Aracılığıyla paylaş


Linux için Windows Alt Sistemi (WSL) için Uç Nokta için Microsoft Defender eklentisi

Şunlar için geçerlidir:

Genel bakış

WSL'nin önceki sürümünün (eklenti olmadan Uç Nokta için Microsoft Defender tarafından desteklenir) yerini alan Linux için Windows Alt Sistemi (WSL) 2, Windows ile sorunsuz bir şekilde tümleştirilmiş ancak sanallaştırma teknolojisi kullanılarak yalıtılmış bir Linux ortamı sağlar. WSL için Uç Nokta için Defender eklentisi, Uç Nokta için Defender'ın yalıtılmış alt sisteme takarak çalışan tüm WSL kapsayıcılarına daha fazla görünürlük sağlamasına olanak tanır.

Bilinen sorunlar ve sınırlamalar

Başlamadan önce aşağıdaki noktalara dikkat edin:

  1. Eklenti, sürümünden önceki 1.24.522.2sürümlerde otomatik güncelleştirmeleri desteklemez. Sürüm ve sonraki sürümlerde 1.24.522.2 güncelleştirmeler tüm halkalarda Windows Update aracılığıyla desteklenir. Windows Server Update hizmetleri (WSUS), System Center Configuration Manager (SCCM) ve Microsoft Update kataloğu aracılığıyla Güncelleştirmeler, paket kararlılığını sağlamak için yalnızca Üretim halkasında desteklenir.

  2. Eklentinin tam olarak örnek oluşturması birkaç dakika ve WSL2 örneğinin kendisini eklemesi 30 dakikaya kadar sürer. Kısa ömürlü WSL kapsayıcı örnekleri, WSL2 örneğinin Microsoft Defender portalında (https://security.microsoft.com ) görünmemesiyle sonuçlanabilir. Herhangi bir dağıtım yeterince uzun bir süre (en az 30 dakika) çalıştığında görünür.

  3. Özel çekirdek ve özel çekirdek komut satırının çalıştırılması desteklenmez. Eklenti bu yapılandırmada çalıştırmayı engellemese de, özel çekirdek ve özel çekirdek komut satırı çalıştırırken WSL içinde görünürlüğü garanti etmez. Microsoft Intune wsl ayarları yardımıyla bu tür yapılandırmaları engellemenizi öneririz.

  4. İşletim Sistemi Dağıtımı, Microsoft Defender portalındaki WSL cihazının Cihaza genel bakış sayfasında Yok olarak görüntülenir.

  5. Eklenti ARM64 işlemcili makinelerde desteklenmez.

  6. Eklenti, WSL'deki olaylara görünürlük sağlar, ancak kötü amaçlı yazılımdan koruma, Tehdit ve Güvenlik Açığı Yönetimi ve yanıt komutları gibi diğer özellikler WSL mantıksal cihazı için kullanılamaz.

Yazılım önkoşulları

  • WSL sürüm 2.0.7.0 veya üzeri en az bir etkin dağıtımla çalışıyor olmalıdır.

    En son sürümde olduğunuzdan emin olmak için komutunu çalıştırın wsl --update . sürümünden 2.0.7.0eski bir sürüm gösterildiysewsl -–version, en son güncelleştirmeyi almak için komutunu çalıştırınwsl -–update –pre-release.

  • Windows istemci cihazının Uç Nokta için Defender'a eklenmesi gerekir.

  • Windows istemci cihazının eklentiyle çalışabilen WSL sürümlerini desteklemek için Windows 10, sürüm 2004 ve üzeri (derleme 19044 ve üzeri) veya Windows 11 çalıştırıyor olması gerekir.

Yazılım bileşenleri ve yükleyici dosya adları

Yükleyici: DefenderPlugin-x64-0.24.426.1.msi. Microsoft Defender portalındaki ekleme sayfasından indirebilirsiniz. (Ayarlar'a> gidinBitiş noktası>Ekleme.)

Yükleme dizinleri:

  • %ProgramFiles%

  • %ProgramData%

Yüklü bileşenler:

  • DefenderforEndpointPlug-in.dll. Bu DLL, WSL içinde çalışmak üzere Uç Nokta için Defender'ı yüklemek için kullanılacak kitaplıktır. adresinde %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-inbulabilirsiniz.

