Compartilhar via

Plug-in do Microsoft Defender para Endpoint para Subsistema Windows para Linux (WSL)

  • Artigo

Aplica-se a:

Visão Geral

O Subsistema Windows para Linux (WSL) 2, que substitui a versão anterior do WSL (suportada pelo Microsoft Defender para Endpoint sem um plug-in), fornece um ambiente Linux totalmente integrado no Windows, mas está isolado através da tecnologia de virtualização. O plug-in do Defender para Endpoint para WSL permite que o Defender para Endpoint dê mais visibilidade a todos os contentores WSL em execução ao ligar ao subsistema isolado.

Limitações e problemas conhecidos

Tenha em atenção o seguinte antes de começar:

  1. O plug-in não suporta atualizações automáticas em versões anteriores a 1.24.522.2. Na versão 1.24.522.2 e posteriores, as atualizações são suportadas através do Windows Update em todos os anéis. As atualizações através dos serviços Windows Server Update (WSUS), System Center Configuration Manager (SCCM) e catálogo do Microsoft Update são suportadas apenas na cadência de Produção para garantir a estabilidade do pacote.

  2. O plug-in demora alguns minutos a instanciar totalmente e até 30 minutos para que uma instância WSL2 se integre. As instâncias de contentor WSL de curta duração podem fazer com que a instância do WSL2 não apareça no portal do Microsoft Defender (https://security.microsoft.com). Quando qualquer distribuição estiver em execução há tempo suficiente (pelo menos 30 minutos), é apresentada.

  3. A execução de um kernel personalizado e de uma linha de comandos de kernel personalizada não é suportada. Embora o plug-in não bloqueie a execução nessa configuração, não garante visibilidade no WSL quando está a executar um kernel personalizado e uma linha de comandos de kernel personalizada. Recomendamos que bloqueie essas configurações com a ajuda das definições wsl do Microsoft Intune.

  4. A Distribuição do SO é apresentada Como Nenhuma na página Descrição geral do dispositivo do dispositivo WSL no portal do Microsoft Defender.

  5. O plug-in não é suportado em computadores com processador ARM64.

  6. O plug-in fornece visibilidade sobre os eventos do WSL, mas outras funcionalidades, como comandos de resposta e gestão de ameaças e vulnerabilidades e antimalware, não estão disponíveis para o dispositivo lógico WSL.

Pré-requisitos de software

  • A versão 2.0.7.0 ou posterior do WSL tem de estar em execução com, pelo menos, uma distribuição ativa.

    Execute wsl --update para se certificar de que está na versão mais recente. Se wsl -–version mostrar uma versão anterior à 2.0.7.0, execute wsl -–update –pre-release para obter a atualização mais recente.

  • O dispositivo cliente Windows tem de estar integrado no Defender para Endpoint.

  • O dispositivo cliente Windows tem de ter o Windows 10, versão 2004 e posterior (compilação 19044 e posterior) ou o Windows 11 para suportar as versões WSL que podem funcionar com o plug-in.

Nomes de ficheiros de instalador e componentes de software

Instalador: DefenderPlugin-x64-0.24.426.1.msi. Pode transferi-lo a partir da página de inclusão no portal do Microsoft Defender.

Diretórios de instalação:

  • %ProgramFiles%

  • %ProgramData%

Componentes instalados:

  • DefenderforEndpointPlug-in.dll. Esta DLL é a biblioteca para carregar o Defender para Endpoint para funcionar no WSL. Pode encontrá-lo em %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

  • healthcheck.exe. Este programa verifica o estado de funcionamento do Defender para Endpoint e permite-lhe ver as versões instaladas do WSL, plug-in e Defender para Endpoint. Pode encontrá-lo no plug-in %ProgramFiles%\Microsoft Defender para Endpoint para WSL\tools.

Etapas de instalação

Se o Subsistema Windows para Linux ainda não estiver instalado, siga estes passos:

  1. Abra o Terminal ou a Linha de Comandos. (No Windows, aceda a Iniciar>Linha de Comandos. Em alternativa, clique com o botão direito do rato no botão iniciar e, em seguida, selecione Terminal.)

