Microsoft Defender för Endpoint plugin-program för Windows-undersystem för Linux (WSL)

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 2
• Windows 11
• Windows 10 version 2004 och senare (version 19044 och senare)

Översikt

Windows-undersystem för Linux (WSL) 2, som ersätter den tidigare versionen av WSL (stöds av Microsoft Defender för Endpoint utan plugin-program), tillhandahåller en Linux-miljö som är sömlöst integrerad med Windows, men ändå är isolerad med virtualiseringsteknik. Med plugin-programmet Defender för Endpoint för WSL kan Defender för Endpoint ge mer insyn i alla WSL-containrar som körs genom att ansluta till det isolerade undersystemet.

Kända problem och begränsningar

Tänk på följande innan du börjar:

1. Plugin-programmet stöder inte automatiska uppdateringar av versioner före 1.24.522.2. Vid version 1.24.522.2 och senare stöds uppdateringar via Windows Update i alla ringar. Uppdateringar via Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) och Microsoft Update-katalogen stöds endast i produktionsringen för att säkerställa paketstabilitet.

2. Det tar några minuter för plugin-programmet att instansieras helt och upp till 30 minuter för en WSL2-instans att registrera sig själv. Kortvariga WSL-containerinstanser kan resultera i att WSL2-instansen inte visas i Microsoft Defender-portalen (https://security.microsoft.com). När distributionen har körts tillräckligt länge (minst 30 minuter) visas den.

3. Det går inte att köra en anpassad kernel- och anpassad kernel-kommandorad. Även om plugin-programmet inte blockerar körningen i den konfigurationen garanterar det inte synlighet inom WSL när du kör en anpassad kernel- och anpassad kernelkommandorad. Vi rekommenderar att du blockerar sådana konfigurationer med hjälp av Microsoft Intune wsl-inställningar.

4. OS-distribution visas Ingen på sidan Enhetsöversikt för en WSL-enhet i Microsoft Defender-portalen.

5. Plugin-programmet stöds inte på datorer med ARM64-processor.

6. Plugin-programmet ger insyn i händelser från WSL, men andra funktioner som program mot skadlig kod, Hantering av hot och säkerhetsrisker och svarskommandon är inte tillgängliga för den logiska WSL-enheten.

Programvarukrav

• WSL version 2.0.7.0 eller senare måste köras med minst en aktiv distribution.

  Kör wsl --update för att kontrollera att du har den senaste versionen. Om wsl -–version visar en version som är äldre än 2.0.7.0kör du wsl -–update –pre-release för att hämta den senaste uppdateringen.

• Windows-klientenheten måste vara registrerad i Defender för Endpoint.

• Windows-klientenheten måste köra Windows 10 version 2004 och senare (version 19044 och senare) eller Windows 11 för att stödja de WSL-versioner som kan fungera med plugin-programmet.

Filnamn för programvarukomponenter och installationsprogram

Installationsprogram: DefenderPlugin-x64-0.24.426.1.msi. Du kan ladda ned den från registreringssidan i Microsoft Defender-portalen. (Gå till Inställningar>Slutpunkter>Registrering.)

Installationskataloger:

• %ProgramFiles%

• %ProgramData%

Installerade komponenter:

• DefenderforEndpointPlug-in.dll. Den här DLL-filen är biblioteket för att läsa in Defender för Endpoint så att den fungerar i WSL. Du hittar den på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

• healthcheck.exe. Det här programmet kontrollerar hälsostatusen för Defender för Endpoint och gör att du kan se de installerade versionerna av WSL, plugin-programmet och Defender för Endpoint. Du hittar den på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

Installationssteg

Om Windows-undersystem för Linux inte har installerats än följer du dessa steg:

1. Öppna terminalen eller kommandotolken. (I Windows går du till Start>Kommandotolk. Eller högerklicka på startknappen och välj sedan Terminal.)

2. Kör kommandot wsl -–install.

3. Bekräfta att WSL är installerat och körs.

   1. Använd terminalen eller kommandotolken och kör wsl –-update för att kontrollera att du har den senaste versionen.

   2. wsl Kör kommandot för att säkerställa att WSL körs innan du testar.

