Microsoft Defender voor Eindpunt-invoegtoepassing voor Windows-subsysteem voor Linux (WSL)

  • Artikel

Overzicht

De Windows-subsysteem voor Linux (WSL) 2, die de vorige versie van WSL vervangt (ondersteund door Microsoft Defender voor Eindpunt zonder een invoegtoepassing), biedt een Linux-omgeving die naadloos is geïntegreerd met Windows, maar toch is geïsoleerd met behulp van virtualisatietechnologie. De invoegtoepassing Microsoft Defender voor Eindpunt voor Windows-subsysteem voor Linux 2 (WSL) stelt Defender voor Eindpunt in staat om meer inzicht te bieden in alle actieve WSL-containers door deze aan te sluiten op het geïsoleerde subsysteem.

Bekende problemen en beperkingen

Houd rekening met het volgende voordat u begint:

  1. De invoegtoepassing biedt geen ondersteuning voor automatische updates voor versies die ouder zijn dan 0.24.426.1. Op versie 0.24.426.1 en hoger worden updates ondersteund via Windows Update in alle ringen. Updates via Windows Server Update-services (WSUS), System Center Configuration Manager (SCCM) en Microsoft Update-catalogus worden alleen ondersteund in de productiering om pakketstabiliteit te garanderen.

  2. Omdat het enkele minuten duurt voordat de invoegtoepassing volledig is geïnstitueerde en tot 30 minuten voordat een WSL2-exemplaar zichzelf onboardt, kunnen kortdurende WSL-containerexemplaren ertoe leiden dat het WSL2-exemplaar niet wordt weergegeven in de Microsoft Defender portal (https://security.microsoft.com). Zodra een (een) distributie lang genoeg is uitgevoerd (ten minste 30 minuten), wordt deze weergegeven.

  3. Het uitvoeren van een aangepaste kernel en een aangepaste kernel-opdrachtregel wordt ondersteund in deze versie. De invoegtoepassing biedt echter geen garanties met betrekking tot de zichtbaarheid binnen WSL bij het uitvoeren van een aangepaste kernel en een aangepaste kernel opdrachtregel.

Softwarevereisten

  • WSL-versie 2.0.7 of hoger moet worden uitgevoerd met ten minste één actieve distributie.

    Voer uit wsl --update om te controleren of u de nieuwste versie gebruikt. Als wsl -–version er een versie wordt weergegeven die ouder is dan 2.0.7, voert u uit wsl -–update –pre-release om de meest recente update te downloaden.

  • Defender voor Eindpunt moet worden ge onboardd en uitgevoerd op het Windows-host-besturingssysteem.

  • Het hostbesturingssysteem moet Windows 10 Client, versie 2004 en hoger (build 19044 en hoger) of Windows 11 Client uitvoeren om de Windows-subsysteem voor Linux versies te ondersteunen die met de invoegtoepassing kunnen werken.

Namen van softwareonderdelen en installatiebestand

Installatieprogramma: DefenderPlugin-x64-0.24.426.1.msi. U kunt deze downloaden van de onboarding-pagina in de Microsoft Defender portal.

Installatiemappen:

  • %ProgramFiles%

  • %ProgramData%

Geïnstalleerde onderdelen:

  • DefenderforEndpointPlug-in.dll. Dit DLL-bestand is de bibliotheek voor het laden van Defender voor Eindpunt om te werken binnen WSL. U vindt deze op %ProgramFiles%\Microsoft Defender voor Eindpunt-invoegtoepassing voor WSL\plug-in.

  • healthcheck.exe. Dit programma controleert de status van Defender voor Eindpunt en stelt u in staat om de geïnstalleerde versies van WSL, invoegtoepassing en Defender voor Eindpunt te zien. U vindt deze op %ProgramFiles%\Microsoft Defender voor Eindpunt-invoegtoepassing voor WSL\tools.

Installatiestappen

Als uw Windows-subsysteem voor Linux nog niet is geïnstalleerd, voert u de volgende stappen uit:

  1. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  2. Voer de opdracht wsl -–install uit.

