Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Sprawdź, czy instalacja zakończyła się pomyślnie

Błąd podczas instalacji może lub nie może spowodować znaczącego komunikatu o błędzie przez menedżera pakietów. Aby sprawdzić, czy instalacja zakończyła się pomyślnie, uzyskaj i sprawdź dzienniki instalacji przy użyciu następujących elementów:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Dane wyjściowe z poprzedniego polecenia z poprawną datą i godziną instalacji wskazują na powodzenie.

Sprawdź również konfigurację klienta , aby sprawdzić kondycję produktu i wykryć plik tekstowy EICAR.

Upewnij się, że masz prawidłowy pakiet

Sprawdź, czy instalowany pakiet jest zgodny z dystrybucją i wersją hosta.


Pakiet Dystrybucji
mdatp-rhel8. Linux.x86_64.rpm Oracle, RHEL i CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm Oracle, RHEL i CentOS 7.x
mdatp. Linux.x86_64.deb Debian i Ubuntu 16.04, 18.04 i 20.04

W przypadku wdrożenia ręcznego upewnij się, że wybrano poprawną dystrybucję i wersję.

Instalacja nie powiodła się z powodu błędu zależności

Jeśli instalacja Ochrona punktu końcowego w usłudze Microsoft Defender zakończy się niepowodzeniem z powodu błędów braku zależności, możesz ręcznie pobrać zależności wymagań wstępnych.

Dla pakietu mdatp istnieją następujące zależności pakietów zewnętrznych:

  • Pakiet MDATP RPM wymagaglibc >= 2.17, , audit, policycoreutilssemanage, , selinux-policy-targetedmde-netfilter
  • W przypadku RHEL6 pakiet RPM mdatp wymaga audit, , policycoreutils, libselinuxmde-netfilter
  • W przypadku DEBIAN pakiet mdatp wymaga libc6 >= 2.23, , auditduuid-runtime,mde-netfilter

Pakiet mde-netfilter ma również następujące zależności pakietów:

  • W przypadku debiana pakiet mde-netfilter wymaga libnetfilter-queue1, libglib2.0-0
  • W przypadku modułu RPM pakiet mde-netfilter wymaga libmnl, , libnfnetlink, libnetfilter_queueglib2

Instalacja nie powiodła się

Sprawdź, czy usługa Defender for Endpoint jest uruchomiona:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Kroki rozwiązywania problemów, jeśli usługa mdatp nie jest uruchomiona

  1. Sprawdź, czy mdatp użytkownik istnieje:

    id "mdatp"

    Jeśli nie ma żadnych danych wyjściowych, uruchom polecenie

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp

  2. Spróbuj włączyć i ponownie uruchomić usługę przy użyciu:

    sudo service mdatp start

    sudo service mdatp restart

  3. Jeśli nie można odnaleźć pliku mdatp.service podczas uruchamiania poprzedniego polecenia, uruchom polecenie:

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>

    where <systemd_path> is /lib/systemd/system for Ubuntu and Debian distributions and /usr/lib/systemd/system' for Rhel, CentOS, Oracle i SLES. Następnie uruchom ponownie krok 2.

  4. Jeśli powyższe kroki nie działają, sprawdź, czy program SELinux jest zainstalowany i w trybie wymuszania. Jeśli tak, spróbuj ustawić go na tryb permisywny (najlepiej) lub wyłączony. Można to zrobić przez ustawienie parametru SELINUX na permissive wartość lub disabled w /etc/selinux/config pliku, a następnie ponowne uruchomienie. Aby uzyskać więcej informacji, sprawdź stronę man-page aplikacji selinux. Teraz spróbuj ponownie uruchomić usługę mdatp, wykonując krok 2. Po próbie ponownego uruchomienia konfiguracji należy natychmiast przywrócić zmianę konfiguracji ze względów bezpieczeństwa.

  5. Jeśli /opt katalog jest linkiem symbolicznym, utwórz instalację powiązania dla /opt/microsoftelementu .

  6. Upewnij się, że demon ma uprawnienie do wykonywalnego.

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon

    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon

    Jeśli demon nie ma uprawnień wykonywalnych, utwórz go wykonywalny przy użyciu:

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon

    i ponów próbę uruchomienia kroku 2.

  7. Upewnij się, że system plików zawierający wdavdaemon nie jest zainstalowany z programem noexec.

Jeśli usługa Defender for Endpoint jest uruchomiona, ale wykrywanie pliku tekstowego EICAR nie działa

  1. Sprawdź typ systemu plików przy użyciu:

    findmnt -T <path_of_EICAR_file>

    Obecnie obsługiwane systemy plików dla działań w dostępie są wymienione tutaj. Wszystkie pliki spoza tych systemów plików nie są skanowane.

Narzędzie wiersza polecenia mdatp nie działa

  1. Jeśli uruchomienie narzędzia mdatp wiersza polecenia spowoduje wystąpienie błędu command not found, uruchom następujące polecenie:

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp

    i spróbuj ponownie.

    Jeśli żaden z powyższych kroków nie pomoże, zbierz dzienniki diagnostyczne:

    sudo mdatp diagnostic create

    Diagnostic file created: <path to file>

    Ścieżka do pliku zip zawierającego dzienniki jest wyświetlana jako dane wyjściowe. Skontaktuj się z naszym działem obsługi klienta, korzystając z tych dzienników.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.