  2. Execute o comando wsl -–install.

  3. Confirme que o WSL está instalado e em execução.

    1. Com o Terminal ou a Linha de Comandos, execute wsl –-update para se certificar de que tem a versão mais recente.

    2. Execute o wsl comando para garantir que o WSL está em execução antes do teste.

  4. Instale o plug-in ao seguir estes passos:

    1. Instale o ficheiro MSI transferido a partir da secção de integração no portal do Microsoft Defender (DefiniçõesPontos Finais>>Integração> doSubsistema Windows para Linux 2 (plug-in)).

    2. Abra uma linha de comandos/terminal e execute wsl.

    Pode implementar o pacote com o Microsoft Intune.

Observação

Se WslService estiver em execução, para durante o processo de instalação. Não precisa de integrar o subsistema separadamente; em vez disso, o plug-in é automaticamente integrado no inquilino no qual o anfitrião do Windows está integrado.

Lista de verificação de validação da instalação

  1. Após a atualização ou instalação, aguarde pelo menos cinco minutos para que o plug-in inicialize e escreva a saída do registo.

  2. Abra o Terminal ou a Linha de Comandos. (No Windows, aceda a Iniciar>Linha de Comandos. Em alternativa, clique com o botão direito do rato no botão iniciar e, em seguida, selecione Terminal.)

  3. Execute o comando: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Execute o comando .\healthcheck.exe.

  5. Reveja os detalhes do Defender e WSL e certifique-se de que correspondem ou excedem os seguintes requisitos:

    • Versão do Plug-in: 1.24.522.2
    • Versão do WSL: 2.0.7.0 ou posterior
    • Versão da Aplicação Defender: 101.24032.0007
    • Estado de Funcionamento do Defender: Healthy

Definir um proxy para o Defender em execução no WSL

Esta secção descreve como configurar a conectividade de proxy para o plug-in do Defender para Endpoint. Se a sua empresa utilizar um proxy para fornecer conectividade ao Defender para Endpoint em execução no anfitrião do Windows, continue a ler para determinar se precisa de o configurar para o plug-in.

Se quiser utilizar a configuração do proxy de telemetria do windows anfitrião EDR para mDE para o plug-in WSL, nada mais é necessário. Esta configuração é adotada automaticamente pelo plug-in.

Se quiser utilizar a configuração do proxy winhttp do anfitrião para o plug-in MDE para WSL, não é necessário mais nada. Esta configuração é adotada automaticamente pelo plug-in.

Se quiser utilizar a rede de anfitrião e a definição de proxy de rede para o plug-in MDE para WSL, nada mais é necessário. Esta configuração é adotada automaticamente pelo plug-in.

Seleção do Proxy de Plug-in

Se o computador anfitrião contiver várias definições de proxy, o plug-in seleciona as configurações de proxy com a seguinte hierarquia:

  1. Definição de proxy estático do Defender para Endpoint (TelemetryProxyServer).

  2. Winhttp proxy (configurado através do netsh comando).

  3. Definições de proxy de Internet & de rede.

Exemplo: se o seu computador anfitrião tiver o proxy Winhttp e o proxy de Rede & Internet, o plug-in seleciona Winhttp proxy como a configuração do proxy.

Observação

A DefenderProxyServer chave de registo já não é suportada. Siga os passos mencionados acima para configurar o proxy no plug-in.

Teste de conectividade para o Defender em execução no WSL

O procedimento seguinte descreve como confirmar que o Defender no Ponto Final no WSL tem conectividade à Internet.

  1. Abra o Editor de Registo como administrador.

  2. Crie uma chave de registo com os seguintes detalhes:

    • Nome: ConnectivityTest
    • Tipo: REG_DWORD
    • Valor: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • Caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  3. Assim que o registo estiver definido, reinicie o wsl com os seguintes passos:

    1. Abra a Linha de Comandos e execute o comando . wsl --shutdown

    2. Execute o comando wsl.

  4. Aguarde 5 minutos e, em seguida, execute healthcheck.exe (localizado em %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools para obter os resultados do teste de conectividade).

