подключаемый модуль Microsoft Defender для конечной точки для подсистема Windows для Linux (WSL)
Область применения:
- Microsoft Defender для конечной точки (план 2)
- Windows 11
- Windows 10 версии 2004 и более поздних версий (сборка 19044 и более поздние версии)
Обзор
подсистема Windows для Linux (WSL) 2, которая заменяет предыдущую версию WSL (поддерживается Microsoft Defender для конечной точки без подключаемого модуля), предоставляет среду Linux, которая легко интегрируется с Windows, но изолирована с помощью технологии виртуализации. Подключаемый модуль Defender для конечной точки для WSL позволяет Defender для конечной точки обеспечить большую видимость всех запущенных контейнеров WSL путем подключения к изолированной подсистеме.
Известные проблемы и ограничения
Прежде чем приступить к запуску, помните следующее:
Подключаемый модуль не поддерживает автоматическое обновление версий до
1.24.522.2
. В версии1.24.522.2
и более поздних версиях обновления поддерживаются через клиентский компонент Центра обновления Windows во всех кругах. Обновления через службы Центра обновления Windows Server (WSUS), System Center Configuration Manager (SCCM) и каталог Центра обновления Майкрософт поддерживаются только в производственном кольце, чтобы обеспечить стабильность пакета.Полное создание экземпляра подключаемого модуля занимает несколько минут, а для подключения экземпляра WSL2 — до 30 минут. Кратковременные экземпляры контейнеров WSL могут привести к тому, что экземпляр WSL2 не отображается на портале Microsoft Defender (https://security.microsoft.com). После того как какое-либо распределение работает достаточно долго (по крайней мере 30 минут), оно появится.
В этой версии поддерживается запуск пользовательского ядра и пользовательской командной строки ядра; однако подключаемый модуль не гарантирует видимость в WSL при запуске пользовательского ядра и пользовательской командной строки ядра.
Распространение ОС отображается в разделе Нет на странице обзора устройства WSL на портале Microsoft Defender.
Подключаемый модуль не поддерживается на компьютерах с процессором ARM64.
Предварительные требования к программному обеспечению
WSL версии 2.0.7.0 или более поздней должна работать по крайней мере с одним активным дистрибутивом.
Выполните команду
wsl --update
, чтобы убедиться, что установлена последняя версия. Еслиwsl -–version
отображается версия старше 2.0.7.0, выполните командуwsl -–update –pre-release
, чтобы получить последнее обновление.Клиентское устройство Windows должно быть подключено к Defender для конечной точки.
Клиентское устройство Windows должно работать Windows 10 версии 2004 и более поздних (сборка 19044 и более поздние версии) или Windows 11 для поддержки версий WSL, которые могут работать с подключаемым модулем.
Программные компоненты и имена файлов установщика
Установщик: DefenderPlugin-x64-0.24.426.1.msi
. Его можно скачать на странице подключения на портале Microsoft Defender.
Каталоги установки:
%ProgramFiles%
%ProgramData%
Установленные компоненты:
DefenderforEndpointPlug-in.dll
. Эта библиотека DLL является библиотекой для загрузки Defender для конечной точки для работы в WSL. Его можно найти в папке %ProgramFiles%\Microsoft Defender для конечной точки подключаемый модуль для WSL\plug-in.healthcheck.exe
. Эта программа проверяет состояние работоспособности Defender для конечной точки и позволяет просматривать установленные версии WSL, подключаемого модуля и Defender для конечной точки. Его можно найти в папке %ProgramFiles%\Microsoft Defender для конечной точки подключаемый модуль для WSL\tools.
Этапы установки
Если подсистема Windows для Linux еще не установлен, выполните следующие действия.
Откройте терминал или командную строку. (В Windows перейдите в меню Пуск>Командная строка. Или щелкните правой кнопкой мыши кнопку "Пуск" и выберите Терминал.)
Выполните команду
wsl -–install
.Убедитесь, что WSL установлен и запущен.
С помощью терминала или командной строки выполните команду
wsl –-update
, чтобы убедиться, что у вас установлена последняя версия.Выполните команду,
wsl
чтобы убедиться, что WSL запущен перед тестированием.
Установите подключаемый модуль, выполнив следующие действия.
Установите MSI-файл, скачанный из раздела подключения на портале Microsoft Defender (Параметры>подключения конечных>> точек подсистема Windows для Linux 2 (подключаемый модуль)).
Откройте командную строку или терминал и выполните команду
wsl
.
Пакет можно развернуть с помощью Microsoft Intune.
Примечание.
Если WslService
выполняется, он останавливается во время процесса установки. Отдельное подключение подсистемы не требуется; Вместо этого подключаемый модуль автоматически подключается к клиенту, к который подключен узел Windows.
Контрольный список проверки установки
После обновления или установки подождите по крайней мере пять минут, пока подключаемый модуль полностью инициализирует и записывает выходные данные журнала.
