你可以透過各種工具和方法在 Linux 上部署 Defender for Endpoint。 本文說明如何在 Linux 上手動部署 Defender for Endpoint。 如需使用其他方法,請參考 相關內容章節。
注意事項
我們強烈建議使用 Defender 部署工具的部署 方法,因為它簡化了入職流程,減少了手動作業,並支援多種部署情境,包括新安裝、升級與卸載。 詳情請參閱文件。
重要事項
如果你想並行運行多個安全解決方案,請參閱 效能、設定與支援的考量。
你可能已經為適用於端點的 Microsoft Defender 裝置設定了相互安全排除。 如果你仍需設定相互排除以避免衝突,請參閱「新增 適用於端點的 Microsoft Defender」到你現有解決方案的排除清單中。
手動部署步驟
成功部署需完成以下所有任務:
前置條件與系統需求
在開始之前,請參閱《Defender for Endpoint on Linux 的前置條件說明,了解目前軟體版本的前置條件與系統需求。
警告
在產品安裝後升級作業系統到新的主版本時,必須重新安裝該產品。 你需要先卸載現有的 Defender for Linux 應用程式,升級作業系統,然後依照本文步驟重新設定 Defender for Endpoint on Linux。
配置 Linux 軟體儲存庫
Defender for Endpoint on Linux 可從以下 (稱為 [channel]) 的通道之一部署:內部人快速、內部人慢速,或 prod。 這些頻道各自對應一個 Linux 軟體倉庫。 本文的說明說明如何設定您的裝置以使用這些儲存庫之一。
頻道的選擇決定了你裝置所提供的更新類型與頻率。 內部 人快速 裝置是最早接收更新和新功能的,接著是 內部人慢 速,最後是 prod。
為了預覽新功能並提供早期回饋,建議您在企業中設定部分裝置,分別使用 內部人快速 或 內部人慢速。
警告
初始安裝後切換通道需重新安裝產品。 切換產品通道:解除安裝現有套件,重新設定裝置使用新通道,並依照本文件步驟從新位置安裝套件。
RHEL 及其變種 (CentOS、Fedora、Oracle Linux、Amazon Linux 2、Rocky 和 Alma)
你可以使用套件dnfyum管理器或套件管理器,在 RHEL 及其變體上部署 Defender for Endpoint on Linux。 以下章節的指令包含兩個套件管理器的指令;只用相關的那個。
安裝其中一種
dnf-plugins-core,或者yum-utils如果你想用的那個還沒安裝:sudo dnf install dnf-plugins-core或
sudo yum install yum-utils找到適合你發行版和版本的正確套件。 請參考以下表格協助你尋找包裹:
發行版 & 版本 套件 Alma 8.4 及以上 https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 及以上版本 https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2 https://packages.microsoft.com/config/amazonlinux/2/prod.repo 亞馬遜 Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo 洛基8.7及以上 https://packages.microsoft.com/config/rocky/8/prod.repo 洛基9.2及以上 https://packages.microsoft.com/config/rocky/9/prod.repo 注意事項
對於你的發行版和版本,請依大 (,再依小調)
https://packages.microsoft.com/config/rhel/,找出最接近的條目。提示
線上核心修補工具,如 Ksplice 或類似工具,若執行 Defender for Endpoint,可能導致作業系統穩定性難以預測。 建議在進行線上核心修補前,暫時停止 Defender for Endpoint 守護程序。 核心更新後,Defender for Endpoint on Linux 即可安全重啟。 此動作對於運行 Oracle Linux 的系統尤其重要。
在以下指令中,請將 [version] 和 [channel] 替換成你所識別的資訊:
sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/[version]/[channel].repo或
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo提示
使用 hostnamectl 指令來識別系統相關資訊,包括釋出版本。
舉例來說,如果你正在使用 CentOS 8,並想從
prod該頻道部署 Linux 上的 Defender for Endpoint:sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/prod.repo或
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo或者如果你想在特定裝置上探索新功能,也可以在 Linux 上部署 Defender for Endpoint,讓內部用戶快速通路使用:
sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/insiders-fast.repo或
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/insiders-fast.repo安裝 Microsoft GPG 公開金鑰:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES 及其變型
注意事項
對於你的發行版和版本,請依大 (,再依小調) https://packages.microsoft.com/config/sles/,找出最接近的條目。
在以下指令中,將 [distro] 和 [version] 替換成你所識別的資訊:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo提示
使用 SPident 指令來識別系統相關資訊,包括版本 [版本]。
舉例來說,如果你正在執行 SLES 12,並希望從
prodLinux 頻道部署 Defender for Endpoint:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo安裝 Microsoft GPG 公開金鑰:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu 與 Debian 系統
如果還沒安裝,請安裝
curl:sudo apt install curl如果還沒安裝,請安裝