    1. Controleer of WSL is geïnstalleerd en wordt uitgevoerd

    1. Voer uit wsl –-update met terminal of opdrachtprompt om te controleren of u de nieuwste versie hebt.

    2. Voer de wsl opdracht uit om ervoor te zorgen dat WSL wordt uitgevoerd voordat u gaat testen.

    2. De invoegtoepassing installeren

    Nadat WSL wordt uitgevoerd en volledig up-to-date is, volgt u deze stappen om de invoegtoepassing te installeren:

    1. Installeer het MSI-bestand dat is gedownload vanuit de sectie onboarding in de Microsoft Defender-portal (Instellingen>Eindpunten>Onboarding>Windows-subsysteem voor Linux 2 (invoegtoepassing)).

    2. Open een opdrachtprompt/terminal en voer uit wsl.

    U kunt het pakket implementeren met behulp van Microsoft Intune.

Opmerking

Als WslService wordt uitgevoerd, stopt deze tijdens het installatieproces. U hoeft het subsysteem niet afzonderlijk te onboarden; In plaats daarvan wordt de invoegtoepassing automatisch onboarding uitgevoerd naar de tenant waarvoor de Windows-host is onboarded.

Controlelijst voor installatievalidatie

  1. Wacht na de update of installatie ten minste vijf minuten totdat de invoegtoepassing volledig is geïnitialiseerd en logboekuitvoer heeft geschreven.

  2. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  3. Voer de opdracht uit: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Voer de opdracht .\healthcheck.exe uit.

  5. Controleer de details van Defender en WSL en zorg ervoor dat ze voldoen aan of voldoen aan de volgende vereisten:

    • Invoegtoepassingsversie: 0.24.426.1
    • WSL-versie: 2.0.7.0 of hoger
    • Versie van Defender-app: 701.00000.1509
    • Status van Defender: Healthy

Een proxy instellen voor Defender die wordt uitgevoerd in WSL

In deze sectie wordt beschreven hoe u proxyconnectiviteit configureert voor de Defender voor Eindpunt-invoegtoepassing. Als uw onderneming een proxy gebruikt om verbinding te bieden met Defender voor Eindpunt dat wordt uitgevoerd op de Windows-host, leest u verder om te bepalen of u deze moet configureren voor de invoegtoepassing.

Als u de configuratie van de host windows EDR-telemetrieproxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Als u de configuratie van de host winhttp-proxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Als u de instelling voor het hostnetwerk en de netwerkproxy wilt gebruiken voor MDE voor de WSL-invoegtoepassing, is er niets meer vereist. Deze configuratie wordt automatisch overgenomen door de invoegtoepassing.

Selectie van invoegtoepassingsproxy

Als uw hostcomputer meerdere proxy-instellingen bevat, selecteert de invoegtoepassing de proxyconfiguraties met de volgende hiërarchie:

  1. Instelling voor statische proxy van Defender voor Eindpunt (TelemetryProxyServer).

  2. Winhttp proxy (geconfigureerd via netsh opdracht).

  3. Netwerk & internetproxy-instellingen.

Voorbeeld: als uw hostcomputer zowel Winhttp-proxy als Netwerk-& internetproxy heeft, selecteert Winhttp proxy de invoegtoepassing als de proxyconfiguratie.

Opmerking

De DefenderProxyServer registersleutel wordt niet meer ondersteund. Volg de bovenstaande stappen om de proxy in de invoegtoepassing te configureren.

Connectiviteitstest voor Defender die wordt uitgevoerd in WSL

In de volgende procedure wordt beschreven hoe u kunt controleren of Defender in Endpoint in WSL een internetverbinding heeft.

