Linux için Windows Alt Sistemi (WSL) için Uç Nokta için Microsoft Defender eklentisi
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 2
- Windows 11
- Windows 10, sürüm 2004 ve üzeri (derleme 19044 ve üzeri)
Genel bakış
WSL'nin önceki sürümünün (eklenti olmadan Uç Nokta için Microsoft Defender tarafından desteklenir) yerini alan Linux için Windows Alt Sistemi (WSL) 2, Windows ile sorunsuz bir şekilde tümleştirilmiş ancak sanallaştırma teknolojisi kullanılarak yalıtılmış bir Linux ortamı sağlar. WSL için Uç Nokta için Defender eklentisi, Uç Nokta için Defender'ın yalıtılmış alt sisteme takarak çalışan tüm WSL kapsayıcılarına daha fazla görünürlük sağlamasına olanak tanır.
Bilinen sorunlar ve sınırlamalar
Başlamadan önce aşağıdaki noktalara dikkat edin:
Eklenti, sürümünden önceki
1.24.522.2
sürümlerde otomatik güncelleştirmeleri desteklemez. Sürüm ve sonraki sürümlerde1.24.522.2
güncelleştirmeler tüm halkalarda Windows Update aracılığıyla desteklenir. Windows Server Update hizmetleri (WSUS), System Center Configuration Manager (SCCM) ve Microsoft Update kataloğu aracılığıyla Güncelleştirmeler, paket kararlılığını sağlamak için yalnızca Üretim halkasında desteklenir.Eklentinin tam olarak örnek oluşturması birkaç dakika ve WSL2 örneğinin kendisini eklemesi 30 dakikaya kadar sürer. Kısa ömürlü WSL kapsayıcı örnekleri, WSL2 örneğinin Microsoft Defender portalında (https://security.microsoft.com ) görünmemesiyle sonuçlanabilir. Herhangi bir dağıtım yeterince uzun bir süre (en az 30 dakika) çalıştığında görünür.
Özel çekirdek ve özel çekirdek komut satırının çalıştırılması desteklenmez. Eklenti bu yapılandırmada çalıştırmayı engellemese de, özel çekirdek ve özel çekirdek komut satırı çalıştırırken WSL içinde görünürlüğü garanti etmez. Microsoft Intune wsl ayarları yardımıyla bu tür yapılandırmaları engellemenizi öneririz.
İşletim Sistemi Dağıtımı, Microsoft Defender portalındaki WSL cihazının Cihaza genel bakış sayfasında Yok olarak görüntülenir.
Eklenti ARM64 işlemcili makinelerde desteklenmez.
Eklenti, WSL'deki olaylara görünürlük sağlar, ancak kötü amaçlı yazılımdan koruma, Tehdit ve Güvenlik Açığı Yönetimi ve yanıt komutları gibi diğer özellikler WSL mantıksal cihazı için kullanılamaz.
Yazılım önkoşulları
WSL sürüm 2.0.7.0 veya üzeri en az bir etkin dağıtımla çalışıyor olmalıdır.
En son sürümde olduğunuzdan emin olmak için komutunu çalıştırın
wsl --update
. sürümünden2.0.7.0
eski bir sürüm gösterildiysewsl -–version
, en son güncelleştirmeyi almak için komutunu çalıştırınwsl -–update –pre-release
.Windows istemci cihazının Uç Nokta için Defender'a eklenmesi gerekir.
Windows istemci cihazının eklentiyle çalışabilen WSL sürümlerini desteklemek için Windows 10, sürüm 2004 ve üzeri (derleme 19044 ve üzeri) veya Windows 11 çalıştırıyor olması gerekir.
Yazılım bileşenleri ve yükleyici dosya adları
Yükleyici: DefenderPlugin-x64-0.24.426.1.msi
.
Microsoft Defender portalındaki ekleme sayfasından indirebilirsiniz. (Ayarlar'a> gidinBitiş noktası>Ekleme.)
Yükleme dizinleri:
%ProgramFiles%
%ProgramData%
Yüklü bileşenler:
DefenderforEndpointPlug-in.dll
. Bu DLL, WSL içinde çalışmak üzere Uç Nokta için Defender'ı yüklemek için kullanılacak kitaplıktır. adresinde%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in
bulabilirsiniz.healthcheck.exe
. Bu program Uç Nokta için Defender'ın sistem durumunu denetler ve WSL, eklenti ve Uç Nokta için Defender'ın yüklü sürümlerini görmenizi sağlar. adresinde%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
bulabilirsiniz.
Yükleme adımları
Linux için Windows Alt Sistemi henüz yüklü değilse şu adımları izleyin:
Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)
wsl -–install
komutunu çalıştırın.WSL'nin yüklü ve çalışır durumda olduğunu onaylayın.