    Se for bem-sucedido, pode ver que o teste de conectividade foi efetuado com êxito. Se tiver falhado, pode ver que o teste de conectividade estava invalid a indicar que a conectividade do cliente do WSL para os URLs de serviço do Defender para Endpoint está a falhar.

Observação

Para definir um proxy para utilização em contentores WSL (as distribuições em execução no subsistema), veja Configuração de definições avançadas no WSL.

Verificar a funcionalidade e a experiência dos analistas do SOC

Depois de instalar o plug-in, o subsistema e todos os contentores em execução são integrados no portal do Microsoft Defender.

  1. Inicie sessão no portal do Microsoft Defender e abra a vista Dispositivos .

  2. Filtre com a etiqueta WSL2.

Captura de ecrã a mostrar o filtro de inventário de dispositivos

Pode ver todas as instâncias do WSL no seu ambiente com um plug-in ativo do Defender para Endpoint para WSL. Estas instâncias representam todas as distribuições em execução no WSL num determinado anfitrião. O nome do anfitrião de um dispositivo corresponde ao do anfitrião do Windows. No entanto, é representado como um dispositivo Linux.

  1. Abra a página do dispositivo. No painel Descrição geral , existe uma ligação para onde o dispositivo está alojado. A ligação permite-lhe compreender que o dispositivo está a ser executado num anfitrião do Windows. Em seguida, pode deslocar-se para o anfitrião para uma investigação e/ou resposta mais aprofundadas.

    Captura de ecrã a mostrar a descrição geral do dispositivo.

A linha cronológica é preenchida, semelhante ao Defender para Endpoint no Linux, com eventos de dentro do subsistema (ficheiro, processo, rede). Pode observar a atividade e as deteções na vista de linha cronológica. Os alertas e incidentes também são gerados conforme adequado.

Testar o plug-in

Para testar o plug-in após a instalação, siga estes passos:

  1. Abra o Terminal ou a Linha de Comandos. (No Windows, aceda a Iniciar>Linha de Comandos. Em alternativa, clique com o botão direito do rato no botão iniciar e, em seguida, selecione Terminal.)

  2. Execute o comando wsl.

  3. Transfira e extraia o ficheiro de script de https://aka.ms/LinuxDIY.

  4. Na linha de comandos do Linux, execute o comando ./mde_linux_edr_diy.sh.

    Um alerta deverá aparecer no portal após alguns minutos para uma deteção na instância do WSL2.

    Observação

    Os eventos demoram cerca de 5 minutos a aparecer no portal do Microsoft Defender.

Trate o computador como se fosse um anfitrião Linux normal no seu ambiente para efetuar testes. Em particular, gostaríamos de obter o seu feedback sobre a capacidade de apresentar comportamentos potencialmente maliciosos com o novo plug-in.

Busca avançada

No esquema Investigação Avançada, na tabela, existe um novo atributo chamado HostDeviceId que pode utilizar para mapear uma instância do WSL para o DeviceInfo respetivo dispositivo anfitrião Windows. Seguem-se algumas consultas de investigação de exemplo:

Obter todos os IDs do dispositivo WSL para a organização/inquilino atual

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Obter IDs de dispositivo WSL e os respetivos IDs de dispositivo anfitrião correspondentes

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Obter uma lista de IDs de dispositivos WSL em que curl ou wget foi executado

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Solução de problemas

  1. O comando healthcheck.exe mostra a saída "Iniciar distribuição WSL com o comando "bash" e tentar novamente em 5 minutos."

    Captura de ecrã a mostrar a saída do PowerShell.

  2. Se ocorrer o erro mencionado anteriormente, siga os seguintes passos:

    1. Abra uma instância de terminal e execute o comando wsl.

    2. Aguarde pelo menos 5 minutos antes de voltar a executar a verificação de estado de funcionamento.

  3. O healthcheck.exe comando pode mostrar o resultado " A aguardar telemetria. Tente novamente dentro de 5 minutos."

    Captura de ecrã a mostrar o estado de telemetria do estado de funcionamento.

    Se esse erro ocorrer, aguarde 5 minutos e volte a executar healthcheck.exe.

