提示
適用於端點的 Microsoft Defender 在 Linux 上,現在在 GA 中擴展了對基於 Arm64 的 Linux 伺服器的支援。
本文列出 Defender for Endpoint 在 Linux 上的硬體與軟體需求。 欲了解更多關於 Linux 版 Defender for Endpoint 的資訊,例如本產品包含的內容,請參閱以下文章:
重要事項
如果你想並行運行多個安全解決方案,請參閱 效能、設定與支援的考量。
你可能已經為適用於端點的 Microsoft Defender 裝置設定了相互安全排除。 如果你仍需設定相互排除以避免衝突,請參閱「新增 適用於端點的 Microsoft Defender」到你現有解決方案的排除清單中。
授權需求
要將伺服器導入 Defender for Endpoint,則需要伺服器授權。 可以選擇下列選項:
- Microsoft Defender for Servers 方案 1 或方案 2
- 適用於端點的 Microsoft Defender for server
- 適用於商業伺服器的 Microsoft Defender (僅適用於中小企業)
欲了解更多關於適用於端點的 Microsoft Defender 授權要求的詳細資訊,請參閱 適用於端點的 Microsoft Defender 授權資訊。
欲了解詳細授權資訊,請參閱產品條款:適用於端點的 Microsoft Defender,並與您的帳戶團隊合作,深入了解條款與條件。
系統需求
- CPU:至少一個 CPU 核心。 對於高效能工作負載,建議使用更多核心。
- 磁碟空間:至少 2 GB。 對於高效能工作負載,可能需要更多磁碟空間。
- 記憶體:至少 1 GB 記憶體。 對於高效能工作負載,可能需要更多記憶體。
- 關於自訂路徑的安裝,請參閱 自訂地點安裝的前置條件與系統需求。
注意事項
根據工作負載,可能需要進行效能調整。 欲了解更多資訊,請參閱 Linux 上 適用於端點的 Microsoft Defender 效能調校
軟體需求
- Linux 伺服器端點應該能存取
*.endpoint.security.microsoft.com. 如有需要, 設定靜態代理發現。 - Linux 伺服器端點應該安裝 systemd (系統管理員) 。
- 安裝時需要在 Linux 伺服器端點上取得管理員權限。
- Defender for Endpoint 中指派的適當角色。 請參閲 角色型存取控制。
注意事項
使用系統管理員的 Linux 發行版同時支援 SystemV 與 Upstart。 Linux agent 的 適用於端點的 Microsoft Defender 獨立於 OMS) 代理 (Operations Management Suite。 適用於端點的 Microsoft Defender 依賴其獨立的遙測流程。
支援的 Linux 發行版
以下支援的 Linux 伺服器發行版及 x64 (AMD64/EM64T) 版本:
- Red Hat Enterprise Linux 7.2 及以上版本
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- Red Hat Enterprise Linux 10.x
- CentOS 7.2 及以上版本,不含 CentOS Stream
- CentOS 8.x
- CentOS Stream 8.x
- CentOS Stream 9.x
- CentOS Stream 10.x
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Ubuntu Pro
- Debian 9 - 12
- SUSE Linux 企業伺服器 12.x
- SUSE Linux 企業伺服器 15.x
- Oracle Linux 7.2 及以上版本
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- 亞馬遜 Linux 2023
- Fedora 33-42
- 洛基8.7及以上
- 洛基9.2及以上
- Alma 8.4 及以上
- Alma 9.2 及以上版本
- 水手2
以下 ARM64 上的 Linux 伺服器發行版現已正式啟用:
- Ubuntu 20.04 LTS ARM64
- Ubuntu 22.04 LTS ARM64
- Ubuntu 24.04 LTS ARM64
- Ubuntu Pro ARM64
- CentOS Stream 8.x ARM64
- CentOS Stream 9.x ARM64
- CentOS Stream 10.x ARM64
- Debian 11, 12 ARM64
- 亞馬遜 Linux 2 ARM64
- 亞馬遜 Linux 2023 ARM64
- RHEL 8.x ARM64
- RHEL 9.x ARM64
- RHEL 10.x ARM64
- Oracle Linux 8.x ARM64
- Oracle Linux 9.x ARM64
- SUSE Linux Enterprise Server 15 (SP5、SP6) ARM64
注意事項
未明確列出的發行版和版本,以及自訂作業系統,即使它們是從官方支援的發行版衍生出來的) , (都不被支援。
適用於端點的 Microsoft Defender 對所有其他支援的發行版和版本都不依賴核心版本。 核心版本的最低要求是 3.10.0-327 或更高版本。
警告
在 Linux 上執行 Defender for Endpoint 與其他基於 fanotify 的安全解決方案並行不被支援,可能導致不可預測的行為,包括系統當機。
如果有任何應用程式在阻擋模式下使用 fanotify,它們會出現在 mdatp health 指令輸出的conflicting_applications欄位中。
你仍然可以透過將防毒強制等級設為被動,安全地利用 Linux 版的 Defender for Endpoint。 請參閱在 Linux 上適用於端點的 Microsoft Defender 配置安全設定。