Откройте терминал или командную строку. (В Windows перейдите в меню Пуск>Командная строка. Или щелкните правой кнопкой мыши кнопку "Пуск" и выберите Терминал.)
Выполните команду :
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Выполните команду
.\healthcheck.exe
.Просмотрите сведения о Defender и WSL и убедитесь, что они соответствуют следующим требованиям или превышают их.
- Версия подключаемого модуля:
1.24.522.2
- Версия WSL:
2.0.7.0
или более поздняя - Версия приложения Defender:
101.24032.0007
- Состояние работоспособности Defender:
Healthy
- Версия подключаемого модуля:
Настройка прокси-сервера для Defender, работающего в WSL
В этом разделе описывается настройка подключения прокси-сервера для подключаемого модуля Defender для конечной точки. Если ваше предприятие использует прокси-сервер для обеспечения подключения к Defender для конечной точки, работающей на узле Windows, продолжайте чтение, чтобы определить, нужно ли настроить его для подключаемого модуля.
Если вы хотите использовать конфигурацию прокси-сервера телеметрии EDR ведущего windows для MDE для подключаемого модуля WSL, больше ничего не требуется. Эта конфигурация автоматически внедряется подключаемым модулем.
Если вы хотите использовать конфигурацию прокси-сервера winhttp узла для MDE для подключаемого модуля WSL, больше ничего не требуется. Эта конфигурация автоматически внедряется подключаемым модулем.
Если вы хотите использовать параметры сети узла и сетевого прокси-сервера для MDE для подключаемого модуля WSL, больше ничего не требуется. Эта конфигурация автоматически внедряется подключаемым модулем.
Выбор прокси-сервера подключаемого модуля
Если хост-компьютер содержит несколько параметров прокси-сервера, подключаемый модуль выбирает конфигурации прокси-сервера со следующей иерархией:
Параметр статического прокси-сервера Defender для конечной точки (
TelemetryProxyServer
).Winhttp
прокси-сервер (настраивается с помощьюnetsh
команды).Параметры интернет-прокси & сети.
Пример. Если на хост-компьютере есть прокси-сервер Winhttp и сетевой & интернет-прокси, подключаемый модуль выбирает Winhttp proxy
в качестве конфигурации прокси-сервера.
Примечание.
Раздел DefenderProxyServer
реестра больше не поддерживается. Выполните описанные выше действия, чтобы настроить прокси-сервер в подключаемом модуле.
Проверка подключения для Defender, работающего в WSL
В следующей процедуре описывается, как убедиться, что Defender в конечной точке WSL имеет подключение к Интернету.
Откройте Редактор реестра от имени администратора.
Create раздел реестра со следующими сведениями:
- Имя:
ConnectivityTest
- Тип:
REG_DWORD
- Значение:
Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
- Путь:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
- Имя:
После настройки реестра перезапустите wsl, выполнив следующие действия:
Откройте командную строку и выполните команду
wsl --shutdown
.Выполните команду
wsl
.
Подождите 5 минут, а затем выполните команду
healthcheck.exe
(найдите%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
по адресу для получения результатов теста подключения).В случае успешного выполнения вы увидите, что проверка подключения прошла успешно. В случае сбоя вы увидите, что тест
invalid
подключения указывает на сбой подключения клиента из WSL к URL-адресам службы Defender для конечных точек.
Примечание.
Сведения о настройке прокси-сервера для использования в контейнерах WSL (дистрибутивах, работающих в подсистеме), см. в статье Настройка дополнительных параметров в WSL.
Проверка функциональности и взаимодействия аналитиков SOC
После установки подключаемого модуля подсистема и все работающие контейнеры подключаются к порталу Microsoft Defender.
Войдите на портал Microsoft Defender и откройте представление Устройства.
Выполните фильтрацию с помощью тега WSL2.
Вы можете просмотреть все экземпляры WSL в своей среде с помощью активного подключаемого модуля Defender для конечной точки для WSL. Эти экземпляры представляют все дистрибутивы, выполняемые внутри WSL на заданном узле. Имя узла устройства совпадает с именем узла Windows. Однако он представлен как устройство Linux.
Откройте страницу устройства. В области Обзор есть ссылка на место размещения устройства. Ссылка позволяет понять, что устройство работает на узле Windows. Затем можно выполнить сводку к узлу для дальнейшего изучения и (или) ответа.
Временная шкала заполняется, как в Defender для конечной точки в Linux, событиями из подсистемы (файл, процесс, сеть). Вы можете наблюдать за действиями и обнаружениями в представлении временная шкала. Оповещения и инциденты также создаются соответствующим образом.
Тестирование подключаемого модуля
Чтобы протестировать подключаемый модуль после установки, выполните следующие действия.
Откройте терминал или командную строку. (В Windows перейдите в меню Пуск>Командная строка. Или щелкните правой кнопкой мыши кнопку "Пуск" и выберите Терминал.)
Выполните команду
wsl
.Скачайте и извлеките файл скрипта из https://aka.ms/LinuxDIY.
В командной строке Linux выполните команду
./mde_linux_edr_diy.sh
.Оповещение должно появиться на портале через несколько минут для обнаружения в экземпляре WSL2.
Примечание.
События отображаются на портале Microsoft Defender около 5 минут.
Относитесь к компьютеру так, как если бы он был обычным узлом Linux в вашей среде для выполнения тестирования. В частности, мы хотели бы получить ваши отзывы о возможности выявлять потенциально вредоносное поведение с помощью нового подключаемого модуля.
Расширенная охота
В схеме Расширенной охоты в DeviceInfo
таблице есть новый атрибут с именем HostDeviceId
, который можно использовать для сопоставления экземпляра WSL с его хост-устройством Windows. Ниже приведено несколько примеров запросов на поиск:
Получение всех идентификаторов устройств WSL для текущей организации или клиента
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
Получение идентификаторов устройств WSL и соответствующих идентификаторов устройств узла
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
Получение списка идентификаторов устройств WSL, на которых выполнялась curl или wget
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Устранение неполадок
Команда
healthcheck.exe
отображает выходные данные : "Запустите дистрибутив WSL с помощью команды bash и повторите попытку через 5 минут".Если произошла ранее упомянутая ошибка, выполните следующие действия.
Откройте экземпляр терминала и выполните команду
wsl
.Подождите по крайней мере 5 минут, прежде чем повторно запустить проверка работоспособности.
Команда
healthcheck.exe
может отобразить выходные данные "Ожидание телеметрии. Повторите попытку через 5 минут.Если возникает эта ошибка, подождите 5 минут и повторно запустите
healthcheck.exe
.Если на портале Microsoft Defender не отображаются устройства или события на временная шкала не отображаются, проверка следующее:
Если вы не видите объект компьютера, убедитесь, что прошло достаточно времени для завершения подключения (обычно до 10 минут).
Убедитесь, что используются правильные фильтры и вам назначены соответствующие разрешения для просмотра всех объектов устройства. (Например, ограничена ли ваша учетная запись или группа определенной группой?)
Используйте средство проверка работоспособности, чтобы предоставить общие сведения о работоспособности подключаемого модуля. Откройте терминал и запустите средство из
healthcheck.exe
%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.Включите тест подключения и проверка подключения к Defender для конечной точки в WSL. Если проверка подключения завершается сбоем, предоставьте выходные данные средства проверка работоспособности в службу поддержки.
Если тест подключения сообщает о недопустимости в проверка работоспособности, добавьте следующие параметры конфигурации в
.wslconfig
%UserProfile%
и перезапустите WSL. Дополнительные сведения о параметрах можно найти в разделе Параметры WSL.- В Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
- В Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
- В Windows 11
Если вы сталкиваетесь с другими проблемами или проблемами, откройте терминал и выполните следующие команды, чтобы создать пакет поддержки:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
Пакет поддержки можно найти по пути, указанному предыдущей командой.
Конечная точка Microsoft Defender для WSL поддерживает дистрибутивы Linux, работающие в WSL 2. Если они связаны с WSL 1, могут возникнуть проблемы. Поэтому рекомендуется отключить WSL 1. Чтобы сделать это с помощью политики Intune, выполните следующие действия.
Перейдите в центр администрирования Microsoft Intune.
Перейдите враздел Профили> конфигурации устройств>Create>Новая политика.
Выберите Windows 10 и более поздних версий>Каталог параметров.
Create имя нового профиля и найдите подсистема Windows для Linux, чтобы просмотреть и добавить полный список доступных параметров.
Задайте для параметра Разрешить WSL1 значение Отключено, чтобы обеспечить возможность использования только дистрибутивов WSL 2.
Кроме того, если вы хотите продолжать использовать WSL 1 или не использовать политику Intune, вы можете выборочно связать установленные дистрибутивы для запуска в WSL 2, выполнив команду в PowerShell:
wsl --set-version <YourDistroName> 2
Чтобы использовать WSL 2 в качестве версии WSL по умолчанию для установки новых дистрибутивов в системе, выполните следующую команду в PowerShell:
wsl --set-default-version 2
Подключаемый модуль по умолчанию использует круг Windows EDR. Если вы хотите переключиться на более раннее кольцо, установите
OverrideReleaseRing
в реестре одно из следующих значений и перезапустите WSL:
- Имя:
OverrideReleaseRing
- Тип:
REG_SZ
- Значение:
Dogfood or External or InsiderFast or Production
- Путь:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
Если при запуске WSL отображается ошибка, например "Неустранимая ошибка была возвращена подключаемым модулем DefenderforEndpointPlug-in" Код ошибки: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", это означает, что подключаемый модуль Defender для конечной точки для установки WSL неисправен. Чтобы восстановить его, выполните следующие действия.
В панель управления выберите Программы>и компоненты.
Найдите и выберите Microsoft Defender для конечной точки подключаемый модуль для WSL. Затем выберите Восстановить.
Это должно устранить проблему, разместив нужные файлы в ожидаемых каталогах.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по