  4. Se não vir nenhum dispositivo no portal do Microsoft Defender ou não vir nenhum evento na linha cronológica, verifique os seguintes aspetos:

    • Se não estiver a ver um objeto de computador, certifique-se de que passou tempo suficiente para concluir a integração (normalmente, até 10 minutos).

    • Certifique-se de que utiliza os filtros corretos e de que tem as permissões adequadas atribuídas para ver todos os objetos do dispositivo. (Por exemplo, a sua conta/grupo está restrito a um grupo específico?)

    • Utilize a ferramenta de verificação de estado de funcionamento para fornecer uma descrição geral do estado de funcionamento geral do plug-in. Abra o Terminal e execute a ferramenta a healthcheck.exe partir de %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

      Captura de ecrã a mostrar o estado no PowerShell.

    • Ative o teste de conectividade e verifique a conectividade do Defender para Endpoint no WSL. Se o teste de conectividade falhar, forneça a saída da ferramenta de verificação de estado de funcionamento à nossa equipa de suporte.

    • Se o teste de conectividade comunicar "inválido" na verificação de estado de funcionamento, inclua as seguintes definições de configuração no .wslconfig localizado no WSL %UserProfile% e reinicie o WSL. Pode encontrar detalhes sobre as definições nas Definições do WSL.

      • No Windows 11

        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored

      • No Windows 10

        # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

    • Se os problemas de conectividade persistirem, recolha os registos de rede com o método mencionado na ligação e inclua esses registos com o pacote de suporte.

  5. Se se deparar com outros desafios ou problemas, abra o Terminal e execute os seguintes comandos para gerar um grupo de suporte:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    O pacote de suporte pode ser encontrado no caminho fornecido pelo comando anterior.

    Captura de ecrã a mostrar o estado na saída do PowerShell.

  6. O Ponto Final do Microsoft Defender para WSL suporta distribuições do Linux em execução no WSL 2. Se estiverem associados ao WSL 1, poderá deparar-se com problemas. Por conseguinte, é aconselhável desativar o WSL 1. Para tal com a política do Intune, execute os seguintes passos:

    1. Aceda ao centro de administração do Microsoft Intune.

    2. Aceda aPerfis de Configuração de Dispositivos>>Criar>Nova Política.

    3. SelecioneCatálogo de Definições do Windows 10 e posterior>.

    4. Crie um nome para o novo perfil e procure Subsistema Windows para Linux para ver e adicionar a lista completa de definições disponíveis.

    5. Defina a definição Permitir WSL1 como Desativado, para garantir que apenas as distribuições do WSL 2 podem ser utilizadas.

      Em alternativa, se quiser continuar a utilizar o WSL 1 ou não utilizar a Política do Intune, pode associar seletivamente as distribuições instaladas para executar no WSL 2 ao executar o comando no PowerShell:

      wsl --set-version <YourDistroName> 2

      Para ter o WSL 2 como a sua versão WSL predefinida para novas distribuições a serem instaladas no sistema, execute o seguinte comando no PowerShell:

      wsl --set-default-version 2

  7. O plug-in utiliza a cadência EDR do Windows por predefinição. Se quiser mudar para uma cadência anterior, defina OverrideReleaseRing um dos seguintes no registo e reinicie o WSL:

    • Nome: OverrideReleaseRing
    • Tipo: REG_SZ
    • Valor: Dogfood or External or InsiderFast or Production
    • Caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

  8. Se vir um erro ao iniciar o WSL, como "Foi devolvido um erro fatal pelo plug-in 'DefenderforEndpointPlug-in': Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", significa que o plug-in do Defender para Endpoint para instalação do WSL está com falhas. Para o reparar, siga estes passos:

    1. No Painel de Controlo, aceda a Programas>e Funcionalidades.

    2. Procure e selecione Plug-in do Microsoft Defender para Endpoint para WSL. Em seguida, selecione Reparar.

    Isto deve corrigir o problema ao colocar os ficheiros corretos nos diretórios esperados.

    Captura de ecrã a mostrar o plug-in MDE para a opção de reparação do WSL no painel de controlo.