подключаемый модуль Microsoft Defender для конечной точки для подсистема Windows для Linux (WSL)

Область применения:

• Microsoft Defender для конечной точки (план 2)
• Windows 11
• Windows 10 версии 2004 и более поздних версий (сборка 19044 и более поздние версии)

Обзор

подсистема Windows для Linux (WSL) 2, которая заменяет предыдущую версию WSL (поддерживается Microsoft Defender для конечной точки без подключаемого модуля), предоставляет среду Linux, которая легко интегрируется с Windows, но изолирована с помощью технологии виртуализации. Подключаемый модуль Defender для конечной точки для WSL позволяет Defender для конечной точки обеспечить большую видимость всех запущенных контейнеров WSL путем подключения к изолированной подсистеме.

Известные проблемы и ограничения

Прежде чем приступить к запуску, помните следующее:

1. Подключаемый модуль не поддерживает автоматическое обновление версий до 1.24.522.2. В версии 1.24.522.2 и более поздних версиях обновления поддерживаются через клиентский компонент Центра обновления Windows во всех кругах. Обновления через службы Центра обновления Windows Server (WSUS), System Center Configuration Manager (SCCM) и каталог Центра обновления Майкрософт поддерживаются только в производственном кольце, чтобы обеспечить стабильность пакета.

2. Полное создание экземпляра подключаемого модуля занимает несколько минут, а для подключения экземпляра WSL2 — до 30 минут. Кратковременные экземпляры контейнеров WSL могут привести к тому, что экземпляр WSL2 не отображается на портале Microsoft Defender (https://security.microsoft.com). После того как какое-либо распределение работает достаточно долго (по крайней мере 30 минут), оно появится.

3. В этой версии поддерживается запуск пользовательского ядра и пользовательской командной строки ядра; однако подключаемый модуль не гарантирует видимость в WSL при запуске пользовательского ядра и пользовательской командной строки ядра.

4. Распространение ОС отображается в разделе Нет на странице обзора устройства WSL на портале Microsoft Defender.

5. Подключаемый модуль не поддерживается на компьютерах с процессором ARM64.

Предварительные требования к программному обеспечению

• WSL версии 2.0.7.0 или более поздней должна работать по крайней мере с одним активным дистрибутивом.

  Выполните команду wsl --update , чтобы убедиться, что установлена последняя версия. Если wsl -–version отображается версия старше 2.0.7.0, выполните команду wsl -–update –pre-release , чтобы получить последнее обновление.

• Клиентское устройство Windows должно быть подключено к Defender для конечной точки.

• Клиентское устройство Windows должно работать Windows 10 версии 2004 и более поздних (сборка 19044 и более поздние версии) или Windows 11 для поддержки версий WSL, которые могут работать с подключаемым модулем.

Программные компоненты и имена файлов установщика

Установщик: DefenderPlugin-x64-0.24.426.1.msi. Его можно скачать на странице подключения на портале Microsoft Defender.

Каталоги установки:

• %ProgramFiles%

• %ProgramData%

Установленные компоненты:

• DefenderforEndpointPlug-in.dll. Эта библиотека DLL является библиотекой для загрузки Defender для конечной точки для работы в WSL. Его можно найти в папке %ProgramFiles%\Microsoft Defender для конечной точки подключаемый модуль для WSL\plug-in.

• healthcheck.exe. Эта программа проверяет состояние работоспособности Defender для конечной точки и позволяет просматривать установленные версии WSL, подключаемого модуля и Defender для конечной точки. Его можно найти в папке %ProgramFiles%\Microsoft Defender для конечной точки подключаемый модуль для WSL\tools.

Этапы установки

Если подсистема Windows для Linux еще не установлен, выполните следующие действия.

1. Откройте терминал или командную строку. (В Windows перейдите в меню Пуск>Командная строка. Или щелкните правой кнопкой мыши кнопку "Пуск" и выберите Терминал.)