4. Installera plugin-programmet genom att följa dessa steg:

   1. Installera MSI-filen som laddades ned från onboarding-avsnittet i Microsoft Defender-portalen (Inställningar>Endpoints>Onboarding>Windows-undersystem för Linux 2 (plugin-program)).

   2. Öppna en kommandotolk/terminal och kör wsl.

   Du kan distribuera paketet med hjälp av Microsoft Intune.

Obs!

Om WslService körs stoppas den under installationsprocessen. Du behöver inte registrera undersystemet separat. I stället registreras plugin-programmet automatiskt till den klientorganisation som Windows-värden registreras i.

Checklista för installationsverifiering

1. Efter uppdateringen eller installationen väntar du i minst fem minuter på att plugin-programmet ska initiera och skriva loggutdata helt.

2. Öppna terminalen eller kommandotolken. (I Windows går du till Start>Kommandotolk. Eller högerklicka på startknappen och välj sedan Terminal.)

3. Kör kommandot: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

4. Kör kommandot .\healthcheck.exe.

5. Granska informationen om Defender och WSL och se till att de matchar eller överskrider följande krav:

   • Plugin-version: 1.24.522.2
   • WSL-version: 2.0.7.0 eller senare
   • Version av Defender-appen: 101.24032.0007
   • Status för Defender-hälsotillstånd: Healthy

Ange en proxy för Defender som körs i WSL

I det här avsnittet beskrivs hur du konfigurerar proxyanslutning för plugin-programmet Defender för Endpoint. Om ditt företag använder en proxy för att tillhandahålla anslutning till Defender för Endpoint som körs på Windows-värden fortsätter du att läsa för att avgöra om du behöver konfigurera den för plugin-programmet.

Om du vill använda värdkonfigurationen för Windows EDR-telemetriproxy för MDE för WSL-plugin-programmet krävs inget mer. Den här konfigurationen används automatiskt av plugin-programmet.

Om du vill använda värdkonfigurationen för winhttp proxy för MDE för WSL-plugin-programmet krävs inget mer. Den här konfigurationen används automatiskt av plugin-programmet.

Om du vill använda inställningen för värdnätverks- och nätverksproxy för MDE för WSL-plugin-programmet krävs inget mer. Den här konfigurationen används automatiskt av plugin-programmet.

Obs!

WSL Defender stöder endast http proxy.

Val av plugin-proxy

Om värddatorn innehåller flera proxyinställningar väljer plugin-programmet proxykonfigurationerna med följande hierarki:

1. Inställning för statisk proxy för Defender för Endpoint (TelemetryProxyServer).

2. Winhttp proxy (konfigurerad via netsh kommando).

3. Inställningar för nätverksproxy & Internetproxy.

Om värddatorn till exempel har både Winhttp proxy och Network & Internet proxyväljer Winhttp proxy plugin-programmet som proxykonfiguration.

Obs!

Registernyckeln DefenderProxyServer stöds inte längre. Följ stegen som beskrivs tidigare i den här artikeln för att konfigurera proxy i plugin-programmet.

Anslutningstest för Defender som körs i WSL

Defender-anslutningstestet utlöses när det finns en proxyändring på enheten och är schemalagd att köras varje timme.

När du startar wsl-datorn väntar du i 5 minuter och kör healthcheck.exe sedan (finns på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools för resultatet av anslutningstestet). Om det lyckas kan du se att anslutningstestet lyckades. Om det inte går kan du se att anslutningstestet invalid anger att klientanslutningen från MDE plugin-programmet för WSL till DEFENDER för Endpoint-tjänstens URL:er misslyckas.

Obs!

Registernyckeln ConnectivityTest stöds inte längre. Information om hur du anger en proxy för användning i WSL-containrar (distributionerna som körs i undersystemet) finns i Konfiguration av avancerade inställningar i WSL.

Verifiera funktioner och SOC-analytikerupplevelse

När plugin-programmet har installerats registreras undersystemet och alla containrar som körs på Microsoft Defender-portalen.

1. Logga in på Microsoft Defender-portalen och öppna vyn Enheter.

2. Filtrera med taggen WSL2.

   

   Du kan se alla WSL-instanser i din miljö med ett aktivt Defender för Endpoint-plugin-program för WSL. Dessa instanser representerar alla distributioner som körs i WSL på en viss värd. Värdnamnet för en enhet matchar Windows-värdens. Den representeras dock som en Linux-enhet.