  • healthcheck.exe. Bu program Uç Nokta için Defender'ın sistem durumunu denetler ve WSL, eklenti ve Uç Nokta için Defender'ın yüklü sürümlerini görmenizi sağlar. adresinde %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\toolsbulabilirsiniz.

Yükleme adımları

Linux için Windows Alt Sistemi henüz yüklü değilse şu adımları izleyin:

  1. Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)

  2. wsl -–install komutunu çalıştırın.

  3. WSL'nin yüklü ve çalışır durumda olduğunu onaylayın.

    1. En son sürüme sahip olduğunuzdan emin olmak için Terminal veya Komut İstemi'ni kullanarak komutunu çalıştırın wsl –-update .

    2. wsl Test etmeden önce WSL'nin çalıştığından emin olmak için komutunu çalıştırın.

  4. Aşağıdaki adımları izleyerek eklentiyi yükleyin:

    1. Microsoft Defender portalındaki ekleme bölümünden indirilen MSI dosyasını yükleyin (Ayarlar>Uç Noktaları>Ekleme>Linux için Windows Alt Sistemi 2 (eklenti)).

    2. Bir komut istemi/terminal açın ve komutunu çalıştırın wsl.

    Paketi Microsoft Intune kullanarak dağıtabilirsiniz.

Not

WslService çalışıyorsa, yükleme işlemi sırasında durur. Alt sistemi ayrı olarak eklemeniz gerekmez. Bunun yerine eklenti, Windows ana bilgisayarının eklendiği kiracıya otomatik olarak eklenir.

Yükleme doğrulama denetim listesi

  1. Güncelleştirme veya yüklemeden sonra, eklentinin günlük çıkışını tam olarak başlatması ve yazması için en az beş dakika bekleyin.

  2. Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)

  3. komutunu çalıştırın: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. .\healthcheck.exe komutunu çalıştırın.

  5. Defender ve WSL ayrıntılarını gözden geçirin ve aşağıdaki gereksinimleri karşıladığından veya aştığından emin olun:

    • Eklenti Sürümü: 1.24.522.2
    • WSL Sürümü: 2.0.7.0 veya üzeri
    • Defender Uygulama Sürümü: 101.24032.0007
    • Defender Sistem Durumu: Healthy

WSL'de çalışan Defender için ara sunucu ayarlama

Bu bölümde, Uç Nokta için Defender eklentisi için ara sunucu bağlantısının nasıl yapılandırıldığı açıklanır. Kuruluşunuz Windows ana bilgisayarında çalışan Uç Nokta için Defender'a bağlantı sağlamak için bir ara sunucu kullanıyorsa, eklenti için yapılandırmanız gerekip gerekmediğini belirlemek için okumaya devam edin.

WSL eklentisi için MDE için konak windows EDR telemetri proxy yapılandırmasını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.

WSL eklentisi için MDE için konak winhttp proxy yapılandırmasını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.

WSL eklentisi için MDE için konak ağ ve ağ ara sunucusu ayarını kullanmak istiyorsanız, başka bir şey gerekmez. Bu yapılandırma eklenti tarafından otomatik olarak benimsenmiştir.

Not

WSL defender yalnızca http ara sunucuyu destekler.

Eklenti Ara Sunucusu seçimi

Konak makineniz birden çok ara sunucu ayarı içeriyorsa, eklenti aşağıdaki hiyerarşiye sahip ara sunucu yapılandırmalarını seçer:

  1. Uç nokta için Defender statik proxy ayarı (TelemetryProxyServer).

  2. Winhttp proxy (komut aracılığıyla netsh yapılandırılır).

  3. Ağ & İnternet proxy ayarları.

Örneğin, konak makinenizde hem hem Network & Internet proxyde Winhttp proxy varsa, eklenti ara sunucu yapılandırması olarak seçerWinhttp proxy.

Not

DefenderProxyServer Kayıt defteri anahtarı artık desteklenmiyor. Eklentide ara sunucuyu yapılandırmak için bu makalenin önceki bölümlerinde açıklanan adımları izleyin.