2. Выполните команду wsl -–install.

3. Убедитесь, что WSL установлен и запущен.

   1. С помощью терминала или командной строки выполните команду wsl –-update , чтобы убедиться, что у вас установлена последняя версия.

   2. Выполните команду, wsl чтобы убедиться, что WSL запущен перед тестированием.

4. Установите подключаемый модуль, выполнив следующие действия.

   1. Установите MSI-файл, скачанный из раздела подключения на портале Microsoft Defender (Параметры>подключения конечных>> точек подсистема Windows для Linux 2 (подключаемый модуль)).

   2. Откройте командную строку или терминал и выполните команду wsl.

   Пакет можно развернуть с помощью Microsoft Intune.

Примечание.

Если WslService выполняется, он останавливается во время процесса установки. Отдельное подключение подсистемы не требуется; Вместо этого подключаемый модуль автоматически подключается к клиенту, к который подключен узел Windows.

Контрольный список проверки установки

1. После обновления или установки подождите по крайней мере пять минут, пока подключаемый модуль полностью инициализирует и записывает выходные данные журнала.

2. Откройте терминал или командную строку. (В Windows перейдите в меню Пуск>Командная строка. Или щелкните правой кнопкой мыши кнопку "Пуск" и выберите Терминал.)

3. Выполните команду : cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

4. Выполните команду .\healthcheck.exe.

5. Просмотрите сведения о Defender и WSL и убедитесь, что они соответствуют следующим требованиям или превышают их.

   • Версия подключаемого модуля: 1.24.522.2
   • Версия WSL: 2.0.7.0 или более поздняя
   • Версия приложения Defender: 101.24032.0007
   • Состояние работоспособности Defender: Healthy

Настройка прокси-сервера для Defender, работающего в WSL

В этом разделе описывается настройка подключения прокси-сервера для подключаемого модуля Defender для конечной точки. Если ваше предприятие использует прокси-сервер для обеспечения подключения к Defender для конечной точки, работающей на узле Windows, продолжайте чтение, чтобы определить, нужно ли настроить его для подключаемого модуля.

Если вы хотите использовать конфигурацию прокси-сервера телеметрии EDR ведущего windows для MDE для подключаемого модуля WSL, больше ничего не требуется. Эта конфигурация автоматически внедряется подключаемым модулем.

Если вы хотите использовать конфигурацию прокси-сервера winhttp узла для MDE для подключаемого модуля WSL, больше ничего не требуется. Эта конфигурация автоматически внедряется подключаемым модулем.

Если вы хотите использовать параметры сети узла и сетевого прокси-сервера для MDE для подключаемого модуля WSL, больше ничего не требуется. Эта конфигурация автоматически внедряется подключаемым модулем.

Выбор прокси-сервера подключаемого модуля

Если хост-компьютер содержит несколько параметров прокси-сервера, подключаемый модуль выбирает конфигурации прокси-сервера со следующей иерархией:

1. Параметр статического прокси-сервера Defender для конечной точки (TelemetryProxyServer).

2. Winhttp прокси-сервер (настраивается с помощью netsh команды).

3. Параметры интернет-прокси & сети.

Пример. Если на хост-компьютере есть прокси-сервер Winhttp и сетевой & интернет-прокси, подключаемый модуль выбирает Winhttp proxy в качестве конфигурации прокси-сервера.

Примечание.

Раздел DefenderProxyServer реестра больше не поддерживается. Выполните описанные выше действия, чтобы настроить прокси-сервер в подключаемом модуле.

Проверка подключения для Defender, работающего в WSL

В следующей процедуре описывается, как убедиться, что Defender в конечной точке WSL имеет подключение к Интернету.

1. Откройте Редактор реестра от имени администратора.

2. Create раздел реестра со следующими сведениями:

   • Имя: ConnectivityTest
   • Тип: REG_DWORD
   • Значение: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
   • Путь: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

3. После настройки реестра перезапустите wsl, выполнив следующие действия:

   1. Откройте командную строку и выполните команду wsl --shutdown.

   2. Выполните команду wsl.

4. Подождите 5 минут, а затем выполните команду healthcheck.exe (найдите %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools по адресу для получения результатов теста подключения).

   В случае успешного выполнения вы увидите, что проверка подключения прошла успешно. В случае сбоя вы увидите, что тест invalid подключения указывает на сбой подключения клиента из WSL к URL-адресам службы Defender для конечных точек.

Примечание.

Сведения о настройке прокси-сервера для использования в контейнерах WSL (дистрибутивах, работающих в подсистеме), см. в статье Настройка дополнительных параметров в WSL.

Проверка функциональности и взаимодействия аналитиков SOC

После установки подключаемого модуля подсистема и все работающие контейнеры подключаются к порталу Microsoft Defender.

1. Войдите на портал Microsoft Defender и откройте представление Устройства.

2. Выполните фильтрацию с помощью тега WSL2.

Вы можете просмотреть все экземпляры WSL в своей среде с помощью активного подключаемого модуля Defender для конечной точки для WSL. Эти экземпляры представляют все дистрибутивы, выполняемые внутри WSL на заданном узле. Имя узла устройства совпадает с именем узла Windows. Однако он представлен как устройство Linux.

3. Откройте страницу устройства. В области Обзор есть ссылка на место размещения устройства. Ссылка позволяет понять, что устройство работает на узле Windows. Затем можно выполнить сводку к узлу для дальнейшего изучения и (или) ответа.

   

Временная шкала заполняется, как в Defender для конечной точки в Linux, событиями из подсистемы (файл, процесс, сеть). Вы можете наблюдать за действиями и обнаружениями в представлении временная шкала. Оповещения и инциденты также создаются соответствующим образом.

Тестирование подключаемого модуля

Чтобы протестировать подключаемый модуль после установки, выполните следующие действия.

1. Откройте терминал или командную строку. (В Windows перейдите в меню Пуск>Командная строка. Или щелкните правой кнопкой мыши кнопку "Пуск" и выберите Терминал.)

2. Выполните команду wsl.

3. Скачайте и извлеките файл скрипта из https://aka.ms/LinuxDIY.

4. В командной строке Linux выполните команду ./mde_linux_edr_diy.sh.

   Оповещение должно появиться на портале через несколько минут для обнаружения в экземпляре WSL2.

   Примечание.

   События отображаются на портале Microsoft Defender около 5 минут.

Относитесь к компьютеру так, как если бы он был обычным узлом Linux в вашей среде для выполнения тестирования. В частности, мы хотели бы получить ваши отзывы о возможности выявлять потенциально вредоносное поведение с помощью нового подключаемого модуля.

Расширенная охота

В схеме Расширенной охоты в DeviceInfo таблице есть новый атрибут с именем HostDeviceId , который можно использовать для сопоставления экземпляра WSL с его хост-устройством Windows. Ниже приведено несколько примеров запросов на поиск:

Получение всех идентификаторов устройств WSL для текущей организации или клиента

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Получение идентификаторов устройств WSL и соответствующих идентификаторов устройств узла

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Получение списка идентификаторов устройств WSL, на которых выполнялась curl или wget

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Устранение неполадок

1. Команда healthcheck.exe отображает выходные данные : "Запустите дистрибутив WSL с помощью команды bash и повторите попытку через 5 минут".

   

2. Если произошла ранее упомянутая ошибка, выполните следующие действия.

   1. Откройте экземпляр терминала и выполните команду wsl.

   2. Подождите по крайней мере 5 минут, прежде чем повторно запустить проверка работоспособности.

3. Команда healthcheck.exe может отобразить выходные данные "Ожидание телеметрии. Повторите попытку через 5 минут.

   

   Если возникает эта ошибка, подождите 5 минут и повторно запустите healthcheck.exe.

4. Если на портале Microsoft Defender не отображаются устройства или события на временная шкала не отображаются, проверка следующее:

   • Если вы не видите объект компьютера, убедитесь, что прошло достаточно времени для завершения подключения (обычно до 10 минут).

   • Убедитесь, что используются правильные фильтры и вам назначены соответствующие разрешения для просмотра всех объектов устройства. (Например, ограничена ли ваша учетная запись или группа определенной группой?)

   • Используйте средство проверка работоспособности, чтобы предоставить общие сведения о работоспособности подключаемого модуля. Откройте терминал и запустите средство из healthcheck.exe%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

     

   • Включите тест подключения и проверка подключения к Defender для конечной точки в WSL. Если проверка подключения завершается сбоем, предоставьте выходные данные средства проверка работоспособности в службу поддержки.

   • Если тест подключения сообщает о недопустимости в проверка работоспособности, добавьте следующие параметры конфигурации в .wslconfig%UserProfile% и перезапустите WSL. Дополнительные сведения о параметрах можно найти в разделе Параметры WSL.

     • В Windows 11

       # Settings apply across all Linux distros running on WSL 2
       [wsl2]
       
       dnsTunneling=true
       
       networkingMode=mirrored  
       

     • В Windows 10

       # Settings apply across all Linux distros running on WSL 2
       [wsl2]
       
       dnsProxy=false
       

5. Если вы сталкиваетесь с другими проблемами или проблемами, откройте терминал и выполните следующие команды, чтобы создать пакет поддержки:

   cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
   

   .\healthcheck.exe --supportBundle 
   

   Пакет поддержки можно найти по пути, указанному предыдущей командой.

   

6. Конечная точка Microsoft Defender для WSL поддерживает дистрибутивы Linux, работающие в WSL 2. Если они связаны с WSL 1, могут возникнуть проблемы. Поэтому рекомендуется отключить WSL 1. Чтобы сделать это с помощью политики Intune, выполните следующие действия.

   1. Перейдите в центр администрирования Microsoft Intune.

   2. Перейдите враздел Профили> конфигурации устройств>Create>Новая политика.

   3. Выберите Windows 10 и более поздних версий>Каталог параметров.

   4. Create имя нового профиля и найдите подсистема Windows для Linux, чтобы просмотреть и добавить полный список доступных параметров.

   5. Задайте для параметра Разрешить WSL1 значение Отключено, чтобы обеспечить возможность использования только дистрибутивов WSL 2.

      Кроме того, если вы хотите продолжать использовать WSL 1 или не использовать политику Intune, вы можете выборочно связать установленные дистрибутивы для запуска в WSL 2, выполнив команду в PowerShell:

      wsl --set-version <YourDistroName> 2
      

      Чтобы использовать WSL 2 в качестве версии WSL по умолчанию для установки новых дистрибутивов в системе, выполните следующую команду в PowerShell:

      wsl --set-default-version 2
      

7. Подключаемый модуль по умолчанию использует круг Windows EDR. Если вы хотите переключиться на более раннее кольцо, установите OverrideReleaseRing в реестре одно из следующих значений и перезапустите WSL:

• Имя: OverrideReleaseRing
• Тип: REG_SZ
• Значение: Dogfood or External or InsiderFast or Production
• Путь: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

8. Если при запуске WSL отображается ошибка, например "Неустранимая ошибка была возвращена подключаемым модулем DefenderforEndpointPlug-in" Код ошибки: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND", это означает, что подключаемый модуль Defender для конечной точки для установки WSL неисправен. Чтобы восстановить его, выполните следующие действия.

   1. В панель управления выберите Программы>и компоненты.

   2. Найдите и выберите Microsoft Defender для конечной точки подключаемый модуль для WSL. Затем выберите Восстановить.

   Это должно устранить проблему, разместив нужные файлы в ожидаемых каталогах.