Linux 上Microsoft Defender for Endpoint的先决条件

提示

Linux 上的Microsoft Defender for Endpoint现在在正式版中扩展了对基于 Arm64 的 Linux 服务器的支持。

本文列出了 Linux 上的 Defender for Endpoint 的硬件和软件要求。 有关 Linux 上的 Defender for Endpoint 的详细信息(例如此产品/服务中包含的内容),请参阅以下文章:

重要

如果要并行运行多个安全解决方案,请参阅 性能、配置和支持注意事项

你可能已经为载入到Microsoft Defender for Endpoint的设备配置了相互安全排除。 如果仍需要设置相互排除以避免冲突,请参阅将Microsoft Defender for Endpoint添加到现有解决方案的排除列表

许可要求

若要将服务器载入 Defender for Endpoint,需要服务器许可证。 可以从以下选项中进行选择:

  • 服务器计划 1 或计划 2 的Microsoft Defender
  • 服务器的Microsoft Defender for Endpoint
  • 面向中小企业的Microsoft Defender 商业版服务器 ()

有关Microsoft Defender for Endpoint许可要求的更多详细信息,请参阅Microsoft Defender for Endpoint许可信息

有关详细的许可信息,请参阅产品条款:Microsoft Defender for Endpoint并与你的帐户团队协作,了解有关条款和条件的详细信息。

系统要求

  • CPU:最小一个 CPU 核心。 对于高性能工作负载,建议使用更多核心。
  • 磁盘空间:最小 2 GB。 对于高性能工作负载,可能需要更多磁盘空间。
  • 内存:最小 RAM 为 1 GB。 对于高性能工作负载,可能需要更多内存。

注意

可能需要根据工作负载进行性能优化。 有关详细信息,请参阅 Linux 上Microsoft Defender for Endpoint的性能优化

软件要求

  • Linux 服务器终结点应能够访问 *.endpoint.security.microsoft.com。 如有必要, 请配置静态代理发现
  • Linux 服务器终结点应安装 systemd (system manager) 。
  • 安装需要 Linux 服务器终结点上的管理权限。
  • 在 Defender for Endpoint 中分配的相应角色。 请参阅 基于角色的访问控制

注意

使用系统管理器的 Linux 分发版支持 SystemV 和 Upstart。 Linux 代理上的Microsoft Defender for Endpoint独立于 Operations Management Suite (OMS) 代理。 Microsoft Defender for Endpoint依赖于自己的独立遥测管道。

支持的 Linux 分发版

支持以下 Linux 服务器分发版和 x64 (AMD64/EM64T) 版本:

  • Red Hat Enterprise Linux 7.2 及更高版本

  • Red Hat Enterprise Linux 8.x

  • Red Hat Enterprise Linux 9.x

  • CentOS 7.2 及更高版本,不包括 CentOS Stream

  • CentOS 8.x

  • Ubuntu 16.04 LTS

  • Ubuntu 18.04 LTS

  • Ubuntu 20.04 LTS

  • Ubuntu 22.04 LTS

  • Ubuntu 24.04 LTS

  • Debian 9 - 12

  • SUSE Linux Enterprise Server 12.x

  • SUSE Linux Enterprise Server 15.x

  • Oracle Linux 7.2 及更高版本

  • Oracle Linux 8.x

  • Oracle Linux 9.x

  • Amazon Linux 2

  • Amazon Linux 2023

  • Fedora 33-42

  • 洛基 8.7 及更高版本

  • 洛基 9.2 及更高版本

  • Alma 8.4 及更高版本

  • Alma 9.2 及更高版本

  • 水手 2

ARM64 上的以下 Linux 服务器分发现已正式发布:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Ubuntu 24.04 ARM64
  • Debian 11、12 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64
  • RHEL 8.x ARM64
  • RHEL 9.x ARM64
  • Oracle Linux 8.x ARM64
  • Oracle Linux 9.x ARM64
  • SUSE Linux Enterprise Server 15 (SP5、SP6) ARM64

注意

这些分发版的工作站和桌面版本不受支持,未明确列出的版本不受支持, (即使它们派生自) 官方支持的发行版也是如此。 发布新包版本后,对前两个版本的支持将减少到仅技术支持。 比本部分中列出的版本更早的版本仅用于技术升级支持。 对于所有其他受支持的发行版和版本,Microsoft Defender for Endpoint与内核版本无关。 内核版本的最低要求是 3.10.0-327 或更高版本。

警告

不支持在 Linux 上使用其他基于 fanotify 的安全解决方案运行 Defender for Endpoint。 这可能会导致不可预知的结果,包括挂起作系统。 如果系统上有任何其他应用程序在阻止模式下使用 fanotify,则会在 mdatp 运行状况命令输出的“conflicting_applications”字段中列出应用程序。 Linux FAPolicyD 功能在阻止模式下使用 fanotify,因此在活动模式下运行 Defender for Endpoint 时不受支持。 将防病毒功能“已启用实时保护”配置为被动模式后,仍可以安全地利用 Linux EDR 上的 Defender for Endpoint 功能。 请参阅Microsoft Defender防病毒的强制级别

支持实时保护和快速、完整和自定义扫描的文件系统

实时保护和快速/完全扫描 自定义扫描
btrfs 支持所有文件系统进行实时保护和快速/完全扫描
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs 仅 (v3) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

注意

要彻底扫描的 NFS v3 装入点,并且需要在这些装入点上设置 no_root_squash 导出选项。 如果没有此选项,扫描 NFS v3 可能会因为缺少权限而失败。

验证设备是否可以连接到 Defender for Endpoint 云服务

  1. 准备环境,如以下文章的步骤 1 中所述 ,配置网络环境以确保与 Defender for Endpoint 服务的连接

  2. 使用以下发现方法通过代理服务器连接 Linux 上的 Defender for Endpoint:

  3. 如果代理或防火墙阻止了流量,则允许前面列出的 URL 中的匿名流量。

注意

Defender for Endpoint 不需要透明代理的配置。 请参阅 手动静态代理配置。

警告

不支持 PAC、WPAD 和经过身份验证的代理。 仅使用静态或透明代理。 出于安全原因,不支持 SSL 检查和拦截代理。 配置 SSL 检查和代理服务器的异常,以允许将数据从 Linux 上的 Defender for Endpoint 直接传递到相关 URL,而无需拦截。 将拦截证书添加到全局存储区不会启用拦截。

有关故障排除步骤,请参阅排查 Linux 上Microsoft Defender for Endpoint的云连接问题

外部包依赖项

如果Microsoft Defender for Endpoint安装由于缺少依赖项错误而失败,可以手动下载先决条件依赖项。 mdatp 包存在以下外部包依赖项:

  • mdatp RPM 包需要 glibc >= 2.17
  • 对于 DEBIAN,mdatp 包需要 libc6 >= 2.23uuid-runtime

注意

从版本 101.24082.0004开始,Linux 上的 Defender for Endpoint 不再支持 Auditd 事件提供程序。 我们正在完全过渡到更高效的 eBPF 技术。 如果计算机上不支持 eBPF,或者有特定的要求要保留在“审核”中,并且计算机使用的是 Linux 版本或更早版本的 101.24072.0001 Defender for Endpoint,则 mdatp 对审核包存在以下附加依赖项:

  • mdatp RPM 包需要 auditsemanage
  • 对于 DEBIAN,mdatp 包需要 auditd
  • 对于 Mariner,mdatp 包需要 audit

对于早于 101.25032.0000的版本,以下要求适用:

  • RPM 包需要: mde-netfilterpcre
  • DEBIAN 包需要: mde-netfilterlibpcre3

mde-netfilter 还具有以下包依赖项:

  • 对于 DEBIAN,包 mde-netfilter 需要 libnetfilter-queue1libglib2.0-0
  • 对于 RPM,包 mde-netfilter 需要 libmnllibnfnetlinklibnetfilter_queueglib2

安装说明

可以使用多种方法和工具在 Linux 上部署Microsoft Defender for Endpoint, (适用于 AMD64 和 ARM64 Linux 服务器) :

重要

不支持在默认安装路径以外的任何位置安装Microsoft Defender for Endpoint。 在 Linux 上,Microsoft Defender for Endpoint使用随机 UID 和 GID 值创建 mdatp 用户。 如果要控制这些值,请在安装之前使用 /usr/sbin/nologin shell 选项创建 mdatp 用户。 下面是一个示例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin

如果遇到任何安装问题,可以使用自我故障排除资源。 请参阅另 请参阅 部分中的链接。

后续步骤

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区