Dela via


Microsoft Defender för Endpoint plugin-program för Windows-undersystem för Linux (WSL)

Gäller för:

Översikt

Windows-undersystem för Linux (WSL) 2, som ersätter den tidigare versionen av WSL (stöds av Microsoft Defender för Endpoint utan plugin-program), tillhandahåller en Linux-miljö som är sömlöst integrerad med Windows, men ändå är isolerad med virtualiseringsteknik. Med plugin-programmet Defender för Endpoint för WSL kan Defender för Endpoint ge mer insyn i alla WSL-containrar som körs genom att ansluta till det isolerade undersystemet.

Kända problem och begränsningar

Tänk på följande innan du börjar:

  1. Plugin-programmet stöder inte automatiska uppdateringar av versioner före 1.24.522.2. Vid version 1.24.522.2 och senare stöds uppdateringar via Windows Update i alla ringar. Uppdateringar via Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) och Microsoft Update-katalogen stöds endast i produktionsringen för att säkerställa paketstabilitet.

  2. Det tar några minuter för plugin-programmet att instansieras helt och upp till 30 minuter för en WSL2-instans att registrera sig själv. Kortvariga WSL-containerinstanser kan resultera i att WSL2-instansen inte visas i Microsoft Defender-portalen (https://security.microsoft.com). När distributionen har körts tillräckligt länge (minst 30 minuter) visas den.

  3. Det finns stöd för att köra en anpassad kernel- och anpassad kernel-kommandorad i den här versionen. Plugin-programmet garanterar dock inte synlighet inom WSL när du kör en anpassad kernel- och anpassad kernelkommandorad.

  4. OS-distribution visas Ingen i enhetsöversiktssidan för WSL-enheten i Microsoft Defender-portalen.

  5. Plugin-programmet stöds inte på datorer med ARM64-processor.

Programvarukrav

  • WSL version 2.0.7.0 eller senare måste köras med minst en aktiv distribution.

    Kör wsl --update för att kontrollera att du har den senaste versionen. Om wsl -–version visar en version som är äldre än 2.0.7.0 kör du wsl -–update –pre-release för att hämta den senaste uppdateringen.

  • Windows-klientenheten måste vara registrerad i Defender för Endpoint.

  • Windows-klientenheten måste köra Windows 10 version 2004 och senare (version 19044 och senare) eller Windows 11 för att stödja de WSL-versioner som kan fungera med plugin-programmet.

Filnamn för programvarukomponenter och installationsprogram

Installationsprogram: DefenderPlugin-x64-0.24.426.1.msi. Du kan ladda ned den från registreringssidan i Microsoft Defender-portalen.

Installationskataloger:

  • %ProgramFiles%

  • %ProgramData%

Installerade komponenter:

  • DefenderforEndpointPlug-in.dll. Den här DLL-filen är biblioteket för att läsa in Defender för Endpoint så att den fungerar i WSL. Du hittar den i %ProgramFiles%\Microsoft Defender för Endpoint plugin-programmet för WSL\plug-in.

  • healthcheck.exe. Det här programmet kontrollerar hälsostatusen för Defender för Endpoint och gör att du kan se de installerade versionerna av WSL, plugin-programmet och Defender för Endpoint. Du hittar det i %ProgramFiles%\Microsoft Defender för Endpoint plugin-program för WSL\tools.

Installationssteg

Om Windows-undersystem för Linux inte har installerats än följer du dessa steg:

  1. Öppna terminalen eller kommandotolken. (I Windows går du till Start>Kommandotolk. Eller högerklicka på startknappen och välj sedan Terminal.)

  2. Kör kommandot wsl -–install.

  3. Bekräfta att WSL är installerat och körs.

    1. Använd terminalen eller kommandotolken och kör wsl –-update för att kontrollera att du har den senaste versionen.

    2. wsl Kör kommandot för att säkerställa att WSL körs innan du testar.

  4. Installera plugin-programmet genom att följa dessa steg:

    1. Installera MSI-filen som laddades ned från onboarding-avsnittet i Microsoft Defender-portalen (Inställningar>Endpoints>Onboarding>Windows-undersystem för Linux 2 (plugin-program)).

    2. Öppna en kommandotolk/terminal och kör wsl.

    Du kan distribuera paketet med hjälp av Microsoft Intune.

Obs!

Om WslService körs stoppas den under installationsprocessen. Du behöver inte registrera undersystemet separat. I stället registreras plugin-programmet automatiskt till klientorganisationen som Windows-värden registreras i.

Checklista för installationsverifiering

  1. Efter uppdateringen eller installationen väntar du i minst fem minuter på att plugin-programmet ska initiera och skriva loggutdata helt.

  2. Öppna terminalen eller kommandotolken. (I Windows går du till Start>Kommandotolk. Eller högerklicka på startknappen och välj sedan Terminal.)