3. Öppna enhetssidan. I fönstret Översikt finns en länk till var enheten finns. Med länken kan du förstå att enheten körs på en Windows-värd. Du kan sedan pivotleda till värden för ytterligare undersökning och/eller svar.

   

Tidslinjen är ifylld, ungefär som Defender för Endpoint i Linux, med händelser inifrån undersystemet (fil, process, nätverk). Du kan se aktivitet och identifieringar i tidslinjevyn. Aviseringar och incidenter genereras även efter behov.

Konfigurera anpassad tagg för WSL-datorn

Plugin-programmet registrerar WSL-datorn med taggen WSL2. Om du eller din organisation behöver en anpassad tagg följer du stegen nedan:

1. Öppna Registry Editor som administratör.

2. Skapa en registernyckel med följande information:

   • Namn: GROUP
   • Typ: REG_SZ eller registersträng
   • Värde: Custom tag
   • Stig: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging

3. När registret har angetts startar du om wsl med hjälp av följande steg:

   1. Öppna kommandotolken och kör kommandot . wsl --shutdown

   2. Kör kommandot wsl.

4. Vänta i 5–10 minuter för att portalen ska återspegla ändringarna.

Obs!

Den anpassade tagguppsättningen i registret följs av en _WSL2. Om registervärdeuppsättningen till exempel är Microsoftblir Microsoft_WSL2 den anpassade taggen och samma visas i portalen.

Testa plugin-programmet

Testa plugin-programmet efter installationen genom att följa dessa steg:

1. Öppna terminalen eller kommandotolken. (I Windows går du till Start>Kommandotolk. Eller högerklicka på startknappen och välj sedan Terminal.)

2. Kör kommandot wsl.

3. Ladda ned och extrahera skriptfilen från https://aka.ms/MDE-Linux-EDR-DIY.

4. Kör kommandot ./mde_linux_edr_diy.shi Linux-prompten.

   En avisering bör visas i portalen efter några minuter för en identifiering på WSL2-instansen.

   Obs!

   Det tar ungefär fem minuter innan händelserna visas på Microsoft Defender-portalen.

Behandla datorn som om den vore en vanlig Linux-värd i din miljö att utföra testning mot. I synnerhet vill vi få din feedback om möjligheten att visa potentiellt skadligt beteende med hjälp av det nya plugin-programmet.

Avancerad jakt

I schemat Avancerad jakt, under DeviceInfo tabellen, finns det ett nytt attribut med namnet HostDeviceId som du kan använda för att mappa en WSL-instans till dess Windows-värdenhet. Här är några exempel på jaktfrågor:

Hämta alla WSL-enhets-ID:n för den aktuella organisationen/klientorganisationen

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Hämta WSL-enhets-ID:n och deras motsvarande värdenhets-ID:n

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Hämta en lista över WSL-enhets-ID:n där curl eller wget kördes

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Felsökning

Kommandot healthcheck.exe visar utdata: "Starta WSL-distribution med bash-kommandot och försök igen om fem minuter."

1. Öppna en terminalinstans och kör kommandot wsl.

2. Vänta i minst fem minuter innan du kör hälsokontrollen igen.

Kommandot healthcheck.exe kan visa utdata: "Väntar på telemetri. Försök igen om fem minuter."

Om felet inträffar väntar du i fem minuter och kör healthcheck.exeom .

Du ser inga enheter i Microsoft Defender-portalen eller så ser du inga händelser på tidslinjen

Kontrollera följande:

• Om du inte ser ett datorobjekt kontrollerar du att det har gått tillräckligt med tid för registrering att slutföras (vanligtvis upp till 10 minuter).

• Se till att använda rätt filter och att du har rätt behörigheter för att visa alla enhetsobjekt. (Är ditt konto/din grupp till exempel begränsad till en viss grupp?)

• Använd hälsokontrollverktyget för att ge en översikt över det övergripande plugin-programmets hälsotillstånd. Öppna Terminal och kör healthcheck.exe verktyget från %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

  

• Aktivera anslutningstestet och sök efter Defender för Endpoint-anslutning i WSL. Om anslutningstestet misslyckas anger du utdata för hälsokontrollverktyget till vårt supportteam.