En son sürüme sahip olduğunuzdan emin olmak için Terminal veya Komut İstemi'ni kullanarak komutunu çalıştırın
wsl –-update
.wsl
Test etmeden önce WSL'nin çalıştığından emin olmak için komutunu çalıştırın.
Aşağıdaki adımları izleyerek eklentiyi yükleyin:
Microsoft Defender portalındaki ekleme bölümünden indirilen MSI dosyasını yükleyin (Ayarlar>Uç Noktaları>Ekleme>Linux için Windows Alt Sistemi 2 (eklenti)).
Bir komut istemi/terminal açın ve komutunu çalıştırın
wsl
.
Not
WslService
çalışıyorsa, yükleme işlemi sırasında durur. Alt sistemi ayrı olarak eklemeniz gerekmez. Bunun yerine eklenti, Windows ana bilgisayarının eklendiği kiracıya otomatik olarak eklenir.
Yükleme doğrulama denetim listesi
Güncelleştirme veya yüklemeden sonra, eklentinin günlük çıkışını tam olarak başlatması ve yazması için en az beş dakika bekleyin.
Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)
komutunu çalıştırın:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
..\healthcheck.exe
komutunu çalıştırın.Defender ve WSL ayrıntılarını gözden geçirin ve aşağıdaki gereksinimleri karşıladığından veya aştığından emin olun:
-
Eklenti Sürümü:
1.24.522.2
-
WSL Sürümü:
2.0.7.0
veya üzeri -
Defender Uygulama Sürümü:
101.24032.0007
-
Defender Sistem Durumu:
Healthy
-
Eklenti Sürümü:
WSL'de çalışan Defender için ara sunucu ayarlama
Bu bölümde, Uç Nokta için Defender eklentisi için ara sunucu bağlantısının nasıl yapılandırıldığı açıklanır. Kuruluşunuz Windows ana bilgisayarında çalışan Uç Nokta için Defender'a bağlantı sağlamak için bir ara sunucu kullanıyorsa, eklenti için yapılandırmanız gerekip gerekmediğini belirlemek için okumaya devam edin.
WSL eklentisi için MDE için konak windows EDR telemetri proxy yapılandırmasını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.
WSL eklentisi için MDE için konak winhttp proxy yapılandırmasını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.
WSL eklentisi için MDE için konak ağ ve ağ ara sunucusu ayarını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.
Not
WSL defender yalnızca http
ara sunucuyu destekler.
Eklenti Ara Sunucusu seçimi
Konak makineniz birden çok ara sunucu ayarı içeriyorsa, eklenti aşağıdaki hiyerarşiye sahip ara sunucu yapılandırmalarını seçer:
Uç nokta için Defender statik proxy ayarı (
TelemetryProxyServer
).Winhttp
proxy (komut aracılığıylanetsh
yapılandırılır).Ağ & İnternet proxy ayarları.
Örneğin, konak makinenizde hem hem Network & Internet proxy
de Winhttp proxy
varsa, eklenti ara sunucu yapılandırması olarak seçerWinhttp proxy
.
Not
DefenderProxyServer
Kayıt defteri anahtarı artık desteklenmiyor. Eklentide ara sunucuyu yapılandırmak için bu makalenin önceki bölümlerinde açıklanan adımları izleyin.
WSL'de çalışan Defender için bağlantı testi
Defender bağlantı testi, cihazınızda bir ara sunucu değişikliği olduğunda tetikler ve saatte bir çalışacak şekilde zamanlanır.
wsl makinenizi başlatırken 5 dakika bekleyin ve ardından çalıştırın healthcheck.exe
(bağlantı testinin sonuçları için konumunda %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
bulunur). Başarılı olursa bağlantı testinin başarılı olduğunu görebilirsiniz. Başarısız olursa bağlantı testinin invalid
WSL için MDE eklentisinden Uç Nokta için Defender hizmet URL'lerine istemci bağlantısının başarısız olduğunu gösterdiğini görebilirsiniz.
Not
ConnectivityTest
Kayıt defteri anahtarı artık desteklenmiyor.
WSL kapsayıcılarında (alt sistemde çalışan dağıtımlar) kullanılacak bir ara sunucu ayarlamak için bkz. WSL'de gelişmiş ayarlar yapılandırması.
İşlevselliği ve SOC analist deneyimini doğrulama
Eklenti yüklendikten sonra alt sistem ve çalışan tüm kapsayıcıları Microsoft Defender portalına eklenir.
Microsoft Defender portalında oturum açın ve Cihazlar görünümünü açın.
WSL2 etiketini kullanarak filtreleyin.
Ortamınızdaki tüm WSL örneklerini WSL için etkin bir Uç Nokta için Defender eklentisiyle görebilirsiniz. Bu örnekler, belirli bir konakta WSL içinde çalışan tüm dağıtımları temsil eder. Bir cihazın ana bilgisayar adı, Windows konağıyla eşleşir. Ancak, bir Linux cihazı olarak temsil edilir.
Cihaz sayfasını açın. Genel Bakış bölmesinde, cihazın barındırıldığı yer için bir bağlantı vardır. Bu bağlantı, cihazın bir Windows ana bilgisayarında çalıştığını anlamanıza olanak tanır. Daha sonra daha fazla araştırma ve/veya yanıt için konağa dönebilirsiniz.
Zaman çizelgesi, Linux'ta Uç Nokta için Defender'a benzer şekilde, alt sistemin içindeki olaylarla (dosya, işlem, ağ) doldurulur. Zaman çizelgesi görünümünde etkinliği ve algılamaları gözlemleyebilirsiniz. Uyarılar ve olaylar da uygun şekilde oluşturulur.
WSL makineniz için özel etiket ayarlama
Eklenti, WSL makinesini etiketiyle WSL2
ekler. Sizin veya kuruluşunuzun özel bir etikete ihtiyacı varsa lütfen aşağıda açıklanan adımları izleyin:
Kayıt Defteri Düzenleyici yönetici olarak açın.
Aşağıdaki ayrıntıları içeren bir kayıt defteri anahtarı oluşturun:
- Ad:
GROUP
- Tür:
REG_SZ
veya kayıt defteri dizesi - Değer:
Custom tag
- Yol:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging
- Ad:
Kayıt defteri ayarlandıktan sonra aşağıdaki adımları kullanarak wsl'yi yeniden başlatın:
Komut İstemi'ni açın ve komutunu
wsl --shutdown
çalıştırın.wsl
komutunu çalıştırın.
Portalın değişiklikleri yansıtması için 5-10 dakika bekleyin.
Not
Kayıt defterindeki özel etiket kümesinin ardından bir _WSL2
olur.
Örneğin, kayıt defteri değer kümesi ise Microsoft
, özel etiket olur Microsoft_WSL2
ve portalda aynı görünür.
Eklentiyi test edin
Yüklemeden sonra eklentiyi test etmek için şu adımları izleyin:
Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)
wsl
komutunu çalıştırın.betik dosyasını adresinden https://aka.ms/MDE-Linux-EDR-DIYindirin ve ayıklayın.
Linux isteminde komutunu
./mde_linux_edr_diy.sh
çalıştırın.WSL2 örneğinde algılama için birkaç dakika sonra portalda bir uyarı görünmelidir.
Not
Olayların Microsoft Defender portalında görünmesi yaklaşık beş dakika sürer.
Makineye ortamınızda test gerçekleştirmek için normal bir Linux konağı gibi davranın. Özellikle, yeni eklentiyi kullanarak kötü amaçlı olabilecek davranışları ortaya çıkarabilme özelliği hakkında geri bildiriminizi almak istiyoruz.
Gelişmiş avcılık örneği
Gelişmiş Tehdit Avcılığı şemasının DeviceInfo
altında, bir WSL örneğini Windows konak cihazına eşlemek için kullanabileceğiniz adlı HostDeviceId
yeni bir öznitelik vardır. Aşağıda birkaç örnek avcılık sorgusu verilmişti:
Geçerli kuruluş/kiracı için tüm WSL cihaz kimliklerini alma
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
WSL cihaz kimliklerini ve ilgili konak cihaz kimliklerini alma
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
Curl veya wget'in çalıştırıldığı WSL cihaz kimliklerinin listesini alma
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Sorun giderme
Komut healthcheck.exe
, "WSL dağıtımını 'bash' komutuyla başlat ve beş dakika içinde yeniden dene" çıkışını gösterir.
Bir terminal örneği açın ve komutunu
wsl
çalıştırın.Sistem durumu denetimini yeniden çalıştırmadan önce en az beş dakika bekleyin.
Komut şu healthcheck.exe
çıkışı gösterebilir: "Telemetri bekleniyor. Lütfen beş dakika içinde yeniden deneyin."
Bu hata oluşursa beş dakika bekleyin ve komutunu yeniden çalıştırın healthcheck.exe
.
Microsoft Defender portalında hiçbir cihaz görmüyor veya zaman çizelgesinde hiçbir olay görmüyorsunuz
Aşağıdaki öğeleri denetleyin:
Makine nesnesi görmüyorsanız, ekleme işleminin tamamlanması için yeterli sürenin geçtiğinden emin olun (genellikle 10 dakikaya kadar).
Doğru filtreleri kullandığınızdan ve tüm cihaz nesnelerini görüntülemek için uygun izinlere sahip olduğunuzdan emin olun. (Örneğin, hesabınız/grubunuz belirli bir grupla sınırlı mı?)
Genel eklenti durumuyla ilgili genel bir genel bakış sağlamak için sistem durumu denetimi aracını kullanın. Terminal'i açın ve aracını konumundan
healthcheck.exe
%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
çalıştırın.WSL'de bağlantı testini etkinleştirin ve Uç Nokta için Defender bağlantısını denetleyin. Bağlantı testi başarısız olursa destek ekibimize sistem durumu denetimi aracının çıkışını sağlayın.
Sistem durumu denetiminde bağlantı testi raporları "geçersiz"
Makinenizde ara sunucu kurulumu varsa komutunu
healthCheck --extendedProxy
çalıştırın. Bu, makinenizde hangi ara sunucuların ayarlandığı ve bu yapılandırmaların WSL defender için geçersiz olup olmadığı hakkında bilgi sağlar.Yukarıda belirtilen adımlar sorunu çözmezse, aşağıdaki yapılandırma ayarlarını WSL'nizde
.wslconfig
%UserProfile%
bulunan bölümüne ekleyin ve WSL'yi yeniden başlatın. Ayarlarla ilgili ayrıntılar WSL Ayarları'nda bulunabilir.Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
Bağlantı sorunları devam ediyor
Aşağıdaki adımları izleyerek ağ günlüklerini toplayın:
Yükseltilmiş (yönetici) bir PowerShell istemi açın.
İndirme ve çalıştırma:
.\collect-networking-logs.ps1
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1 Set-ExecutionPolicy Bypass -Scope Process -Force .\collect-networking-logs.ps1
Yeni bir komut istemi açın ve şu komutu çalıştırın:
wsl
.Yükseltilmiş (yönetici) komut istemini açın ve şu komutu çalıştırın:
wsl --debug-shell
.Hata ayıklama kabuğunda şunu çalıştırın:
mdatp connectivity test
.Bağlantı testinin tamamlanmasına izin verin.
2. adımda çalıştır .ps1 durdurun.
Oluşturulan .zip dosyasını ve adımlarda belirtildiği gibi toplanabilir destek paketini paylaşın.
Destek paketi toplama
Başka zorluklarla veya sorunlarla karşılaşırsanız Terminal'i açın ve bir destek paketi oluşturmak için aşağıdaki komutları çalıştırın:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
Destek paketi, önceki komut tarafından sağlanan yolda bulunabilir.
WSL için Microsoft Defender Uç Noktası, WSL 2 üzerinde çalışan Linux dağıtımlarını destekler. WSL 1 ile ilişkiliyse sorunlarla karşılaşabilirsiniz. Bu nedenle, WSL 1'i devre dışı bırakması tavsiye edilir. Intune ilkesiyle bunu yapmak için aşağıdaki adımları uygulayın:
Cihaz>Yapılandırma Profilleri>Yeni İlkeOluştur'a> gidin.
Windows 10 ve üzeri>Ayarlar kataloğu'nu seçin.
Yeni profil için bir ad oluşturun ve kullanılabilir ayarların tam listesini görmek ve eklemek için Linux için Windows Alt Sistemi arayın.
Yalnızca WSL 2 dağıtımlarının kullanılabildiğinden emin olmak için WSL1'e İzin Ver ayarını Devre Dışı olarak ayarlayın.
Alternatif olarak, WSL 1 kullanmaya devam etmek veya Intune İlkesi'ni kullanmamak istiyorsanız, PowerShell'de komutunu çalıştırarak yüklü dağıtımlarınızı WSL 2'de çalışacak şekilde seçmeli olarak ilişkilendirebilirsiniz:
wsl --set-version <YourDistroName> 2
Sistemde yüklenecek yeni dağıtımlar için WSL 2'yi varsayılan WSL sürümünüz olarak kullanmak için PowerShell'de aşağıdaki komutu çalıştırın:
wsl --set-default-version 2
Eklenti varsayılan olarak Windows EDR halkasını kullanır. Önceki bir kademeye geçmek istiyorsanız kayıt defteri altında aşağıdakilerden birine ayarlayın
OverrideReleaseRing
ve WSL'yi yeniden başlatın:-
Ad:
OverrideReleaseRing
-
Tür:
REG_SZ
-
Değer:
Dogfood or External or InsiderFast or Production
-
Yol:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
-
Ad:
WSL başlatılırken "'DefenderforEndpointPlug-in' eklentisi tarafından önemli bir hata döndürüldü' Hata kodu: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND" gibi bir hata görürseniz, WSL yüklemesi için Uç Nokta için Defender eklentisi hatalı demektir. Onarmak için şu adımları izleyin: