy als Netwerk-& internetproxy heeft, selecteert Winhttp proxy de invoegtoepassing als de proxyconfiguratie.

Opmerking

De DefenderProxyServer registersleutel wordt niet meer ondersteund. Volg de bovenstaande stappen om de proxy in de invoegtoepassing te configureren.

Connectiviteitstest voor Defender die wordt uitgevoerd in WSL

In de volgende procedure wordt beschreven hoe u kunt controleren of Defender in Endpoint in WSL een internetverbinding heeft.

  1. Open Register Editor als beheerder.

  2. Creatie een registersleutel met de volgende gegevens:

    • Naam: ConnectivityTest
    • Type: REG_DWORD
    • Waarde: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • Pad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  3. Zodra het register is ingesteld, start u wsl opnieuw met behulp van de volgende stappen:

    1. Open de opdrachtprompt en voer de opdracht uit, wsl --shutdown.

    2. Voer de opdracht wsl uit.

  4. Wacht 5 minuten en voer vervolgens uit healthcheck.exe (op %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools voor de resultaten van de connectiviteitstest).

    Als dit is gelukt, kunt u zien dat de connectiviteitstest is geslaagd. Als dit is mislukt, kunt u zien dat de connectiviteitstest invalid aangeeft dat de clientverbinding van WSL naar Defender for Endpoint-service-URL's mislukt.

Opmerking

Zie Geavanceerde instellingen configureren in WSL als u een proxy wilt instellen voor gebruik in WSL-containers (de distributies die worden uitgevoerd op het subsysteem).

Functionaliteit en SOC-analistervaring verifiëren

Na de installatie van de invoegtoepassing worden het subsysteem en alle actieve containers onboarding naar de Microsoft Defender portal.

  1. Meld u aan bij de Microsoft Defender-portal en open de weergave Apparaten.

  2. Filter met de tag WSL2.

Schermopname van het filter voor de apparaatinventaris

U kunt alle WSL-exemplaren in uw omgeving zien met een actieve Defender for Endpoint-invoegtoepassing voor WSL. Deze exemplaren vertegenwoordigen alle distributies die worden uitgevoerd in WSL op een bepaalde host. De hostnaam van een apparaat komt overeen met die van de Windows-host. Het wordt echter weergegeven als een Linux-apparaat.

  1. Open de apparaatpagina. In het deelvenster Overzicht ziet u een koppeling naar de locatie waar het apparaat wordt gehost. Met de koppeling kunt u begrijpen dat het apparaat wordt uitgevoerd op een Windows-host. U kunt vervolgens naar de host draaien voor verder onderzoek en/of antwoord.

    Schermopname van het apparaatoverzicht.

De tijdlijn wordt ingevuld, vergelijkbaar met Defender voor Eindpunt in Linux, met gebeurtenissen van binnen het subsysteem (bestand, proces, netwerk). U kunt activiteiten en detecties bekijken in de tijdlijnweergave. Waarschuwingen en incidenten worden ook naar behoren gegenereerd.

De invoegtoepassing testen

Voer de volgende stappen uit om de invoegtoepassing na de installatie te testen:

  1. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  2. Voer de opdracht wsl uit.

  3. Download en pak het scriptbestand uit https://aka.ms/LinuxDIY.

  4. Voer bij de Linux-prompt de opdracht ./mde_linux_edr_diy.shuit.

    Er moet na enkele minuten een waarschuwing worden weergegeven in de portal voor een detectie op het WSL2-exemplaar.

    Opmerking

    Het duurt ongeveer 5 minuten voordat de gebeurtenissen worden weergegeven in de Microsoft Defender portal.

Behandel de computer alsof deze een gewone Linux-host in uw omgeving is om tests uit te voeren. In het bijzonder willen we graag uw feedback ontvangen over de mogelijkheid om mogelijk schadelijk gedrag aan de oppervlakte te krijgen met behulp van de nieuwe invoegtoepassing.

Geavanceerd opsporen

In het schema Geavanceerde opsporing onder de tabel bevindt zich een nieuw kenmerk met de DeviceInfo naam HostDeviceId dat u kunt gebruiken om een WSL-exemplaar toe te wijzen aan het Windows-hostapparaat. Hier volgen enkele voorbeelden van opsporingsquery's:

Alle WSL-apparaat-id's ophalen voor de huidige organisatie/tenant

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

WSL-apparaat-id's en de bijbehorende hostapparaat-id's ophalen

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Een lijst met WSL-apparaat-id's ophalen waarop curl of wget is uitgevoerd

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Problemen oplossen

  1. Met de opdracht healthcheck.exe wordt de uitvoer 'WSL-distributie starten met de opdracht 'bash' weergegeven en probeer het binnen 5 minuten opnieuw.'

    Schermopname van PowerShell-uitvoer.

  2. Als de eerder genoemde fout optreedt, voert u de volgende stappen uit:

    1. Open een terminalexemplaren en voer de opdracht wsluit.

    2. Wacht ten minste 5 minuten voordat u de statuscontrole opnieuw uitvoert.

  3. Met de healthcheck.exe opdracht wordt mogelijk de uitvoer 'Wachten op telemetrie' weergegeven. Probeer het over 5 minuten opnieuw.

    Schermopname van statustelemetriestatus.

    Als deze fout optreedt, wacht u 5 minuten en voert u opnieuw uit healthcheck.exe.

  4. Als u geen apparaten ziet in de Microsoft Defender-portal of als u geen gebeurtenissen in de tijdlijn ziet, controleert u het volgende:

    • Als u een machineobject niet ziet, controleert u of er voldoende tijd is verstreken om de onboarding te voltooien (meestal maximaal 10 minuten).

    • Zorg ervoor dat u de juiste filters gebruikt en dat u de juiste machtigingen hebt toegewezen om alle apparaatobjecten weer te geven. (Is uw account/groep bijvoorbeeld beperkt tot een specifieke groep?)

    • Gebruik het hulpprogramma statuscontrole om een overzicht te geven van de algehele status van de invoegtoepassing. Open Terminal en voer het healthcheck.exe hulpprogramma uit vanuit %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

      Schermopname van de status in PowerShell.

    • Schakel de connectiviteitstest in en controleer op Defender for Endpoint-connectiviteit in WSL. Als de connectiviteitstest mislukt, geeft u de uitvoer van het hulpprogramma voor statuscontrole op aan mdeforwsl-preview@microsoft.com.

    • Als de connectiviteitstest 'ongeldig' rapporteert in de statuscontrole, neemt u de volgende configuratie-instellingen op in de in uw %UserProfile% WSL en start u deze .wslconfig opnieuw op. Meer informatie over instellingen vindt u in WSL-instellingen.

      • In Windows 11
        # Settings apply across all Linux distros running on WSL 2
        [wsl2]
        
        dnsTunneling=true
        
        networkingMode=mirrored  
        
      • In Windows 10
        # Settings apply across all Linux distros running on WSL 2
        [wsl2]
        
        dnsProxy=false
        
  5. Als u andere uitdagingen of problemen ondervindt, opent u Terminal en voert u de volgende opdrachten uit om een ondersteuningsbundel te genereren:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
    
    .\healthcheck.exe --supportBundle 
    

    De ondersteuningsbundel vindt u in het pad dat is opgegeven met de vorige opdracht.

    Schermopname van de status in PowerShell-uitvoer.

  6. Microsoft Defender Endpoint voor WSL ondersteunt Linux-distributies die worden uitgevoerd op WSL 2. Als ze zijn gekoppeld aan WSL 1, kunnen er problemen optreden. Daarom is het raadzaam om WSL 1 uit te schakelen. Voer de volgende stappen uit om dit te doen met het Intune-beleid:

    1. Ga naar het Microsoft Intune-beheercentrum.

    2. Ga naarApparaatconfiguratieprofielen>>Creatie>Nieuw beleid.

    3. Selecteer Windows 10 en hoger>Instellingencatalogus.

    4. Creatie een naam voor het nieuwe profiel en zoek naar Windows-subsysteem voor Linux om de volledige lijst met beschikbare instellingen weer te geven en toe te voegen.

    5. Stel de instelling WSL1 toestaan in op Uitgeschakeld om ervoor te zorgen dat alleen WSL 2-distributies kunnen worden gebruikt.

      Als u WSL 1 wilt blijven gebruiken of het Intune-beleid niet wilt gebruiken, kunt u de geïnstalleerde distributies selectief koppelen om te worden uitgevoerd op WSL 2 door de opdracht uit te voeren in PowerShell:

      wsl --set-version <YourDistroName> 2
      

      Als u WSL 2 wilt hebben als uw standaard WSL-versie voor nieuwe distributies die in het systeem moeten worden geïnstalleerd, voert u de volgende opdracht uit in PowerShell:

      wsl --set-default-version 2
      
  7. De invoegtoepassing maakt standaard gebruik van de Windows EDR-ring. Als u wilt overschakelen naar een eerdere ring, stelt OverrideReleaseRing u in het register in op een van de volgende en start u WSL opnieuw:

  • Naam: OverrideReleaseRing
  • Type: REG_SZ
  • Waarde: Dogfood or External or InsiderFast or Production
  • Pad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  1. Als u een fout ziet bij het starten van WSL, zoals 'Er is een fatale fout geretourneerd door de invoegtoepassing DefenderforEndpointPlug-in' Foutcode: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND, betekent dit dat de Installatie van Defender voor Eindpunt voor WSL defect is. Voer de volgende stappen uit om het te herstellen:

    1. Ga in Configuratiescherm naar Programma's>en onderdelen.

    2. Zoek en selecteer Microsoft Defender voor Eindpunt-invoegtoepassing voor WSL. Selecteer vervolgens Herstellen.

    Hiermee kunt u het probleem oplossen door de juiste bestanden in de verwachte mappen te plaatsen.

    Schermopname van MDE invoegtoepassing voor WSL-reparatieoptie in het configuratiescherm.