Развертывание Microsoft Defender для конечной точки в Linux вручную

Область применения:

• Microsoft Defender для конечной точки для серверов

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Вы можете развернуть Defender для конечной точки в Linux с помощью различных средств и методов. В этой статье описывается, как вручную развернуть Defender для конечной точки в Linux. Чтобы использовать другой метод, см. раздел Связанное содержимое.

Важно!

Если вы хотите параллельно запустить несколько решений безопасности, см. раздел Рекомендации по производительности, конфигурации и поддержке.

Возможно, вы уже настроили взаимные исключения безопасности для устройств, подключенных к Microsoft Defender для конечной точки. Если вам по-прежнему нужно настроить взаимные исключения, чтобы избежать конфликтов, см. раздел Добавление Microsoft Defender для конечной точки в список исключений для существующего решения.

Действия по развертыванию вручную

Для успешного развертывания требуется выполнить все следующие задачи:

• Предварительные требования и требования к системе
• Настройка репозитория программного обеспечения Linux
  • RHEL и варианты (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky и Alma)
  • SLES и варианты
  • Системы Ubuntu и Debian
  • Mariner
• Предварительная установка для установки пользовательского расположения
• Установка приложения
  • RHEL и варианты (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky и Alma)
  • SLES и варианты
  • Системы Ubuntu и Debian
  • Mariner
• Скачивание пакета подключения
• Конфигурация клиента

Предварительные требования и требования к системе

Прежде чем приступить к работе, ознакомьтесь с описанием предварительных требований и системных требований для текущей версии программного обеспечения в разделе Предварительные требования для Defender для конечной точки в Linux .

Предупреждение

Для обновления операционной системы до новой основной версии после установки продукта требуется переустановка продукта. Необходимо удалить существующее приложение Defender для конечной точки в Linux, обновить операционную систему, а затем перенастроить Defender для конечной точки в Linux, выполнив действия, описанные в этой статье.

Настройка репозитория программного обеспечения Linux

Defender для конечной точки в Linux можно развернуть из одного из следующих каналов (обозначаемых как [канал]): участники программы предварительной оценки — fast, insiders-slow или prod. Каждый из этих каналов соответствует репозиторию программного обеспечения Linux. Инструкции в этой статье описывают настройку устройства для использования одного из этих репозиториев.

Выбор канала определяет тип и частоту обновлений, предлагаемых вашему устройству. Устройства в программе предварительной оценки являются первыми, кто получает обновления и новые функции, а затем инсайдеры медленно и, наконец, prod.

Для предварительного просмотра новых функций и предоставления ранних отзывов рекомендуется настроить некоторые устройства в организации для использования программы предварительной оценки быстрой или медленной для участников программы предварительной оценки.

Предупреждение

Переключение канала после начальной установки требует переустановки продукта. Чтобы переключить канал продукта, удалите существующий пакет, перенастройте устройство для использования нового канала и выполните действия, описанные в этом документе, чтобы установить пакет из нового расположения.

RHEL и варианты (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky и Alma)

1. Установите yum-utils , если он еще не установлен:

   sudo yum install yum-utils
   

2. Найдите правильный пакет для дистрибутива и версии. Используйте следующую таблицу, чтобы помочь вам найти пакет:

   Версия дистрибутива &	Пакет
   Альма 8.4 и выше	https://packages.microsoft.com/config/alma/8/prod.repo
   Альма 9.2 и выше	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0–9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2	https://packages.microsoft.com/config/amazonlinux/2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   Rocky 8.7 и более поздних версий	https://packages.microsoft.com/config/rocky/8/prod.repo
   Rocky 9.2 и более поздних версий	https://packages.microsoft.com/config/rocky/9/prod.repo

   Примечание.

   Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе https://packages.microsoft.com/config/rhel/.

   Совет

   Сетевые средства исправления ядра, такие как Ksplice или аналогичные, могут привести к непредсказуемой стабильности ОС, если Defender для конечной точки запущен. Рекомендуется временно остановить управляющую программу Defender для конечной точки перед выполнением оперативной установки исправлений ядра. После обновления ядра Defender для конечной точки в Linux можно безопасно перезапустить. Это действие особенно важно для систем под управлением Oracle Linux.

3. В следующих командах замените [версию] и [канал] сведениями, которые вы определили:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   Совет

   Используйте команду hostnamectl для определения сведений о системе, включая выпуск [версия].

   Например, если вы используете CentOS 7 и хотите развернуть Defender для конечной точки в Linux из prod канала:

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   Или, если вы хотите изучить новые функции на выбранных устройствах, вы можете развернуть Defender для конечной точки в Linux на канале с высокой скоростью предварительной оценки :

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Установите открытый ключ Microsoft GPG:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES и варианты

Примечание.

Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе https://packages.microsoft.com/config/sles/.

1. В следующих командах замените [дистрибутив] и [версию] сведениями, которые вы определили:

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   Совет

   Используйте команду SPident, чтобы определить системные сведения, включая выпуск [версия].