Anslutningstestet rapporterar "ogiltigt" i hälsokontrollen

• Om datorn har en proxykonfiguration kör du kommandot healthCheck --extendedProxy. Detta ger information om vilka proxyservrar som har angetts på datorn och om dessa konfigurationer är ogiltiga för WSL Defender.

  

• Om stegen ovan inte åtgärdar problemet ska du inkludera följande konfigurationsinställningar i .wslconfig%UserProfile% och starta om WSL. Information om inställningar finns i WSL-inställningar.

  I Windows 11

  
  # Settings apply across all Linux distros running on WSL 2
  [wsl2]
  
  dnsTunneling=true
  
  networkingMode=mirrored  
  

  I Windows 10

  # Settings apply across all Linux distros running on WSL 2
  [wsl2]
  
  dnsProxy=false
  
  

Anslutningsproblem kvarstår

Samla in nätverksloggarna genom att följa dessa steg:

1. Öppna en upphöjd (administratör) PowerShell-prompt.

2. Ladda ned och kör: .\collect-networking-logs.ps1

   
   Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
   Set-ExecutionPolicy Bypass -Scope Process -Force
   .\collect-networking-logs.ps1
   
   

3. Öppna en ny kommandotolk och kör följande kommando: wsl.

4. Öppna en upphöjd kommandotolk (administratör) och kör följande kommando: wsl --debug-shell.

5. I felsökningsgränssnittet kör du: mdatp connectivity test.

6. Tillåt att anslutningstestet slutförs.

7. Stoppa .ps1 kördes i steg 2.

8. Dela den genererade .zip-filen tillsammans med supportpaket som kan samlas in enligt stegen.

Samla in ett supportpaket

1. Om du stöter på andra utmaningar eller problem öppnar du Terminal och kör följande kommandon för att generera ett supportpaket:

   cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
   

   .\healthcheck.exe --supportBundle 
   

   Supportpaketet finns i sökvägen som tillhandahålls av föregående kommando.

   

2. Microsoft Defender Slutpunkt för WSL stöder Linux-distributioner som körs på WSL 2. Om de är associerade med WSL 1 kan det uppstå problem. Därför rekommenderar vi att du inaktiverar WSL 1. Utför följande steg för att göra det med Intune-principen:

   1. Gå till administrationscentret för Microsoft Intune.

   2. Gå tillEnhetskonfigurationsprofiler>>Skapa>ny princip.

   3. Välj Windows 10 och senare>Inställningskatalog.

   4. Skapa ett namn för den nya profilen och sök efter Windows-undersystem för Linux för att se och lägga till den fullständiga listan över tillgängliga inställningar.

   5. Ange inställningen Tillåt WSL1 till Inaktiverad för att säkerställa att endast WSL 2-distributioner kan användas.

      Om du vill fortsätta använda WSL 1 eller inte använda Intune-principen kan du också selektivt associera dina installerade distributioner så att de körs på WSL 2 genom att köra kommandot i PowerShell:

      wsl --set-version <YourDistroName> 2
      

      Om du vill ha WSL 2 som standardversion av WSL för att nya distributioner ska installeras i systemet kör du följande kommando i PowerShell:

      wsl --set-default-version 2
      

3. Plugin-programmet använder Windows EDR-ringen som standard. Om du vill växla till en tidigare ring anger du OverrideReleaseRing något av följande under registret och startar om WSL:

   • Namn: OverrideReleaseRing
   • Typ: REG_SZ
   • Värde: Dogfood or External or InsiderFast or Production
   • Sökväg: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL

4. Om du ser ett fel när du startar WSL, till exempel "Ett allvarligt fel returnerades av plugin-programmet DefenderforEndpointPlug-in" Felkod: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND" innebär det att plugin-programmet Defender för Endpoint för WSL-installationen är felaktigt. Följ dessa steg för att reparera den:

   1. I Kontrollpanelen går du till Program>och funktioner.

   2. Sök efter och välj Microsoft Defender för Endpoint plugin-program för WSL. Välj sedan Reparera. Den här åtgärden bör åtgärda problemet genom att placera rätt filer i de förväntade katalogerna.