  1. Open Register Editor als beheerder.

  2. Creatie een registersleutel met de volgende gegevens:

    • Naam: ConnectivityTest
    • Type: REG_DWORD
    • Waarde: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • Pad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  3. Zodra het register is ingesteld, start u wsl opnieuw met behulp van de volgende stappen:

    1. Open de opdrachtprompt en voer de opdracht uit, wsl --shutdown.

    2. Voer de opdracht wsl uit.

  4. Wacht 5 minuten en voer vervolgens uit healthcheck.exe (op %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools voor de resultaten van de connectiviteitstest).

    Als dit is gelukt, kunt u zien dat de connectiviteitstest is geslaagd.

Opmerking

Zie Geavanceerde instellingen configureren in WSL als u een proxy wilt instellen voor gebruik in WSL-containers (de distributies die worden uitgevoerd op het subsysteem).

Functionaliteit en SOC-analistervaring verifiëren

Na de installatie van de invoegtoepassing worden het subsysteem en alle actieve containers onboarding naar de Microsoft Defender portal.

  1. Meld u aan bij de Microsoft Defender-portal en open de weergave Apparaten.

  2. Filter met de tag WSL2.

Schermopname van het filter voor de apparaatinventaris

U kunt alle WSL-exemplaren in uw omgeving zien met een actieve Defender for Endpoint-invoegtoepassing voor WSL. Deze exemplaren vertegenwoordigen alle distributies die worden uitgevoerd in WSL op een bepaalde host. De hostnaam van een apparaat komt overeen met die van de Windows-host. Het wordt echter weergegeven als een Linux-apparaat.

  1. Open de apparaatpagina. In het deelvenster Overzicht ziet u een koppeling naar de locatie waar het apparaat wordt gehost. Met de koppeling kunt u begrijpen dat het apparaat wordt uitgevoerd op een Windows-host. U kunt vervolgens naar de host draaien voor verder onderzoek en/of antwoord.

    Schermopname van het apparaatoverzicht.

De tijdlijn wordt ingevuld, vergelijkbaar met Defender voor Eindpunt in Linux, met gebeurtenissen van binnen het subsysteem (bestand, proces, netwerk). U kunt activiteiten en detecties bekijken in de tijdlijnweergave. Waarschuwingen en incidenten worden ook naar behoren gegenereerd.

De invoegtoepassing testen

Voer de volgende stappen uit om de invoegtoepassing na de installatie te testen:

  1. Open terminal of opdrachtprompt. (Ga in Windows naar Start>Opdrachtprompt. Of klik met de rechtermuisknop op de startknop en selecteer terminal.)

  2. Voer de opdracht wsl uit.

  3. Download en pak het scriptbestand uit https://aka.ms/LinuxDIY.

  4. Voer bij de Linux-prompt de opdracht ./mde_linux_edr_diy.shuit.

    Er moet na enkele minuten een waarschuwing worden weergegeven in de portal voor een detectie op het WSL2-exemplaar.

    Opmerking

    Het duurt ongeveer 5 minuten voordat de gebeurtenissen worden weergegeven in de Microsoft Defender portal

Behandel de computer alsof deze een gewone Linux-host in uw omgeving is om tests uit te voeren. In het bijzonder willen we graag uw feedback ontvangen over de mogelijkheid om mogelijk schadelijk gedrag aan de oppervlakte te krijgen met behulp van de nieuwe invoegtoepassing.

Geavanceerd opsporen

In het schema Geavanceerde opsporing onder de tabel bevindt zich een nieuw kenmerk met de DeviceInfo naam HostDeviceId dat u kunt gebruiken om een WSL-exemplaar toe te wijzen aan het Windows-hostapparaat. Hier volgen enkele voorbeelden van opsporingsquery's:

Alle WSL-apparaat-id's ophalen voor de huidige organisatie/tenant

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

WSL-apparaat-id's en de bijbehorende hostapparaat-id's ophalen

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Een lijst met WSL-apparaat-id's ophalen waarop curl of wget is uitgevoerd

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Probleemoplossing

  1. Met de opdracht healthcheck.exe wordt de uitvoer 'WSL-distributie starten met de opdracht 'bash' weergegeven en probeer het binnen 5 minuten opnieuw.'