  3. Kör kommandot: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Kör kommandot .\healthcheck.exe.

  5. Granska informationen om Defender och WSL och se till att de matchar eller överskrider följande krav:

    • Plugin-version: 1.24.522.2
    • WSL-version: 2.0.7.0 eller senare
    • Version av Defender-appen: 101.24032.0007
    • Status för Defender-hälsotillstånd: Healthy

Ange en proxy för Defender som körs i WSL

I det här avsnittet beskrivs hur du konfigurerar proxyanslutning för plugin-programmet Defender för Endpoint. Om ditt företag använder en proxy för att tillhandahålla anslutning till Defender för Endpoint som körs på Windows-värden fortsätter du att läsa för att avgöra om du behöver konfigurera den för plugin-programmet.

Om du vill använda värdkonfigurationen för Windows EDR-telemetriproxy för MDE för WSL-plugin-programmet krävs inget mer. Den här konfigurationen används automatiskt av plugin-programmet.

Om du vill använda värdkonfigurationen för winhttp proxy för MDE för WSL-plugin-programmet krävs inget mer. Den här konfigurationen används automatiskt av plugin-programmet.

Om du vill använda inställningen för värdnätverks- och nätverksproxy för MDE för WSL-plugin-programmet krävs inget mer. Den här konfigurationen används automatiskt av plugin-programmet.

Val av plugin-proxy

Om värddatorn innehåller flera proxyinställningar väljer plugin-programmet proxykonfigurationerna med följande hierarki:

  1. Inställning för statisk proxy för Defender för Endpoint (TelemetryProxyServer).

  2. Winhttp proxy (konfigurerad via netsh kommando).

  3. Inställningar för nätverksproxy & Internetproxy.

Exempel: Om värddatorn har både Winhttp-proxy och Network & Internetproxy väljer Winhttp proxy plugin-programmet som proxykonfiguration.

Obs!

Registernyckeln DefenderProxyServer stöds inte längre. Följ ovanstående steg för att konfigurera proxy i plugin-programmet.

Anslutningstest för Defender som körs i WSL

Följande procedur beskriver hur du bekräftar att Defender i Endpoint i WSL har internetanslutning.

  1. Öppna Registry Editor som administratör.

  2. Skapa en registernyckel med följande information:

    • Namn: ConnectivityTest
    • Typ: REG_DWORD
    • Värde: Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
    • Sökväg: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  3. När registret har angetts startar du om wsl med hjälp av följande steg:

    1. Öppna kommandotolken och kör kommandot . wsl --shutdown

    2. Kör kommandot wsl.

  4. Vänta i 5 minuter och kör healthcheck.exe sedan (finns på %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools för resultatet av anslutningstestet).

    Om det lyckas kan du se att anslutningstestet lyckades. Om det misslyckas kan du se att anslutningstestet invalid indikerar att klientanslutningen från WSL till Defender för Endpoint-tjänstens URL:er misslyckas.

Obs!

Information om hur du anger en proxy för användning i WSL-containrar (distributionerna som körs i undersystemet) finns i Konfiguration av avancerade inställningar i WSL.

Verifiera funktioner och SOC-analytikerupplevelse

När plugin-programmet har installerats registreras undersystemet och alla containrar som körs på Microsoft Defender-portalen.

  1. Logga in på Microsoft Defender-portalen och öppna vyn Enheter.

  2. Filtrera med taggen WSL2.

Skärmbild som visar filter för enhetsinventering

Du kan se alla WSL-instanser i din miljö med ett aktivt Defender för Endpoint-plugin-program för WSL. Dessa instanser representerar alla distributioner som körs i WSL på en viss värd. Värdnamnet för en enhet matchar Windows-värdens. Den representeras dock som en Linux-enhet.

  1. Öppna enhetssidan. I fönstret Översikt finns en länk till var enheten finns. Med länken kan du förstå att enheten körs på en Windows-värd. Du kan sedan pivotleda till värden för ytterligare undersökning och/eller svar.

    Skärmbild som visar enhetsöversikt.

Tidslinjen är ifylld, ungefär som Defender för Endpoint i Linux, med händelser inifrån undersystemet (fil, process, nätverk). Du kan se aktivitet och identifieringar i tidslinjevyn. Aviseringar och incidenter genereras även efter behov.

Testa plugin-programmet

Testa plugin-programmet efter installationen genom att följa dessa steg:

  1. Öppna terminalen eller kommandotolken. (I Windows går du till Start>Kommandotolk. Eller högerklicka på startknappen och välj sedan Terminal.)

  2. Kör kommandot wsl.

  3. Ladda ned och extrahera skriptfilen från https://aka.ms/LinuxDIY.

  4. Kör kommandot ./mde_linux_edr_diy.shi Linux-prompten.

    En avisering bör visas i portalen efter några minuter för en identifiering på WSL2-instansen.

    Obs!

    Det tar cirka 5 minuter innan händelserna visas på Microsoft Defender-portalen.

Behandla datorn som om den vore en vanlig Linux-värd i din miljö att utföra testning mot. I synnerhet vill vi få din feedback om möjligheten att visa potentiellt skadligt beteende med hjälp av det nya plugin-programmet.

Avancerad jakt

I schemat Avancerad jakt, under DeviceInfo tabellen, finns det ett nytt attribut med namnet HostDeviceId som du kan använda för att mappa en WSL-instans till dess Windows-värdenhet. Här är några exempel på jaktfrågor:

Hämta alla WSL-enhets-ID:n för den aktuella organisationen/klientorganisationen

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Hämta WSL-enhets-ID:n och deras motsvarande värdenhets-ID:n

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Hämta en lista över WSL-enhets-ID:n där curl eller wget kördes

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Felsökning

  1. Kommandot healthcheck.exe visar utdata: "Starta WSL-distribution med bash-kommandot och försök igen om 5 minuter."

    Skärmbild som visar PowerShell-utdata.

  2. Om det tidigare nämnda felet inträffar utför du följande steg:

    1. Öppna en terminalinstans och kör kommandot wsl.

    2. Vänta i minst 5 minuter innan du kör hälsokontrollen igen.

  3. Kommandot healthcheck.exe kan visa utdata: "Väntar på telemetri. Försök igen om 5 minuter."

    Skärmbild som visar status för hälsotelemetri.

    Om det felet inträffar väntar du i 5 minuter och kör healthcheck.exeom .

  4. Om du inte ser några enheter i Microsoft Defender-portalen eller om du inte ser några händelser på tidslinjen kontrollerar du följande:

    • Om du inte ser ett datorobjekt kontrollerar du att det har gått tillräckligt med tid för registrering att slutföras (vanligtvis upp till 10 minuter).

    • Se till att använda rätt filter och att du har rätt behörigheter för att visa alla enhetsobjekt. (Är ditt konto/din grupp till exempel begränsad till en viss grupp?)

    • Använd hälsokontrollverktyget för att ge en översikt över det övergripande plugin-programmets hälsotillstånd. Öppna Terminal och kör healthcheck.exe verktyget från %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

      Skärmbild som visar status i PowerShell.

    • Aktivera anslutningstestet och sök efter Defender för Endpoint-anslutning i WSL. Om anslutningstestet misslyckas anger du utdata för hälsokontrollverktyget till vårt supportteam.

    • Om anslutningstestet rapporterar "ogiltigt" i hälsokontrollen inkluderar du följande konfigurationsinställningar i .wslconfig%UserProfile% och startar om WSL. Information om inställningar finns i WSL-inställningar.

      • I Windows 11
        # Settings apply across all Linux distros running on WSL 2
        [wsl2]
        
        dnsTunneling=true
        
        networkingMode=mirrored  
        
      • I Windows 10
        # Settings apply across all Linux distros running on WSL 2
        [wsl2]
        
        dnsProxy=false
        
  5. Om du stöter på andra utmaningar eller problem öppnar du Terminal och kör följande kommandon för att generera ett supportpaket:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
    
    .\healthcheck.exe --supportBundle 
    

    Supportpaketet finns i sökvägen som tillhandahålls av föregående kommando.

    Skärmbild som visar status i PowerShell-utdata.

  6. Microsoft Defender Slutpunkt för WSL stöder Linux-distributioner som körs på WSL 2. Om de är associerade med WSL 1 kan det uppstå problem. Därför rekommenderar vi att du inaktiverar WSL 1. Utför följande steg för att göra det med Intune-principen:

    1. Gå till administrationscentret för Microsoft Intune.

    2. Gå tillEnhetskonfigurationsprofiler>>Skapa>Ny princip.

    3. Välj Windows 10 och senare>Inställningskatalog.

    4. Skapa ett namn för den nya profilen och sök efter Windows-undersystem för Linux för att se och lägga till en fullständig lista över tillgängliga inställningar.

    5. Ange inställningen Tillåt WSL1 till Inaktiverad för att säkerställa att endast WSL 2-distributioner kan användas.

      Om du vill fortsätta använda WSL 1 eller inte använda Intune-principen kan du också selektivt associera dina installerade distributioner så att de körs på WSL 2 genom att köra kommandot i PowerShell:

      wsl --set-version <YourDistroName> 2
      

      Om du vill ha WSL 2 som standardversion av WSL för att nya distributioner ska installeras i systemet kör du följande kommando i PowerShell:

      wsl --set-default-version 2
      
  7. Plugin-programmet använder Windows EDR-ringen som standard. Om du vill växla till en tidigare ring anger du OverrideReleaseRing något av följande under registret och startar om WSL:

  • Namn: OverrideReleaseRing
  • Typ: REG_SZ
  • Värde: Dogfood or External or InsiderFast or Production
  • Sökväg: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  1. Om du ser ett fel när du startar WSL, till exempel "Ett allvarligt fel returnerades av plugin-programmet DefenderforEndpointPlug-in" Felkod: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND" innebär det att plugin-programmet Defender för Endpoint för WSL-installationen är felaktigt. Följ dessa steg för att reparera den:

    1. I Kontrollpanelen går du till Program>och funktioner.

    2. Sök efter och välj Microsoft Defender för Endpoint plugin-program för WSL. Välj sedan Reparera.

    Detta bör åtgärda problemet genom att placera rätt filer i de förväntade katalogerna.

    Skärmbild som visar MDE alternativ för WSL-reparation i kontrollpanelen.