Linux için Windows Alt Sistemi (WSL) için Uç Nokta için Microsoft Defender eklentisi
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 2
- Windows 11
- Windows 10, sürüm 2004 ve üzeri (derleme 19044 ve üzeri)
Genel Bakış
WSL'nin önceki sürümünün (eklenti olmadan Uç Nokta için Microsoft Defender tarafından desteklenir) yerini alan Linux için Windows Alt Sistemi (WSL) 2, Windows ile sorunsuz bir şekilde tümleştirilmiş ancak sanallaştırma teknolojisi kullanılarak yalıtılmış bir Linux ortamı sağlar. WSL için Uç Nokta için Defender eklentisi, Uç Nokta için Defender'ın yalıtılmış alt sisteme takarak çalışan tüm WSL kapsayıcılarına daha fazla görünürlük sağlamasına olanak tanır.
Bilinen sorunlar ve sınırlamalar
Başlamadan önce aşağıdakilere dikkat edin:
Eklenti, sürümünden önceki
1.24.522.2
sürümlerde otomatik güncelleştirmeleri desteklemez. Sürüm ve sonraki sürümlerde1.24.522.2
güncelleştirmeler tüm halkalarda Windows Update aracılığıyla desteklenir. Windows Server Update hizmetleri (WSUS), System Center Configuration Manager (SCCM) ve Microsoft Update kataloğu aracılığıyla Güncelleştirmeler, paket kararlılığını sağlamak için yalnızca Üretim halkasında desteklenir.Eklentinin tam olarak örnek oluşturması birkaç dakika ve WSL2 örneğinin kendisini eklemesi 30 dakikaya kadar sürer. Kısa ömürlü WSL kapsayıcı örnekleri, WSL2 örneğinin Microsoft Defender portalında (https://security.microsoft.com ) görünmemesiyle sonuçlanabilir. Herhangi bir dağıtım yeterince uzun bir süre (en az 30 dakika) çalıştığında görünür.
Bu sürümde özel çekirdek ve özel çekirdek komut satırının çalıştırılması desteklenir; ancak, özel çekirdek ve özel çekirdek komut satırı çalıştırırken eklenti WSL içinde görünürlüğü garanti etmez.
İşletim Sistemi Dağıtımı, Microsoft Defender portalındaki WSL cihazının Cihaz genel bakış sayfasında Yok olarak görüntülenir.
Eklenti ARM64 işlemcili makinelerde desteklenmez.
Yazılım önkoşulları
WSL sürüm 2.0.7.0 veya üzeri en az bir etkin dağıtımla çalışıyor olmalıdır.
En son sürümde olduğunuzdan emin olmak için komutunu çalıştırın
wsl --update
. 2.0.7.0'dan eski bir sürüm gösteriyorsawsl -–version
, en son güncelleştirmeyi almak için komutunu çalıştırınwsl -–update –pre-release
.Windows istemci cihazının Uç Nokta için Defender'a eklenmesi gerekir.
Windows istemci cihazının eklentiyle çalışabilen WSL sürümlerini desteklemek için Windows 10, sürüm 2004 ve üzeri (derleme 19044 ve üzeri) veya Windows 11 çalıştırıyor olması gerekir.
Yazılım bileşenleri ve yükleyici dosya adları
Yükleyici: DefenderPlugin-x64-0.24.426.1.msi
. Microsoft Defender portalındaki ekleme sayfasından indirebilirsiniz.
Yükleme dizinleri:
%ProgramFiles%
%ProgramData%
Yüklü bileşenler:
DefenderforEndpointPlug-in.dll
. Bu DLL, WSL içinde çalışmak üzere Uç Nokta için Defender'ı yüklemek için kullanılacak kitaplıktır. Bunu WSL\plug-in için %ProgramFiles%\Uç Nokta için Microsoft Defender eklentisinde bulabilirsiniz.healthcheck.exe
. Bu program Uç Nokta için Defender'ın sistem durumunu denetler ve WSL, eklenti ve Uç Nokta için Defender'ın yüklü sürümlerini görmenizi sağlar. Bunu WSL\tools için %ProgramFiles%\Uç Nokta için Microsoft Defender eklentisinde bulabilirsiniz.