例外:FAPolicyD Linux 功能同樣在封鎖模式下使用 Fanotify,且在 RHEL 與 Fedora 平台上,Defender for Endpoint 的主動模式支援,前提是 mdatp 健康狀態會回報健康狀態。 此例外基於這些發行版特定的驗證相容性。
支援即時保護及快速、完整及客製化掃描的檔案系統
| 即時保護與快速/全掃描 | 自訂掃描 |
|---|---|
btrfs |
所有檔案系統皆支援即時保護及快速/完整掃描 |
ecryptfs |
Efs |
ext2 |
S3fs |
ext3 |
Blobfuse |
ext4 |
Lustr |
fuse |
glustrefs |
fuseblk |
Afs |
jfs |
sshfs |
nfs (只有 v3) |
cifs |
overlay |
smb |
ramfs |
gcsfuse |
reiserfs |
sysfs |
tmpfs |
|
udf |
|
vfat |
|
xfs |
注意事項
要掃描 NFS v3 的掛載點,請務必設定 no_root_squash 匯出選項。 若無此選項,掃描 NFS v3 可能會因缺乏權限而失敗。
確認裝置是否能連接 Defender for Endpoint 雲端服務
請如以下文章第一步所述,準備您的 環境:配置您的網路環境以確保與 Defender for Endpoint 服務的連結。
透過以下發現方法,透過代理伺服器在 Linux 上連接 Defender for Endpoint:
- 透明Proxy
- 手動靜態代理設定
如果代理或防火牆阻擋流量,允許先前列出的網址有匿名流量。
注意事項
Defender for Endpoint 不需要設定透明代理。 詳見 手動靜態代理設定。
警告
PAC、WPAD 和認證代理都不支援。 只使用靜態或透明代理檔。 出於安全考量,SSL 檢查與攔截代理並不被支援。 設定一個例外,允許 SSL 檢查,並讓代理伺服器允許 Linux 上的 Defender for Endpoint 直接傳資料到相關網址,且不會被攔截。 將攔截憑證加入全域商店並不會啟用攔截。
關於故障排除步驟,請參見 Linux 上 適用於端點的 Microsoft Defender 的雲端連線問題故障排除。
外部套件相依性
如果 適用於端點的 Microsoft Defender 安裝因缺少相依錯誤而失敗,您可以手動下載前置相依。 mdatp 套件存在以下外部套件相依關係:
- mdatp RPM 套件需要
glibc >= 2.17。 - 對於 DEBIAN 來說,mdatp 套件需要
libc6 >= 2.23。
注意事項
對於版本 101.25042.0003 及以上,則不需要外部依賴,而高於 101.25032.0000 的版本則需要額外的套件:
- 基於 RPM 的分布:
mde-netfilter,pcre,libmnl,libnfnetlinklibnetfilter_queue, ,glib2 - 基於 DEBIAN 的發行版:
mde-netfilter、libpcre3libglib2.0-0libnetfilter-queue1從版本101.24082.0004開始,Linux 上的 Defender for Endpoint 不再支援事件Auditd提供者。 我們正全面轉向更有效率的 eBPF 技術。 如果您的機器不支援 eBPF,或有特定要求必須保留在 Auditd,且您的機器使用 Linux 版本101.24072.0001或更舊版本的 Defender for Endpoint,則 mdatp 對 auditd 套件有以下額外依賴: - mdatp RPM 套件需要
audit,semanage。 - 對於 DEBIAN,mdatp 套件需要
auditd。 - 對於 Mariner,mdatp 套件需要
audit。
安裝指示
你可以使用多種方法和工具在 Linux 上部署 適用於端點的 Microsoft Defender (適用於 AMD64 和 ARM64 的 Linux 伺服器) :
- 基於安裝程式腳本的部署
- Ansible 式部署
- 基於 Chef 的部署
- Puppet 式部署
- 基於 SaltStack 的部署
- 手動部署
- 使用 Defender for Cloud 的直接導入
- Linux Server 與 SAP 上的 Defender for Endpoint 指引
重要事項
在 Linux 上,適用於端點的 Microsoft Defender 會建立一個隨機 UID 和 GID 值的 mdatp 使用者。 如果你想控制這些數值,安裝前先用 /usr/sbin/nologin shell 選項建立一個 mdatp 使用者。 舉個例子: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin。
如果你遇到安裝問題,有自助故障排除資源可用。 請參閱 相關內容區的連結。
後續步驟
- 在 Linux 上部署 Defender for Endpoint
- 在 Linux 上設定 Defender for Endpoint
- 在 Linux 上部署 Defender for Endpoint 的更新
相關內容
- 使用 適用於端點的 Microsoft Defender 安全設定管理來管理 Microsoft Defender 防毒軟體
- Linux 資源
- 在 Linux 上排解 適用於端點的 Microsoft Defender 雲端連線問題
- 調查代理程式健康狀況問題
- 在 Linux 上排解 適用於端點的 Microsoft Defender 的缺失事件或警報問題
- 在 Linux 上排解 適用於端點的 Microsoft Defender 的效能問題
- 在 Linux 上安裝 Defender for Endpoint 到自訂路徑
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群