WSL'de çalışan Defender için bağlantı testi

Defender bağlantı testi, cihazınızda bir ara sunucu değişikliği olduğunda tetikler ve saatte bir çalışacak şekilde zamanlanır.

wsl makinenizi başlatırken 5 dakika bekleyin ve ardından çalıştırın healthcheck.exe (bağlantı testinin sonuçları için konumunda %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools bulunur). Başarılı olursa bağlantı testinin başarılı olduğunu görebilirsiniz. Başarısız olursa bağlantı testinin invalid WSL için MDE eklentisinden Uç Nokta için Defender hizmet URL'lerine istemci bağlantısının başarısız olduğunu gösterdiğini görebilirsiniz.

Not

ConnectivityTest Kayıt defteri anahtarı artık desteklenmiyor. WSL kapsayıcılarında (alt sistemde çalışan dağıtımlar) kullanılacak bir ara sunucu ayarlamak için bkz. WSL'de gelişmiş ayarlar yapılandırması.

İşlevselliği ve SOC analist deneyimini doğrulama

Eklenti yüklendikten sonra alt sistem ve çalışan tüm kapsayıcıları Microsoft Defender portalına eklenir.

  1. Microsoft Defender portalında oturum açın ve Cihazlar görünümünü açın.

  2. WSL2 etiketini kullanarak filtreleyin.

    Cihaz envanteri filtreyi gösteren ekran görüntüsü

    Ortamınızdaki tüm WSL örneklerini WSL için etkin bir Uç Nokta için Defender eklentisiyle görebilirsiniz. Bu örnekler, belirli bir konakta WSL içinde çalışan tüm dağıtımları temsil eder. Bir cihazın ana bilgisayar adı, Windows konağıyla eşleşir. Ancak, bir Linux cihazı olarak temsil edilir.

  3. Cihaz sayfasını açın. Genel Bakış bölmesinde, cihazın barındırıldığı yer için bir bağlantı vardır. Bu bağlantı, cihazın bir Windows ana bilgisayarında çalıştığını anlamanıza olanak tanır. Daha sonra daha fazla araştırma ve/veya yanıt için konağa dönebilirsiniz.

    Cihaza genel bakışı gösteren ekran görüntüsü.

Zaman çizelgesi, Linux'ta Uç Nokta için Defender'a benzer şekilde, alt sistemin içindeki olaylarla (dosya, işlem, ağ) doldurulur. Zaman çizelgesi görünümünde etkinliği ve algılamaları gözlemleyebilirsiniz. Uyarılar ve olaylar da uygun şekilde oluşturulur.

WSL makineniz için özel etiket ayarlama

Eklenti, WSL makinesini etiketiyle WSL2ekler. Sizin veya kuruluşunuzun özel bir etikete ihtiyacı varsa lütfen aşağıda açıklanan adımları izleyin:

  1. Kayıt Defteri Düzenleyici yönetici olarak açın.

  2. Aşağıdaki ayrıntıları içeren bir kayıt defteri anahtarı oluşturun:

    • Ad: GROUP
    • Tür: REG_SZ veya kayıt defteri dizesi
    • Değer: Custom tag
    • Yol: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging
  3. Kayıt defteri ayarlandıktan sonra aşağıdaki adımları kullanarak wsl'yi yeniden başlatın:

    1. Komut İstemi'ni açın ve komutunu wsl --shutdownçalıştırın.

    2. wsl komutunu çalıştırın.

  4. Portalın değişiklikleri yansıtması için 5-10 dakika bekleyin.

Not

Kayıt defterindeki özel etiket kümesinin ardından bir _WSL2olur. Örneğin, kayıt defteri değer kümesi ise Microsoft, özel etiket olur Microsoft_WSL2 ve portalda aynı görünür.

Eklentiyi test edin

Yüklemeden sonra eklentiyi test etmek için şu adımları izleyin:

  1. Terminal veya Komut İstemi'ni açın. (Windows'ta Başlat'a> gidinKomut İstemi. İsterseniz başlangıç düğmesine sağ tıklayıp Terminal'i de seçebilirsiniz.)

  2. wsl komutunu çalıştırın.

  3. betik dosyasını adresinden https://aka.ms/MDE-Linux-EDR-DIYindirin ve ayıklayın.

  4. Linux isteminde komutunu ./mde_linux_edr_diy.shçalıştırın.

    WSL2 örneğinde algılama için birkaç dakika sonra portalda bir uyarı görünmelidir.

    Not

    Olayların Microsoft Defender portalında görünmesi yaklaşık beş dakika sürer.

Makineye ortamınızda test gerçekleştirmek için normal bir Linux konağı gibi davranın. Özellikle, yeni eklentiyi kullanarak kötü amaçlı olabilecek davranışları ortaya çıkarabilme özelliği hakkında geri bildiriminizi almak istiyoruz.

Gelişmiş avcılık örneği

Gelişmiş Tehdit Avcılığı şemasının DeviceInfo altında, bir WSL örneğini Windows konak cihazına eşlemek için kullanabileceğiniz adlı HostDeviceId yeni bir öznitelik vardır. Aşağıda birkaç örnek avcılık sorgusu verilmişti:

Geçerli kuruluş/kiracı için tüm WSL cihaz kimliklerini alma

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

WSL cihaz kimliklerini ve ilgili konak cihaz kimliklerini alma

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Curl veya wget'in çalıştırıldığı WSL cihaz kimliklerinin listesini alma

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Sorun giderme

Komut healthcheck.exe , "WSL dağıtımını 'bash' komutuyla başlat ve beş dakika içinde yeniden dene" çıkışını gösterir.

PowerShell çıkışını gösteren ekran görüntüsü.

  1. Bir terminal örneği açın ve komutunu wslçalıştırın.

  2. Sistem durumu denetimini yeniden çalıştırmadan önce en az beş dakika bekleyin.

Komut şu healthcheck.exe çıkışı gösterebilir: "Telemetri bekleniyor. Lütfen beş dakika içinde yeniden deneyin."

Sistem durumu telemetri durumunu gösteren ekran görüntüsü.

Bu hata oluşursa beş dakika bekleyin ve komutunu yeniden çalıştırın healthcheck.exe.

Microsoft Defender portalında hiçbir cihaz görmüyor veya zaman çizelgesinde hiçbir olay görmüyorsunuz

Aşağıdaki öğeleri denetleyin:

  • Makine nesnesi görmüyorsanız, ekleme işleminin tamamlanması için yeterli sürenin geçtiğinden emin olun (genellikle 10 dakikaya kadar).

  • Doğru filtreleri kullandığınızdan ve tüm cihaz nesnelerini görüntülemek için uygun izinlere sahip olduğunuzdan emin olun. (Örneğin, hesabınız/grubunuz belirli bir grupla sınırlı mı?)

  • Genel eklenti durumuyla ilgili genel bir genel bakış sağlamak için sistem durumu denetimi aracını kullanın. Terminal'i açın ve aracını konumundan healthcheck.exe%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\toolsçalıştırın.

    PowerShell'de durumu gösteren ekran görüntüsü.

  • WSL'de bağlantı testini etkinleştirin ve Uç Nokta için Defender bağlantısını denetleyin. Bağlantı testi başarısız olursa destek ekibimize sistem durumu denetimi aracının çıkışını sağlayın.

Sistem durumu denetiminde bağlantı testi raporları "geçersiz"

  • Makinenizde ara sunucu kurulumu varsa komutunu healthCheck --extendedProxyçalıştırın. Bu, makinenizde hangi ara sunucuların ayarlandığı ve bu yapılandırmaların WSL defender için geçersiz olup olmadığı hakkında bilgi sağlar.

    HealthCheck Proxy belgesini genişletme

  • Yukarıda belirtilen adımlar sorunu çözmezse, aşağıdaki yapılandırma ayarlarını WSL'nizde .wslconfig%UserProfile% bulunan bölümüne ekleyin ve WSL'yi yeniden başlatın. Ayarlarla ilgili ayrıntılar WSL Ayarları'nda bulunabilir.

    Windows 11

    
    # Settings apply across all Linux distros running on WSL 2
    [wsl2]
    
    dnsTunneling=true
    
    networkingMode=mirrored  
    

    Windows 10

    # Settings apply across all Linux distros running on WSL 2
    [wsl2]
    
    dnsProxy=false
    
    

Bağlantı sorunları devam ediyor

Aşağıdaki adımları izleyerek ağ günlüklerini toplayın:

  1. Yükseltilmiş (yönetici) bir PowerShell istemi açın.

  2. İndirme ve çalıştırma: .\collect-networking-logs.ps1

    
    Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
    Set-ExecutionPolicy Bypass -Scope Process -Force
    .\collect-networking-logs.ps1
    
    
  3. Yeni bir komut istemi açın ve şu komutu çalıştırın: wsl.

  4. Yükseltilmiş (yönetici) komut istemini açın ve şu komutu çalıştırın: wsl --debug-shell.

  5. Hata ayıklama kabuğunda şunu çalıştırın: mdatp connectivity test.

  6. Bağlantı testinin tamamlanmasına izin verin.

  7. 2. adımda çalıştır .ps1 durdurun.

  8. Oluşturulan .zip dosyasını ve adımlarda belirtildiği gibi toplanabilir destek paketini paylaşın.

Destek paketi toplama

  1. Başka zorluklarla veya sorunlarla karşılaşırsanız Terminal'i açın ve bir destek paketi oluşturmak için aşağıdaki komutları çalıştırın:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
    
    .\healthcheck.exe --supportBundle 
    

    Destek paketi, önceki komut tarafından sağlanan yolda bulunabilir.

    PowerShell çıkışındaki durumu gösteren ekran görüntüsü.

  2. WSL için Microsoft Defender Uç Noktası, WSL 2 üzerinde çalışan Linux dağıtımlarını destekler. WSL 1 ile ilişkiliyse sorunlarla karşılaşabilirsiniz. Bu nedenle, WSL 1'i devre dışı bırakması tavsiye edilir. Intune ilkesiyle bunu yapmak için aşağıdaki adımları uygulayın:

    1. Microsoft Intune yönetim merkezinize gidin.

    2. Cihaz>Yapılandırma Profilleri>Yeni İlkeOluştur'a> gidin.

    3. Windows 10 ve üzeri>Ayarlar kataloğu'nu seçin.

    4. Yeni profil için bir ad oluşturun ve kullanılabilir ayarların tam listesini görmek ve eklemek için Linux için Windows Alt Sistemi arayın.

    5. Yalnızca WSL 2 dağıtımlarının kullanılabildiğinden emin olmak için WSL1'e İzin Ver ayarını Devre Dışı olarak ayarlayın.

      Alternatif olarak, WSL 1 kullanmaya devam etmek veya Intune İlkesi'ni kullanmamak istiyorsanız, PowerShell'de komutunu çalıştırarak yüklü dağıtımlarınızı WSL 2'de çalışacak şekilde seçmeli olarak ilişkilendirebilirsiniz:

      wsl --set-version <YourDistroName> 2
      

      Sistemde yüklenecek yeni dağıtımlar için WSL 2'yi varsayılan WSL sürümünüz olarak kullanmak için PowerShell'de aşağıdaki komutu çalıştırın:

      wsl --set-default-version 2
      
  3. Eklenti varsayılan olarak Windows EDR halkasını kullanır. Önceki bir kademeye geçmek istiyorsanız kayıt defteri altında aşağıdakilerden birine ayarlayın OverrideReleaseRing ve WSL'yi yeniden başlatın:

    • Ad: OverrideReleaseRing
    • Tür: REG_SZ
    • Değer: Dogfood or External or InsiderFast or Production
    • Yol: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
  4. WSL başlatılırken "'DefenderforEndpointPlug-in' eklentisi tarafından önemli bir hata döndürüldü' Hata kodu: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND" gibi bir hata görürseniz, WSL yüklemesi için Uç Nokta için Defender eklentisi hatalı demektir. Onarmak için şu adımları izleyin:

    1. Denetim Masası'da Programlar Programlar>ve Özellikler'e gidin.

    2. WSL için Uç Nokta için Microsoft Defender eklentisini arayın ve seçin. Ardından Onar'ı seçin. Bu eylem, beklenen dizinlere doğru dosyaları yerleştirerek sorunu çözmelidir.

      Denetim masasındaki WSL onarımı için MDE eklenti seçeneğini gösteren ekran görüntüsü.