Yükleme adımları
Linux için Windows Alt Sistemi henüz yüklü değilse şu adımları izleyin:
Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)
wsl -–install
komutunu çalıştırın.WSL'nin yüklü ve çalışır durumda olduğunu onaylayın.
En son sürüme sahip olduğunuzdan emin olmak için Terminal veya Komut İstemi'ni kullanarak komutunu çalıştırın
wsl –-update
.wsl
Test etmeden önce WSL'nin çalıştığından emin olmak için komutunu çalıştırın.
Aşağıdaki adımları izleyerek eklentiyi yükleyin:
Microsoft Defender portalındaki ekleme bölümünden indirilen MSI dosyasını yükleyin (Ayarlar>Uç Noktaları>Ekleme>Linux için Windows Alt Sistemi 2 (eklenti)).
Bir komut istemi/terminal açın ve komutunu çalıştırın
wsl
.
Not
WslService
çalışıyorsa, yükleme işlemi sırasında durur. Alt sistemi ayrı olarak eklemeniz gerekmez; bunun yerine eklenti, Windows ana bilgisayarının eklendiği kiracıya otomatik olarak eklenir.
Yükleme doğrulama denetim listesi
Güncelleştirme veya yüklemeden sonra, eklentinin günlük çıkışını tam olarak başlatması ve yazması için en az beş dakika bekleyin.
Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)
komutunu çalıştırın:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
..\healthcheck.exe
komutunu çalıştırın.Defender ve WSL ayrıntılarını gözden geçirin ve aşağıdaki gereksinimleri karşıladığından veya aştığından emin olun:
- Eklenti Sürümü:
1.24.522.2
- WSL Sürümü:
2.0.7.0
veya üzeri - Defender Uygulama Sürümü:
101.24032.0007
- Defender Sistem Durumu:
Healthy
- Eklenti Sürümü:
WSL'de çalışan Defender için ara sunucu ayarlama
Bu bölümde, Uç Nokta için Defender eklentisi için ara sunucu bağlantısının nasıl yapılandırıldığı açıklanır. Kuruluşunuz Windows ana bilgisayarında çalışan Uç Nokta için Defender'a bağlantı sağlamak için bir ara sunucu kullanıyorsa, eklenti için yapılandırmanız gerekip gerekmediğini belirlemek için okumaya devam edin.
WSL eklentisi için MDE için konak windows EDR telemetri proxy yapılandırmasını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.
WSL eklentisi için MDE için konak winhttp proxy yapılandırmasını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.
WSL eklentisi için MDE için konak ağ ve ağ ara sunucusu ayarını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.
Eklenti Ara Sunucusu seçimi
Konak makineniz birden çok ara sunucu ayarı içeriyorsa, eklenti aşağıdaki hiyerarşiye sahip ara sunucu yapılandırmalarını seçer:
Uç nokta için Defender statik proxy ayarı (
TelemetryProxyServer
).Winhttp
proxy (komut aracılığıylanetsh
yapılandırılır).Ağ & İnternet proxy ayarları.
Örnek: Konak makinenizde hem Winhttp proxy hem de Ağ & internet proxy'si varsa, eklenti ara sunucu yapılandırması olarak seçer Winhttp proxy
.
Not
DefenderProxyServer
Kayıt defteri anahtarı artık desteklenmiyor. Eklentide ara sunucuyu yapılandırmak için yukarıdaki adımları izleyin.
WSL'de çalışan Defender için bağlantı testi
Aşağıdaki yordamda, WSL'de Uç Nokta'da Defender'ın İnternet bağlantısı olduğunu onaylama işlemi açıklanmaktadır.
Kayıt Defteri Düzenleyici yönetici olarak açın.
Aşağıdaki ayrıntıları içeren bir kayıt defteri anahtarı İçerik Oluşturucu:
- Ad:
ConnectivityTest
- Tür:
REG_DWORD
- Değer:
Number of seconds plug-in must wait before running the test. (Recommended: 60 seconds)
- Yol:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
- Ad:
Kayıt defteri ayarlandıktan sonra aşağıdaki adımları kullanarak wsl'yi yeniden başlatın:
Komut İstemi'ni açın ve komutunu
wsl --shutdown
çalıştırın.wsl
komutunu çalıştırın.