   Например, если вы используете SLES 12 и хотите развернуть Defender для конечной точки в Linux из prod канала:

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Установите открытый ключ Microsoft GPG:

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Системы Ubuntu и Debian

1. Установите curl , если он еще не установлен:

   sudo apt install curl
   

2. Установите libplist-utils , если он еще не установлен:

   sudo apt install libplist-utils
   

   Примечание.

   Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе https://packages.microsoft.com/config/[distro]/.

3. В следующей команде замените [дистрибутив] и [версию] указанными сведениями:

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   Совет

   Используйте команду hostnamectl для определения сведений о системе, включая выпуск [версия].

   Например, если вы используете Ubuntu 18.04 и хотите развернуть Defender для конечной точки в Linux из prod канала:

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. Установите конфигурацию репозитория:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   Например, если вы выбрали prod канал:

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. Установите пакет, gpg если он еще не установлен:

   sudo apt install gpg
   

   Если gpg он недоступен, установите gnupg.

   sudo apt install gnupg
   

6. Установите открытый ключ Microsoft GPG:

   • Для Debian 11/Ubuntu 22.04 и более ранних версий выполните следующую команду.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Для Debian 12, Ubuntu 24.04 и более поздних версий выполните следующую команду.

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

   • Для Debian 13 и более поздних версий выполните следующую команду.

     curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. Установите драйвер HTTPS, если он еще не установлен:

   sudo apt install apt-transport-https
   

8. Обновите метаданные репозитория:

   sudo apt update
   

Mariner

1. Установите dnf-plugins-core , если он еще не установлен:

   sudo dnf install dnf-plugins-core
   

2. Настройте и включите необходимые репозитории.

   Примечание.

   В Mariner канал Insider Fast недоступен.

   Если вы хотите развернуть Defender для конечной prod точки в Linux из канала. Используйте следующие команды

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   Или, если вы хотите изучить новые функции на выбранных устройствах, вы можете развернуть Defender для конечной точки в Linux в канале с медленными внутренними данными . Используйте следующие команды:

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

Предварительная установка для установки пользовательского расположения

Эти действия применимы только в том случае, если Defender должен быть установлен в пользовательском расположении. Подробные инструкции по установке Microsoft Defender для конечной точки в пользовательское расположение см. в статье Установка вручную: предварительная установка.

Дополнительные сведения об установке в пользовательское расположение см. в статье Включение развертывания Defender для конечной точки в Linux в пользовательском расположении.

Установка приложения

Используйте команды в следующих разделах, чтобы установить Defender для конечной точки в дистрибутиве Linux.

RHEL и варианты (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky и Alma)

sudo yum install mdatp

Примечание.

Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала, production если на этом устройстве также insiders-fast настроен канал репозитория. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве. В зависимости от дистрибутива и версии сервера псевдоним репозитория может отличаться от псевдонима в следующем примере.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES и варианты

sudo zypper install mdatp

Примечание.

Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала, production если на этом устройстве также insiders-fast настроен канал репозитория. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Системы Ubuntu и Debian

sudo apt install mdatp

Примечание.

Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала, production если на этом устройстве также insiders-fast настроен канал репозитория. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Примечание.

Перезагрузки не требуются после установки или обновления Microsoft Defender для конечной точки в Linux, за исключением случаев, когда выполняется auditD в неизменяемом режиме.

Mariner

sudo dnf install mdatp

Примечание.

Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала, production если на этом устройстве также insiders-slow настроен канал репозитория. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Скачивание пакета подключения

Скачайте пакет подключения с портала Microsoft Defender.

Предупреждение

Переупаковка пакета установки Defender для конечной точки не поддерживается. Это может негативно повлиять на целостность продукта и привести к неблагоприятным результатам, включая, помимо прочего, активацию оповещений и обновлений о незаконном изменении.

Важно!

Если вы пропустите этот шаг, любая выполненная команда отображает предупреждающее сообщение о том, что продукт не лицензирован. Кроме того, mdatp health команда возвращает значение false.

1. На портале Microsoft Defender перейдите в раздел Параметры Конечные>>точкиПодключениеуправления устройствами>.

2. В первом раскрывающемся меню выберите Сервер Linux в качестве операционной системы. Во втором раскрывающемся меню выберите Локальный скрипт в качестве метода развертывания.

3. Выберите Скачать пакет подключения. Сохраните файл как WindowsDefenderATPOnboardingPackage.zip.

   

4. В командной строке убедитесь, что у вас есть файл, и извлеките содержимое архива:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Конфигурация клиента

1. Копирование MicrosoftDefenderATPOnboardingLinuxServer.py на целевое устройство.

   Примечание.

   Изначально клиентское устройство не связано с организацией, а атрибут orgId пуст.

   mdatp health --field org_id
   

2. В зависимости от сценария выполните одну из следующих команд:

   Примечание.

   Чтобы выполнить эту команду, необходимо иметь python или python3 установить на устройстве в зависимости от дистрибутива и версии. При необходимости см. пошаговые инструкции по установке Python в Linux.

   Если вы используете RHEL 8.x или Ubuntu 20.04 или более поздней версии, необходимо использовать python3. Выполните следующую команду:

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   Для других дистрибутивов и версий необходимо использовать python. Выполните следующую команду:

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Убедитесь, что устройство теперь связано с вашей организацией, и сообщите о допустимом идентификаторе организации:

   mdatp health --field org_id
   

4. Проверьте состояние работоспособности продукта, выполнив следующую команду. Возвращаемое значение true означает, что продукт работает должным образом:

   mdatp health --field healthy
   

   Важно!

   Когда продукт запускается в первый раз, он загружает последние определения защиты от вредоносных программ. Этот процесс может занять до нескольких минут в зависимости от сетевого подключения. В течение этого времени команда, упомянутая ранее, возвращает значение false. Состояние обновления определения можно проверка с помощью следующей команды:

   mdatp health --field definitions_status
   

   После завершения начальной установки также может потребоваться настроить прокси-сервер. См . раздел Настройка Defender для конечной точки в Linux для обнаружения статических прокси-серверов: конфигурация после установки.

5. Запустите тест обнаружения антивирусной программы, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

   1. Убедитесь, что включена защита в режиме реального true времени (обозначается результатом выполнения следующей команды):

      mdatp health --field real_time_protection_enabled
      

      Если он не включен, выполните следующую команду:

      mdatp config real-time-protection --value enabled
      

   2. Чтобы запустить тест обнаружения, откройте окно терминала и выполните следующую команду:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. Вы можете выполнить дополнительные тесты обнаружения в ZIP-файлах с помощью любой из следующих команд:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Файлы должны быть помещены в карантин Defender для конечной точки в Linux.

   4. Используйте следующую команду, чтобы получить список всех обнаруженных угроз:

      mdatp threat list
      

6. Запустите тест обнаружения EDR и имитируйте обнаружение, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

   1. Убедитесь, что подключенный сервер Linux отображается в Microsoft Defender XDR. Если это первое подключение к компьютеру, это может занять до 20 минут, пока он появится.

   2. Скачайте и извлеките файл скрипта на подключенный сервер Linux, а затем выполните следующую команду: ./mde_linux_edr_diy.sh

      Через несколько минут обнаружение должно быть поднято в Microsoft Defender XDR.

   3. Просмотрите сведения об оповещении, временная шкала компьютера и выполните типичные действия по расследованию.

Зависимости внешних пакетов

Дополнительные сведения см. в разделе Предварительные требования для Microsoft Defender для конечной точки в Linux: зависимость внешнего пакета.

Устранение неполадок при установке

Если у вас возникли проблемы с установкой, для самостоятельного устранения неполадок выполните следующие действия.

1. Сведения о том, как найти журнал, который создается автоматически при возникновении ошибки установки, см. в разделе Проблемы с установкой журнала.

2. Сведения о распространенных проблемах с установкой см. в разделе Проблемы с установкой.

3. Если работоспособность устройства — false, см. статью Проблемы работоспособности агента Конечной точки в Defender.

4. Сведения о проблемах с производительностью продукта см. в статье Устранение проблем с производительностью.

5. Сведения о проблемах с прокси-сервером и подключением см. в статье Устранение неполадок с подключением к облаку.

Чтобы получить поддержку от Корпорации Майкрософт, откройте запрос в службу поддержки и предоставьте файлы журнала, созданные с помощью анализатора клиента.

Переключение между каналами

Например, чтобы изменить канал с Insiders-Fast на рабочий, сделайте следующее:

1. Удалите версию Insiders-Fast channel Defender для конечной точки в Linux.

   sudo yum remove mdatp
   

2. Отключение канала Insiders-Fast Defender для конечной точки в Linux

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Переустановите Microsoft Defender для конечной точки в Linux с помощью Production channelи подключение устройства на портале Microsoft Defender.

Настройка политик для Defender для конечной точки в Linux

Сведения о настройке параметров антивирусной программы и EDR см. в следующих статьях:

• Управление параметрами безопасности Defender для конечной точки описывает настройку параметров на портале Microsoft Defender. (Этот метод рекомендуется.)
• Настройка параметров Defender для конечной точки в Linux описывает параметры, которые можно настроить.

Удаление Defender для конечной точки в Linux

Для удаления вручную выполните следующую команду для дистрибутива Linux.

• sudo yum remove mdatp для RHEL и вариантов (CentOS и Oracle Linux).
• sudo zypper remove mdatp для SLES и вариантов.
• sudo apt purge mdatp для систем Ubuntu и Debian.
• sudo dnf remove mdatp для Маринера

Связанные материалы

• Предварительные требования для Defender для конечной точки в Linux

• Другие методы развертывания:

  • Развертывание на основе скрипта установщика
  • Развертывание на основе Ansible
  • Развертывание на основе Chef
  • Развертывание на основе Puppet
  • Развертывание на основе Saltstack
  • Подключение компьютеров, отличных от Azure, к Defender для облака с помощью Defender для конечной точки (прямое подключение с помощью Defender для облака)
  • Руководство по развертыванию Defender для конечной точки в Linux для SAP
  • Установка Defender для конечной точки в Linux в пользовательском расположении

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.