Linux 上適用於端點的 Microsoft Defender

想要體驗適用於端點的 Microsoft Defender 嗎？ 注册免費試用版。

本文說明如何在Linux上安裝、設定、更新和使用 適用於端點的 Microsoft Defender。

注意

在 Linux 上執行其他非Microsoft端點保護產品以及 適用於端點的 Microsoft Defender 可能會導致效能問題和無法預期的副作用。 如果非Microsoft端點保護是您環境中的絕對需求，在設定要在 被動模式中執行的防病毒軟體功能之後，您仍然可以安全地利用適用於Linux EDR的Defender功能。

如何在Linux上安裝 適用於端點的 Microsoft Defender

適用於Linux的 適用於端點的 Microsoft Defender包含反惡意代碼和端點偵測和回應 (EDR) 功能。

必要條件

• 存取 Microsoft Defender 入口網站

• 使用 系統系統管理員的Linux散發套件

  注意事項

  使用系統管理員的Linux散發套件，同時支援 SystemV 和 Upstart。

• Linux 和BASH腳本中的初學者層級體驗

• 裝置上的系統管理許可權 (手動部署)

注意事項

Linux 代理程式上的 適用於端點的 Microsoft Defender 與 OMS 代理程序無關。 適用於端點的 Microsoft Defender依賴自己的獨立遙測管線。

安裝指示

有數種方法和部署工具可用來在Linux上安裝和設定 適用於端點的 Microsoft Defender。 開始之前，請確定符合 適用於端點的 Microsoft Defender 的最低需求。

您可以使用下列其中一種方法在 Linux 上部署 適用於端點的 Microsoft Defender：

• 若要使用命令行工具，請 參閱手動部署
• 若要使用 Puppet，請 參閱使用 Puppet 設定管理工具部署
• 若要使用 Ansible，請 參閱使用 Ansible 組態管理工具部署
• 若要使用 Chef，請 參閱使用 Chef 設定管理工具部署
• 若要使用 Saltstack，請 參閱使用 Saltstack 組態管理工具部署

如果您遇到任何安裝失敗，請參閱針對Linux上 適用於端點的 Microsoft Defender 安裝失敗進行疑難解答。

重要事項

不支援在預設安裝路徑以外的任何位置安裝 適用於端點的 Microsoft Defender。 Linux 上的 適用於端點的 Microsoft Defender 會建立具有mdatp隨機 UID 和 GID 的使用者。 如果您想要控制 UID 和 GID，請在安裝之前使用/usr/sbin/nologin殼層選項建立mdatp使用者。 以下是範例： mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin。

系統需求

• 磁碟空間：2 GB

  注意事項

  如果已針對損毀集合啟用雲端診斷，則可能需要額外的 2 GB 磁碟空間。 請確定您在 /var 中有可用的磁碟空間。

• 核心：兩個最小值，四個慣用

  注意事項

  如果您處於被動或 RTP ON 模式，則至少需要兩個核心。 偏好使用四個核心。 如果您要開啟 BM，則至少需要四個核心。

• 記憶體：最小 1 GB，慣用 4 GB

• 支援下列 Linux 伺服器發行版和 x64 (AMD64/EM64T) 和 x86_64 版本：

  • Red Hat Enterprise Linux 7.2 或更新版本
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 或更高版本
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 或更新版本
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • 斯洛奇 8.7 和更新版本
  • 卡羅 9.2 和更新版本
  • Alma 8.4 和更新版本
  • Alma 9.2 和更新版本
  • 水靈 2

  注意事項

  不支援未明確列出的散發套件和版本 (即使它們衍生自正式支持的發行版) 也一樣。 發行新的套件版本之後，對前兩個版本的支援將縮小為僅限技術支援。 比本節所列舊的版本僅供技術升級支援使用。 Microsoft Defender 目前不支援 Vulnerablity 管理。 所有其他支持的發行版和版本 適用於端點的 Microsoft Defender 與核心版本無關。 核心版本的最低需求為 3.10.0-327 或以上。

  注意

  不支援在Linux上與其他 fanotify型安全性解決方案並行執行適用於端點的Defender。 這可能會導致無法預期的結果，包括掛斷操作系統。 如果系統上有任何其他應用程式在封鎖模式中使用fanotify，則應用程式會列在命令輸出的欄位中mdatp healthconflicting_applications。 Linux FAPolicyD 功能會在封鎖模式中使用 fanotify ，因此在作用中模式中執行適用於端點的 Defender 時不受支援。 在設定啟用至 被動模式的即時保護功能之後，您仍然可以安全地利用Linux EDR上的適用於端點的Defender功能。

• RTP、快速、完整和自訂掃描的支援檔案系統清單。

  RTP、快速、完整掃描	自訂掃描
  btrfs	RTP、快速、完整掃描支援的所有文件系統
  ecryptfs	Efs
  ext2	S3fs
  ext3	Blobfuse
  ext4	Lustr
  fuse	glustrefs
  fuseblk	Afs
  jfs	sshfs
  nfs 僅 (v3)	cifs
  overlay	smb
  ramfs	gcsfuse
  reiserfs	sysfs
  tmpfs
  udf
  vfat
  xfs

• 如果您使用 auditd 作為主要事件提供者，則必須啟用稽核 auditd 架構 () 。

  注意事項

  新增至 的規則所擷 /etc/audit/rules.d/ 取的系統事件會新增至 audit.log (的) ，而且可能會影響主機稽核和上游集合。 適用於端點的 Microsoft Defender 在Linux上新增的事件將會加上mdatp索引鍵標記。

• /opt/microsoft/mdatp/sbin/wdavdaemon 需要可執行文件許可權。 如需詳細資訊，請參閱針對Linux上 適用於端點的 Microsoft Defender的安裝問題進行疑難解答中的。

外部套件相依性

如果 適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗，您可以手動下載必要條件相依性。 mdatp 套件有下列外部套件相依性：

• mdatp RPM 套件需要 glibc >= 2.17、 audit、 policycoreutils、 semanageselinux-policy-targeted和 mde-netfilter
• 針對 RHEL6，mdatp RPM 套件需要 audit、 policycoreutils、 libselinux和 mde-netfilter
• 若為 DEBIAN，mdatp 套件需要 libc6 >= 2.23、 uuid-runtime、 auditd和 mde-netfilter

mde-netfilter 套件也有下列套件相依性：

• 若為 DEBIAN，mde-netfilter 套件需要 libnetfilter-queue1、 和 libglib2.0-0
• 針對 RPM，mde-netfilter 套件需要 libmnl、 libnfnetlink、 libnetfilter_queue和 glib2

設定排除專案

將排除專案新增至 Microsoft Defender 防病毒軟體時，您應該留意 Microsoft Defender 防病毒軟體的常見排除錯誤。

網路連線

確定能夠從您的裝置連線到 適用於端點的 Microsoft Defender 雲端服務。 若要準備您的環境，請參閱 步驟 1：設定網路環境以確保與適用於端點的 Defender 服務連線。

Linux 上適用於端點的 Defender 可以使用下列發現方法，透過 Proxy 伺服器進行連線：

• 透明Proxy
• 手動靜態 Proxy 設定

如果 Proxy 或防火牆封鎖匿名流量，請確定在先前列出的 URL 中允許匿名流量。 針對透明 Proxy，不需要針對適用於端點的 Defender 進行其他設定。 針對靜態 Proxy，請遵循 手動靜態 Proxy 組態中的步驟。

警告

不支援 PAC、WPAD 和已驗證的 Proxy。 確定只使用靜態 Proxy 或透明 Proxy。 基於安全性考慮，也不支援SSL檢查和攔截 Proxy。 設定 SSL 檢查和 Proxy 伺服器的例外狀況，以直接將數據從 Linux 上的適用於端點的 Defender 傳遞至相關的 URL，而不需要攔截。 將您的攔截憑證新增至全域存放區將不允許攔截。

如需疑難解答步驟，請參閱針對Linux上 適用於端點的 Microsoft Defender的雲端連線問題進行疑難解答。

如何更新Linux上的 適用於端點的 Microsoft Defender

Microsoft定期發佈軟體更新，以改善效能、安全性，以及提供新功能。 若要更新 Linux 上的 適用於端點的 Microsoft Defender，請參閱在 Linux 上部署 適用於端點的 Microsoft Defender 的更新。

設定 Linux 上適用於端點的 Microsoft Defender 的方式

如需如何在企業環境中設定產品的指引，請參閱設定Linux上 適用於端點的 Microsoft Defender的喜好設定。

要 適用於端點的 Microsoft Defender的常見應用程式可能會受到影響

安裝 適用於端點的 Microsoft Defender 時，某些應用程式的高 I/O 工作負載可能會遇到效能問題。 這類開發人員案例的應用程式包括 Jenkins 和 Jira，以及 OracleDB 和 Postgres 等資料庫工作負載。 如果發生效能降低，請考慮設定受信任應用程式的排除專案，並記住 Microsoft Defender 防病毒軟體的常見排除錯誤。 如需更多指引，請考慮諮詢有關非Microsoft應用程式防病毒軟體排除的檔。

資源

• 如需記錄、卸載或其他文章的詳細資訊，請參閱 資源。

相關文章

• 使用適用於雲端的 Defender 整合式 EDR 解決方案來保護您的端點：適用於端點的 Microsoft Defender
• 將非 Azure 機器連線至雲端 Microsoft Defender
• 開啟Linux的網路保護

提示

想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。