libplist-utils:sudo apt install libplist-utils注意事項
對於你的發行版和版本,請依大 (,再依小調)
https://packages.microsoft.com/config/[distro]/,找出最接近的條目。在以下指令中,將 [distro] 和 [version] 替換成你所識別的資訊:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list提示
使用 hostnamectl 指令來識別系統相關資訊,包括釋出版本。
舉例來說,如果你用的是 Ubuntu 18.04,想從
prodLinux 頻道部署 Defender for Endpoint:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list安裝儲存庫設定:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list例如,如果你選擇頻道:
prodsudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list如果還沒安裝,請安裝該
gpg套件:sudo apt install gpg如果
gpg無法使用,那就安裝gnupg。sudo apt install gnupg安裝 Microsoft GPG 公開金鑰:
針對 Debian 11/Ubuntu 22.04 及更早版本,請執行以下指令。
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null sudo chmod o+r /etc/apt/trusted.gpg.d/microsoft.gpg針對 Debian 12、Ubuntu 24.04 及更新版本,請執行以下指令。
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg針對 Debian 13 及更新版本,請執行以下指令。
curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg
如果還沒安裝 HTTPS 驅動程式,請安裝:
sudo apt install apt-transport-https更新儲存庫元資料:
sudo apt update
水手
如果還沒安裝,請安裝
dnf-plugins-core:sudo dnf install dnf-plugins-core設定並啟用所需的儲存庫。
注意事項
在 Mariner 頻道上,Insider 快速頻道無法收看。
如果你想在 Linux
prod上部署 Defender for Endpoint, 請使用以下指令sudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras或者如果你想在特定裝置上探索新功能,也可以在 Linux 上部署 Defender for Endpoint to insiders-slow channel。 使用下列命令:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
自訂位置安裝的預安裝設定
這些步驟僅適用於 Defender 安裝於自訂地點時。 關於如何將 適用於端點的 Microsoft Defender 安裝到自訂位置的詳細說明,請參閱「手動安裝:預先安裝設定」。
關於如何安裝到自訂位置的詳細資訊,請參考:啟用 Defender for Endpoint 在 Linux 上部署到自訂位置。
應用程式安裝
請使用以下章節中的指令在您的 Linux 發行版上安裝 Defender for Endpoint。
RHEL 及其變種 (CentOS、Fedora、Oracle Linux、Amazon Linux 2、Rocky 和 Alma)
sudo dnf install mdatp
或
sudo yum install mdatp
注意事項
如果你的裝置上有多個 Microsoft 儲存庫,你可以指定從哪個儲存庫安裝套件。 以下範例展示了如果你同時設定insiders-fast了儲存庫通道,如何從production通道安裝套件。 這種情況可能發生在你同時使用多個 Microsoft 產品時。 根據發行版和伺服器版本,儲存庫別名可能與以下範例不同。
# list all repositories
sudo dnf repolist
或
# list all repositories
sudo yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
例如,從生產儲存庫安裝套件:
sudo dnf --enablerepo=packages-microsoft-com-prod install mdatp
或
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES 及其變型
sudo zypper install mdatp
注意事項
如果你的裝置上有多個 Microsoft 儲存庫,你可以指定從哪個儲存庫安裝套件。 以下範例展示了如果你同時設定insiders-fast了儲存庫通道,如何從production通道安裝套件。 這種情況可能發生在你同時使用多個 Microsoft 產品時。
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu 與 Debian 系統
sudo apt install mdatp
注意事項
如果你的裝置上有多個 Microsoft 儲存庫,你可以指定從哪個儲存庫安裝套件。 以下範例展示了如果你同時設定insiders-fast了儲存庫通道,如何從production通道安裝套件。 這種情況可能發生在你同時使用多個 Microsoft 產品時。
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
注意事項
在 Linux 上安裝或更新 適用於端點的 Microsoft Defender 後,除非你以不可變模式執行 auditD,否則不需要重開機。
水手
sudo dnf install mdatp
注意事項
如果你的裝置上有多個 Microsoft 儲存庫,你可以指定從哪個儲存庫安裝套件。 以下範例展示了如果你同時設定insiders-slow了儲存庫通道,如何從production通道安裝套件。 這種情況可能發生在你同時使用多個 Microsoft 產品時。
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
下載入職套件
請從 Microsoft Defender 入口網站下載入職套件。
警告
重新打包 Defender for Endpoint 安裝套件並非支援的情境。 這樣做可能對產品的完整性造成負面影響,並導致不良後果,包括但不限於觸發竄改警示及更新未生效。
重要事項
若漏接此步驟,執行的任何指令都會顯示警告訊息,表示該產品未授權。 此外,指令 mdatp health 回傳的值為 false。
在 Microsoft Defender 入口網站,請前往設定>端點>管理>裝置引導。
在第一個下拉選單中,選擇 Linux Server 作為作業系統。 在第二個下拉選單中,選擇「 本地腳本 」作為部署方法。
選取 [下載上線套件]。 將檔案儲存為
WindowsDefenderATPOnboardingPackage.zip。
從命令提示字元確認你有檔案,然後解壓壓縮檔內容:
ls -ltotal 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
用戶端配置
複製
MicrosoftDefenderATPOnboardingLinuxServer.py到目標裝置。注意事項
一開始用戶端裝置沒有綁定到任何組織, orgID 屬性也是空白的。
mdatp health --field org_id根據你的情境,執行以下其中一個指令:
注意事項
要執行這個指令,你必須在裝置上安裝
pythonpython3或安裝,這取決於發行版和版本。 如有需要,請參閱《在 Linux 上安裝 Python 的逐步說明》。如果你使用的是 RHEL 8.x 或 Ubuntu 20.04 或更高版本,你需要使用
python3. 執行下列命令:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py對於其他發行版和版本,你需要使用
python. 執行下列命令:sudo python MicrosoftDefenderATPOnboardingLinuxServer.py確認該裝置現在已與您的組織相關聯,並回報有效的組織識別碼:
mdatp health --field org_id請執行以下指令檢查產品的健康狀態。 回傳值
true表示產品正常運作:mdatp health --field healthy重要事項
產品首次啟動時,會下載最新的反惡意軟體定義。 這個過程可能要花幾分鐘,視網路連線狀況而定。 在此期間,前述指令回傳一個值。
false您可以使用以下指令檢查定義更新的狀態:mdatp health --field definitions_status完成初始安裝後,你可能還需要設定代理伺服器。 請參閱 Linux 上的 Defender for Endpoint 配置,以了解靜態代理發現:安裝後設定。
執行防毒軟體偵測測試,確認裝置已正確上線並回報給服務單位。 對新上線的裝置執行以下步驟:
確保啟用即時保護 (
true以執行以下指令) 表示:mdatp health --field real_time_protection_enabled如果沒有啟用,請執行以下指令:
mdatp config real-time-protection --value enabled要執行偵測測試,請打開終端機視窗,然後執行以下指令:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt你可以使用以下任一指令對壓縮檔執行更多偵測測試:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip這些檔案應該會被 Defender for Endpoint 在 Linux 上隔離。
請使用以下指令列出所有偵測到的威脅:
mdatp threat list
執行 EDR 偵測測試並模擬偵測,以確認裝置已正確上線並向服務單位報告。 對新上線的裝置執行以下步驟:
確認已上線的 Linux 伺服器是否出現在 Microsoft Defender 全面偵測回應中。 如果這是機器的首次入門,可能要等上20分鐘才會出現。
下載並解壓腳本檔案至已上線的 Linux 伺服器,然後執行以下指令:
./mde_linux_edr_diy.sh幾分鐘後,Microsoft Defender 全面偵測回應應該會升起偵測。
查看警示細節、機器時間軸,並執行你平常的調查步驟。
軟體需求
詳情請參閱 軟體需求。
安裝問題的疑難排解
如果你遇到安裝問題,為了自我排查,請遵循以下步驟:
關於安裝錯誤發生時自動產生的日誌,請參見 「安裝日誌問題」。
有關常見安裝問題的資訊,請參見 安裝問題。
若裝置健康狀況為
false,請參見 Defender for Endpoint 代理健康問題。關於產品效能問題,請參見 故障排除效能問題。
關於代理與連線問題,請參見 「排除雲端連線問題」。
要獲得 Microsoft 的支援,請開啟支援單,並提供使用 用戶端分析器建立的日誌檔案。
如何切換頻道
例如,要將頻道從 Insiders-Fast 切換到製作頻道,請執行以下操作:
在 Linux 上卸載
Insiders-Fast channelDefender for Endpoint 版本。sudo dnf remove mdatp或
sudo yum remove mdatp在Linux Insiders-Fast頻道上停用Defender for Endpoint
sudo dnf config-manager --disable packages-microsoft-com-fast-prod或
sudo yum-config-manager --disable packages-microsoft-com-fast-prod在Linux
Production channel上用 重新安裝適用於端點的 Microsoft Defender,然後在 Microsoft Defender 入口網站重新安裝裝置。
如何在 Linux 上設定 Defender for Endpoint 的政策
要設定防毒軟體與EDR設定,請參閱以下文章:
- Defender for Endpoint 安全設定管理說明如何在 Microsoft Defender 入口網站中設定。 (此方法建議採用 )
- 在 Linux 上設定 Defender for Endpoint 的偏好設定,描述了你可以設定的設定。
在 Linux 上卸載 Defender for Endpoint
若要手動卸載,請執行以下指令,針對你的 Linux 發行版。
-
sudo dnf remove mdatp或sudo yum remove mdatp(視你的套件管理器) RHEL及CentOS和Oracle Linux) 變種 (而定。 -
sudo zypper remove mdatp適用於SLES及其變體。 -
sudo apt purge mdatp適用於 Ubuntu 與 Debian 系統。 -
sudo dnf remove mdatp為水手號
相關內容
其他部署方式:
提示
想要深入了解? Engage 與 Microsoft 安全性 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。