5 dakika bekleyin ve ardından çalıştırın
healthcheck.exe
(bağlantı testinin sonuçları için konumunda%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
bulunur).Başarılı olursa bağlantı testinin başarılı olduğunu görebilirsiniz. Başarısız olursa bağlantı testinin WSL'den
invalid
Uç Nokta için Defender hizmet URL'lerine istemci bağlantısının başarısız olduğunu gösterdiğini görebilirsiniz.
Not
WSL kapsayıcılarında (alt sistemde çalışan dağıtımlar) kullanılacak bir ara sunucu ayarlamak için bkz. WSL'de gelişmiş ayarlar yapılandırması.
İşlevselliği ve SOC analist deneyimini doğrulama
Eklenti yüklendikten sonra alt sistem ve çalışan tüm kapsayıcıları Microsoft Defender portalına eklenir.
Microsoft Defender portalında oturum açın ve Cihazlar görünümünü açın.
WSL2 etiketini kullanarak filtreleyin.
Ortamınızdaki tüm WSL örneklerini WSL için etkin bir Uç Nokta için Defender eklentisiyle görebilirsiniz. Bu örnekler, belirli bir konakta WSL içinde çalışan tüm dağıtımları temsil eder. Bir cihazın ana bilgisayar adı, Windows konağıyla eşleşir. Ancak, bir Linux cihazı olarak temsil edilir.
Cihaz sayfasını açın. Genel Bakış bölmesinde, cihazın barındırıldığı yer için bir bağlantı vardır. Bu bağlantı, cihazın bir Windows ana bilgisayarında çalıştığını anlamanıza olanak tanır. Daha sonra daha fazla araştırma ve/veya yanıt için konağa dönebilirsiniz.
Zaman çizelgesi, Linux'ta Uç Nokta için Defender'a benzer şekilde, alt sistemin içindeki olaylarla (dosya, işlem, ağ) doldurulur. Zaman çizelgesi görünümünde etkinliği ve algılamaları gözlemleyebilirsiniz. Uyarılar ve olaylar da uygun şekilde oluşturulur.
Eklentiyi test edin
Yüklemeden sonra eklentiyi test etmek için şu adımları izleyin:
Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)
wsl
komutunu çalıştırın.betik dosyasını adresinden https://aka.ms/LinuxDIYindirin ve ayıklayın.
Linux isteminde komutunu
./mde_linux_edr_diy.sh
çalıştırın.WSL2 örneğinde algılama için birkaç dakika sonra portalda bir uyarı görünmelidir.
Not
Olayların Microsoft Defender portalında görünmesi yaklaşık 5 dakika sürer.
Makineye ortamınızda test gerçekleştirmek için normal bir Linux konağı gibi davranın. Özellikle, yeni eklentiyi kullanarak kötü amaçlı olabilecek davranışları ortaya çıkarabilme özelliği hakkında geri bildiriminizi almak istiyoruz.
Gelişmiş avcılık örneği
Gelişmiş Tehdit Avcılığı şemasının DeviceInfo
altında, bir WSL örneğini Windows konak cihazına eşlemek için kullanabileceğiniz adlı HostDeviceId
yeni bir öznitelik vardır. Aşağıda birkaç örnek avcılık sorgusu verilmişti:
Geçerli kuruluş/kiracı için tüm WSL cihaz kimliklerini alma
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
WSL cihaz kimliklerini ve ilgili konak cihaz kimliklerini alma
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
Curl veya wget'in çalıştırıldığı WSL cihaz kimliklerinin listesini alma
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Sorun giderme
Komut
healthcheck.exe
, "WSL dağıtımını 'bash' komutuyla başlat ve 5 dakika içinde yeniden dene" çıkışını gösterir.Daha önce bahsedilen hata oluşursa aşağıdaki adımları uygulayın:
Bir terminal örneği açın ve komutunu
wsl
çalıştırın.Sistem durumu denetimini yeniden çalıştırmadan önce en az 5 dakika bekleyin.