    Schermopname van PowerShell-uitvoer.

  2. Als de eerder genoemde fout optreedt, voert u de volgende stappen uit:

    1. Open een terminalexemplaren en voer de opdracht wsluit.

    2. Wacht ten minste 5 minuten voordat u de statuscontrole opnieuw uitvoert.

  3. Met de healthcheck.exe opdracht wordt mogelijk de uitvoer 'Wachten op telemetrie' weergegeven. Probeer het over 5 minuten opnieuw.

    Schermopname van statustelemetriestatus.

    Als deze fout optreedt, wacht u 5 minuten en voert u opnieuw uit healthcheck.exe.

  4. Als u geen apparaten ziet in de Microsoft Defender-portal of als u geen gebeurtenissen in de tijdlijn ziet, controleert u het volgende:

    • Als u een machineobject niet ziet, controleert u of er voldoende tijd is verstreken om de onboarding te voltooien (meestal maximaal 10 minuten).

    • Zorg ervoor dat u de juiste filters gebruikt en dat u de juiste machtigingen hebt toegewezen om alle apparaatobjecten weer te geven. (Is uw account/groep bijvoorbeeld beperkt tot een specifieke groep?)

    • Gebruik het hulpprogramma statuscontrole om een overzicht te geven van de algehele status van de invoegtoepassing. Open Terminal en voer het healthcheck.exe hulpprogramma uit vanuit %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

      Schermopname van de status in PowerShell.

  • Schakel de connectiviteitstest in en controleer op Defender for Endpoint-connectiviteit in WSL. Als de connectiviteitstest mislukt, geeft u de uitvoer van het hulpprogramma voor statuscontrole op aan mdeforwsl-preview@microsoft.com.

  1. Als u andere uitdagingen of problemen ondervindt, opent u de terminal en voert u de volgende opdrachten uit om de ondersteuningsbundel te genereren:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    De ondersteuningsbundel vindt u in het pad dat is opgegeven met de vorige opdracht.

    Schermopname van de status in PowerShell-uitvoer.

  2. Microsoft Defender Endpoint voor WSL ondersteunt Linux-distributies die worden uitgevoerd op WSL 2. Als ze zijn gekoppeld aan WSL 1, kunnen er problemen optreden. Daarom is het raadzaam om WSL 1 uit te schakelen. Voer de volgende stappen uit om dit te doen met het Intune-beleid:

    1. Ga naar de portal van het Microsoft Intune-beheercentrum.

    2. Ga naarApparaatconfiguratieprofielen>>Creatie>Nieuw beleid.

    3. Selecteer Windows 10 en hoger>Instellingencatalogus.

    4. Creatie een naam voor het nieuwe profiel en zoek naar Windows-subsysteem voor Linux om de volledige lijst met beschikbare instellingen weer te geven en toe te voegen.

    5. Stel de instelling WSL1 toestaan in op Uitgeschakeld om ervoor te zorgen dat alleen WSL 2-distributies kunnen worden gebruikt.

    Als u WSL 1 wilt blijven gebruiken of het Intune-beleid niet wilt gebruiken, kunt u de geïnstalleerde distributies selectief koppelen om te worden uitgevoerd op WSL 2 door de opdracht uit te voeren in PowerShell:

    wsl --set-version <YourDistroName> 2

    Als u WSL 2 wilt hebben als uw standaard WSL-versie voor nieuwe distributies die in het systeem moeten worden geïnstalleerd, voert u de volgende opdracht uit in PowerShell:

    wsl --set-default-version 2

  3. De invoegtoepassing maakt standaard gebruik van de Windows EDR-ring. Als u wilt overschakelen naar een eerdere ring, stelt OverrideReleaseRing u in het register in op een van de volgende en start u wsl opnieuw:

    • Naam: OverrideReleaseRing
    • Type: REG_SZ
    • Waarde: Dogfood or External or InsiderFast or Production
    • Pad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL