Compartilhar via


plug-in Microsoft Defender para Ponto de Extremidade para Subsistema do Windows para Linux (WSL)

Aplica-se a:

Visão Geral

Subsistema do Windows para Linux (WSL) 2, que substitui a versão anterior do WSL (suportada por Microsoft Defender para Ponto de Extremidade sem um plug-in), fornece um ambiente Linux totalmente integrado com o Windows, mas está isolado através da tecnologia de virtualização. O plug-in do Defender para Endpoint para WSL permite que o Defender para Endpoint dê mais visibilidade a todos os contentores WSL em execução ao ligar ao subsistema isolado.

Limitações e problemas conhecidos

Tenha em atenção as seguintes considerações antes de começar:

  1. O plug-in não suporta atualizações automáticas em versões anteriores a 1.24.522.2. Na versão 1.24.522.2 e posterior, as atualizações são suportadas através de Windows Update em todos os anéis. Atualizações através dos serviços Windows Server Update (WSUS), system center Configuration Manager (SCCM) e catálogo do Microsoft Update são suportados apenas na cadência de Produção para garantir a estabilidade do pacote.

  2. O plug-in demora alguns minutos a instanciar totalmente e até 30 minutos para que uma instância WSL2 se integre. As instâncias de contentor WSL de curta duração podem fazer com que a instância do WSL2 não apareça no portal do Microsoft Defender (https://security.microsoft.com). Quando qualquer distribuição estiver em execução há tempo suficiente (pelo menos 30 minutos), é apresentada.

  3. A execução de um kernel personalizado e de uma linha de comandos de kernel personalizada não é suportada. Embora o plug-in não bloqueie a execução nessa configuração, não garante visibilidade no WSL quando está a executar um kernel personalizado e uma linha de comandos de kernel personalizada. Recomendamos que bloqueie essas configurações com a ajuda de Microsoft Intune definições wsl.

  4. A Distribuição do SO é apresentada Como Nenhuma na página Descrição geral do dispositivo de um dispositivo WSL no portal do Microsoft Defender.

  5. O plug-in não é suportado em computadores com processador ARM64.

  6. O plug-in fornece visibilidade sobre os eventos do WSL, mas outras funcionalidades como antimalware, Gerenciamento de Ameaças e Vulnerabilidades e comandos de resposta não estão disponíveis para o dispositivo lógico WSL.

Pré-requisitos de software

  • A versão 2.0.7.0 ou posterior do WSL tem de estar em execução com, pelo menos, uma distribuição ativa.

    Execute wsl --update para se certificar de que está na versão mais recente. Se wsl -–version mostrar uma versão anterior a 2.0.7.0, execute wsl -–update –pre-release para obter a atualização mais recente.

  • O dispositivo cliente Windows tem de estar integrado no Defender para Endpoint.

  • O dispositivo cliente Windows tem de estar a executar Windows 10, versão 2004 e posterior (compilação 19044 e posterior) ou Windows 11 para suportar as versões WSL que podem funcionar com o plug-in.

Nomes de ficheiros de instalador e componentes de software

Instalador: DefenderPlugin-x64-0.24.426.1.msi. Pode transferi-lo a partir da página de inclusão no portal Microsoft Defender. (Aceda a Definições>Pontos finais>Inclusão.)

Diretórios de instalação:

  • %ProgramFiles%

  • %ProgramData%

Componentes instalados:

  • DefenderforEndpointPlug-in.dll. Esta DLL é a biblioteca para carregar o Defender para Endpoint para funcionar no WSL. Pode encontrá-la em %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

  • healthcheck.exe. Este programa verifica o estado de funcionamento status do Defender para Endpoint e permite-lhe ver as versões instaladas do WSL, plug-in e Defender para Endpoint. Pode encontrá-la em %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

Etapas de instalação

Se a sua Subsistema do Windows para Linux ainda não estiver instalada, siga estes passos:

  1. Abra o Terminal ou a Linha de Comandos. (No Windows, aceda a Iniciar>Linha de Comandos. Em alternativa, clique com o botão direito do rato no botão iniciar e, em seguida, selecione Terminal.)

  2. Execute o comando wsl -–install.

  3. Confirme que o WSL está instalado e em execução.

    1. Com o Terminal ou a Linha de Comandos, execute wsl –-update para se certificar de que tem a versão mais recente.

    2. Execute o wsl comando para garantir que o WSL está em execução antes do teste.

  4. Instale o plug-in ao seguir estes passos:

    1. Instale o ficheiro MSI transferido a partir da secção de inclusão no portal do Microsoft Defender (Inclusão dePontos Finais>> de Definições>Subsistema do Windows para Linux 2 (plug-in)).

    2. Abra uma linha de comandos/terminal e execute wsl.

    Pode implementar o pacote com Microsoft Intune.

Observação

Se WslService estiver em execução, para durante o processo de instalação. Não precisa de integrar o subsistema separadamente. Em vez disso, o plug-in é automaticamente integrado no inquilino para o qual o anfitrião do Windows está integrado.

Lista de verificação de validação da instalação

  1. Após a atualização ou instalação, aguarde pelo menos cinco minutos para que o plug-in inicialize e escreva a saída do registo.

  2. Abra o Terminal ou a Linha de Comandos. (No Windows, aceda a Iniciar>Linha de Comandos. Em alternativa, clique com o botão direito do rato no botão iniciar e, em seguida, selecione Terminal.)

  3. Execute o comando: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Execute o comando .\healthcheck.exe.

  5. Reveja os detalhes do Defender e WSL e certifique-se de que correspondem ou excedem os seguintes requisitos:

    • Versão do Plug-in: 1.24.522.2
    • Versão do WSL: 2.0.7.0 ou posterior
    • Versão da Aplicação Defender: 101.24032.0007
    • Estado de Funcionamento do Defender: Healthy

Definir um proxy para o Defender em execução no WSL

Esta secção descreve como configurar a conectividade de proxy para o plug-in do Defender para Endpoint. Se a sua empresa utilizar um proxy para fornecer conectividade ao Defender para Endpoint em execução no anfitrião do Windows, continue a ler para determinar se precisa de o configurar para o plug-in.

Se quiser utilizar a configuração do proxy de telemetria do windows anfitrião EDR para MDPE para o plug-in WSL, nada mais é necessário. Esta configuração é adotada automaticamente pelo plug-in.

Se quiser utilizar a configuração do proxy winhttp do anfitrião para MDPE para o plug-in WSL, nada mais é necessário. Esta configuração é adotada automaticamente pelo plug-in.

Se quiser utilizar a rede de anfitrião e a definição de proxy de rede para MDPE para o plug-in WSL, nada mais é necessário. Esta configuração é adotada automaticamente pelo plug-in.

Observação

O WSL Defender suporta apenas http o proxy.

Seleção do Proxy de Plug-in

Se o computador anfitrião contiver várias definições de proxy, o plug-in seleciona as configurações de proxy com a seguinte hierarquia:

  1. Definição de proxy estático do Defender para Endpoint (TelemetryProxyServer).

  2. Winhttp proxy (configurado através do netsh comando).

  3. Definições de proxy de Internet & de rede.

Por exemplo, se o computador anfitrião tiver Winhttp proxy e Network & Internet proxy, o plug-in seleciona Winhttp proxy como a configuração do proxy.

Observação

A DefenderProxyServer chave de registo já não é suportada. Siga os passos descritos anteriormente neste artigo para configurar o proxy no plug-in.

Teste de conectividade para o Defender em execução no WSL

O teste de conectividade do Defender é acionado sempre que existir uma modificação de proxy no seu dispositivo e está agendado para ser executado a cada hora.

Ao iniciar o computador wsl, aguarde 5 minutos e, em seguida, execute healthcheck.exe (localizado em %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools para obter os resultados do teste de conectividade). Se tiver êxito, pode ver que o teste de conectividade foi um êxito. Se tiver falhado, pode ver que o teste de conectividade estava invalid a indicar que a conectividade do cliente do MDPE plug-in do WSL para o Defender para URLs de serviço do Ponto Final está a falhar.

Observação

A ConnectivityTest chave de registo já não é suportada. Para definir um proxy para utilização em contentores WSL (as distribuições em execução no subsistema), veja Configuração de definições avançadas no WSL.

Verificar a funcionalidade e a experiência dos analistas do SOC

Depois de instalar o plug-in, o subsistema e todos os contentores em execução são integrados no portal do Microsoft Defender.

  1. Inicie sessão no portal Microsoft Defender e abra a vista Dispositivos.

  2. Filtre com a etiqueta WSL2.

    Captura de ecrã a mostrar o filtro de inventário de dispositivos

    Pode ver todas as instâncias do WSL no seu ambiente com um plug-in ativo do Defender para Endpoint para WSL. Estas instâncias representam todas as distribuições em execução no WSL num determinado anfitrião. O nome do anfitrião de um dispositivo corresponde ao do anfitrião do Windows. No entanto, é representado como um dispositivo Linux.

  3. Abra a página do dispositivo. No painel Descrição geral , existe uma ligação para onde o dispositivo está alojado. A ligação permite-lhe compreender que o dispositivo está a ser executado num anfitrião do Windows. Em seguida, pode deslocar-se para o anfitrião para uma investigação e/ou resposta mais aprofundadas.

    Captura de ecrã a mostrar a descrição geral do dispositivo.

O linha do tempo é preenchido, semelhante ao Defender para Endpoint no Linux, com eventos do interior do subsistema (ficheiro, processo, rede). Pode observar a atividade e as deteções na vista linha do tempo. Os alertas e incidentes também são gerados conforme adequado.

Configurar uma etiqueta personalizada para o seu computador WSL

O plug-in integra o computador WSL com a etiqueta WSL2. Se você ou a sua organização precisarem de uma etiqueta personalizada, siga os passos descritos abaixo:

  1. Abra a Editor de Registo como administrador.

  2. Crie uma chave de registo com os seguintes detalhes:

    • Nome: GROUP
    • Tipo: REG_SZ ou cadeia de registo
    • Valor: Custom tag
    • Caminho: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging
  3. Assim que o registo estiver definido, reinicie o wsl com os seguintes passos:

    1. Abra a Linha de Comandos e execute o comando . wsl --shutdown

    2. Execute o comando wsl.

  4. Aguarde 5 a 10 minutos para que o portal reflita as alterações.

Observação

O conjunto de etiquetas personalizadas no registo será seguido de um _WSL2. Por exemplo, se o conjunto de valores do registo for Microsoft, a etiqueta personalizada será Microsoft_WSL2 e a mesma será visível no portal.

Testar o plug-in

Para testar o plug-in após a instalação, siga estes passos:

  1. Abra o Terminal ou a Linha de Comandos. (No Windows, aceda a Iniciar>Linha de Comandos. Em alternativa, clique com o botão direito do rato no botão iniciar e, em seguida, selecione Terminal.)

  2. Execute o comando wsl.

  3. Transfira e extraia o ficheiro de script de https://aka.ms/MDE-Linux-EDR-DIY.

  4. Na linha de comandos do Linux, execute o comando ./mde_linux_edr_diy.sh.

    Um alerta deverá aparecer no portal após alguns minutos para uma deteção na instância do WSL2.

    Observação

    Os eventos demoram cerca de cinco minutos a aparecer no portal do Microsoft Defender.

Trate o computador como se fosse um anfitrião Linux normal no seu ambiente para efetuar testes. Em particular, gostaríamos de obter o seu feedback sobre a capacidade de apresentar comportamentos potencialmente maliciosos com o novo plug-in.

Busca avançada

No esquema Investigação Avançada, na tabela, existe um novo atributo chamado HostDeviceId que pode utilizar para mapear uma instância do WSL para o DeviceInfo respetivo dispositivo anfitrião Windows. Seguem-se algumas consultas de investigação de exemplo:

Obter todos os IDs do dispositivo WSL para a organização/inquilino atual

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Obter IDs de dispositivo WSL e os respetivos IDs de dispositivo anfitrião correspondentes

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Obter uma lista de IDs de dispositivos WSL em que curl ou wget foi executado

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Solução de problemas

O comando healthcheck.exe mostra a saída "Iniciar distribuição WSL com o comando "bash" e tentar novamente em cinco minutos."

Captura de ecrã a mostrar a saída do PowerShell.

  1. Abra uma instância de terminal e execute o comando wsl.

  2. Aguarde pelo menos cinco minutos antes de voltar a executar o marcar de estado de funcionamento.

O healthcheck.exe comando pode mostrar o resultado " A aguardar telemetria. Tente novamente dentro de cinco minutos."

Captura de ecrã a mostrar a telemetria do estado de funcionamento status.

Se esse erro ocorrer, aguarde cinco minutos e volte a executar healthcheck.exe.

Não vê nenhum dispositivo no portal do Microsoft Defender ou não vê nenhum evento no linha do tempo

Verifique os seguintes itens:

  • Se não estiver a ver um objeto de computador, certifique-se de que passou tempo suficiente para concluir a integração (normalmente, até 10 minutos).

  • Certifique-se de que utiliza os filtros corretos e de que tem as permissões adequadas atribuídas para ver todos os objetos do dispositivo. (Por exemplo, a sua conta/grupo está restrito a um grupo específico?)

  • Utilize a ferramenta de marcar de estado de funcionamento para fornecer uma descrição geral do estado de funcionamento geral do plug-in. Abra o Terminal e execute a ferramenta a healthcheck.exe partir de %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

    Captura de ecrã a mostrar status no PowerShell.

  • Ative o teste de conectividade e marcar para a conectividade do Defender para Endpoint no WSL. Se o teste de conectividade falhar, forneça a saída da ferramenta de marcar de estado de funcionamento à nossa equipa de suporte.

O teste de conectividade comunica "inválido" no marcar de estado de funcionamento

  • Se o computador tiver uma configuração de proxy, execute o comando healthCheck --extendedProxy. Isto irá fornecer informações sobre que proxy(s) está definido(s) no seu computador e se estas configurações são inválidas para o WSL Defender.

    Expandir o documento do Proxy do HealthCheck

  • Se os passos mencionados acima não corrigirem o problema, inclua as seguintes definições de configuração no .wslconfig localizado no WSL %UserProfile% e reinicie o WSL. Pode encontrar detalhes sobre as definições nas Definições do WSL.

    Em Windows 11

    
    # Settings apply across all Linux distros running on WSL 2
    [wsl2]
    
    dnsTunneling=true
    
    networkingMode=mirrored  
    

    Em Windows 10

    # Settings apply across all Linux distros running on WSL 2
    [wsl2]
    
    dnsProxy=false
    
    

Os problemas de conectividade persistem

Recolha os registos de rede ao seguir estes passos:

  1. Abra uma linha de comandos elevada (administrador) do PowerShell.

  2. Transferir e executar: .\collect-networking-logs.ps1

    
    Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
    Set-ExecutionPolicy Bypass -Scope Process -Force
    .\collect-networking-logs.ps1
    
    
  3. Abra uma nova linha de comandos e execute o seguinte comando: wsl.

  4. Abra uma linha de comandos elevada (admin) e execute o seguinte comando: wsl --debug-shell.

  5. Na shell de depuração, execute: mdatp connectivity test.

  6. Permitir que o teste de conectividade seja concluído.

  7. Pare a .ps1 executada no passo 2.

  8. Partilhe o ficheiro de .zip gerado juntamente com o pacote de suporte que pode ser recolhido conforme mencionado nos passos.

Recolher um pacote de suporte

  1. Se se deparar com outros desafios ou problemas, abra o Terminal e execute os seguintes comandos para gerar um grupo de suporte:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
    
    .\healthcheck.exe --supportBundle 
    

    O pacote de suporte pode ser encontrado no caminho fornecido pelo comando anterior.

    Captura de ecrã a mostrar status na saída do PowerShell.

  2. Microsoft Defender Ponto Final para WSL suporta distribuições do Linux em execução no WSL 2. Se estiverem associados ao WSL 1, poderá deparar-se com problemas. Por conseguinte, é aconselhável desativar o WSL 1. Para tal com a política de Intune, execute os seguintes passos:

    1. Aceda ao centro de administração do Microsoft Intune.

    2. Aceda aPerfis de Configuração de Dispositivos>>Criar>Nova Política.

    3. Selecione Windows 10 e catálogo deDefinições posterior>.

    4. Crie um nome para o novo perfil e procure Subsistema do Windows para Linux para ver e adicionar a lista completa de definições disponíveis.

    5. Defina a definição Permitir WSL1 como Desativado, para garantir que apenas as distribuições do WSL 2 podem ser utilizadas.

      Em alternativa, se quiser continuar a utilizar o WSL 1 ou não utilizar a Política de Intune, pode associar seletivamente as distribuições instaladas para executar no WSL 2 ao executar o comando no PowerShell:

      wsl --set-version <YourDistroName> 2
      

      Para ter o WSL 2 como a sua versão WSL predefinida para novas distribuições a serem instaladas no sistema, execute o seguinte comando no PowerShell:

      wsl --set-default-version 2
      
  3. O plug-in utiliza a cadência EDR do Windows por predefinição. Se quiser mudar para uma cadência anterior, defina OverrideReleaseRing um dos seguintes no registo e reinicie o WSL:

    • Nome: OverrideReleaseRing
    • Tipo: REG_SZ
    • Valor: Dogfood or External or InsiderFast or Production
    • Caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  4. Se vir um erro ao iniciar o WSL, como "Foi devolvido um erro fatal pelo plug-in 'DefenderforEndpointPlug-in': Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", significa que o plug-in do Defender para Endpoint para instalação do WSL está com falhas. Para o reparar, siga estes passos:

    1. No Painel de Controle, aceda a Programas>e Funcionalidades.

    2. Procure e selecione Microsoft Defender para Ponto de Extremidade plug-in para WSL. Em seguida, selecione Reparar. Esta ação deve corrigir o problema ao colocar os ficheiros corretos nos diretórios esperados.

      Captura de ecrã a mostrar MDPE opção de reparação do WSL no painel de controlo.