Komut şu
healthcheck.exe
çıkışı gösterebilir: "Telemetri bekleniyor. Lütfen 5 dakika içinde yeniden deneyin."Bu hata oluşursa, 5 dakika bekleyin ve komutunu yeniden çalıştırın
healthcheck.exe
.Microsoft Defender portalında herhangi bir cihaz görmüyorsanız veya zaman çizelgesinde herhangi bir olay görmüyorsanız, aşağıdakilere bakın:
Makine nesnesi görmüyorsanız, ekleme işleminin tamamlanması için yeterli sürenin geçtiğinden emin olun (genellikle 10 dakikaya kadar).
Doğru filtreleri kullandığınızdan ve tüm cihaz nesnelerini görüntülemek için uygun izinlere sahip olduğunuzdan emin olun. (Örneğin, hesabınız/grubunuz belirli bir grupla sınırlı mı?)
Genel eklenti durumuyla ilgili genel bir genel bakış sağlamak için sistem durumu denetimi aracını kullanın. Terminal'i açın ve aracını konumundan
healthcheck.exe
%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
çalıştırın.WSL'de bağlantı testini etkinleştirin ve Uç Nokta için Defender bağlantısını denetleyin. Bağlantı testi başarısız olursa destek ekibimize sistem durumu denetimi aracının çıkışını sağlayın.
Bağlantı testi sistem durumu denetiminde "geçersiz" olduğunu bildirirse, aşağıdaki yapılandırma ayarlarını WSL'nizde
.wslconfig
%UserProfile%
bulunan bölümüne ekleyin ve WSL'yi yeniden başlatın. Ayarlarla ilgili ayrıntılar WSL Ayarları'nda bulunabilir.- Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
- Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
- Windows 11
Başka zorluklarla veya sorunlarla karşılaşırsanız Terminal'i açın ve bir destek paketi oluşturmak için aşağıdaki komutları çalıştırın:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
Destek paketi, önceki komut tarafından sağlanan yolda bulunabilir.
WSL için Microsoft Defender Uç Noktası, WSL 2 üzerinde çalışan Linux dağıtımlarını destekler. WSL 1 ile ilişkiliyse sorunlarla karşılaşabilirsiniz. Bu nedenle, WSL 1'i devre dışı bırakması tavsiye edilir. Intune ilkesiyle bunu yapmak için aşağıdaki adımları uygulayın:
Cihazlar>Yapılandırma Profilleri>İçerik Oluşturucu>Yeni İlke'ye gidin.
Windows 10 ve üzeri>Ayarlar kataloğu'nu seçin.
Yeni profil için bir ad İçerik Oluşturucu ve kullanılabilir ayarların tam listesini görmek ve eklemek için Linux için Windows Alt Sistemi arayın.
Yalnızca WSL 2 dağıtımlarının kullanılabildiğinden emin olmak için WSL1'e İzin Ver ayarını Devre Dışı olarak ayarlayın.
Alternatif olarak, WSL 1 kullanmaya devam etmek veya Intune İlkesi'ni kullanmamak istiyorsanız, PowerShell'de komutunu çalıştırarak yüklü dağıtımlarınızı WSL 2'de çalışacak şekilde seçmeli olarak ilişkilendirebilirsiniz:
wsl --set-version <YourDistroName> 2
Sistemde yüklenecek yeni dağıtımlar için WSL 2'yi varsayılan WSL sürümünüz olarak kullanmak için PowerShell'de aşağıdaki komutu çalıştırın:
wsl --set-default-version 2
Eklenti varsayılan olarak Windows EDR halkasını kullanır. Önceki bir kademeye geçmek istiyorsanız kayıt defteri altında aşağıdakilerden birine ayarlayın
OverrideReleaseRing
ve WSL'yi yeniden başlatın:
- Ad:
OverrideReleaseRing
- Tür:
REG_SZ
- Değer:
Dogfood or External or InsiderFast or Production
- Yol:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
WSL başlatılırken "'DefenderforEndpointPlug-in' eklentisi tarafından önemli bir hata döndürüldü' Hata kodu: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND" gibi bir hata görürseniz, WSL yüklemesi için Uç Nokta için Defender eklentisi hatalı demektir. Onarmak için şu adımları izleyin:
Denetim Masası'da Programlar Programlar>ve Özellikler'e gidin.
WSL için Uç Nokta için Microsoft Defender eklentisini arayın ve seçin. Ardından Onar'ı seçin.
Bu, beklenen dizinlere doğru dosyaları yerleştirerek sorunu çözmelidir.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin