Megosztás a következőn keresztül:

Végponthoz készült Microsoft Defender beépülő modul Linuxos Windows-alrendszer (WSL)

  • Cikk

Érintett szolgáltatás:

Áttekintés

A Linuxos Windows-alrendszer (WSL) 2, amely felváltja a WSL előző verzióját (amelyet a beépülő modul nélküli Végponthoz készült Microsoft Defender támogat), olyan Linux-környezetet biztosít, amely zökkenőmentesen integrálható a Windows rendszerrel, de virtualizálási technológiával izolálva van. A Végponthoz készült Defender for WSL beépülő modul lehetővé teszi a Végponthoz készült Defender számára, hogy jobban átláthassa az összes futó WSL-tárolót az elkülönített alrendszerhez való csatlakozással.

Ismert problémák és korlátozások

A kezdés előtt vegye figyelembe a következő szempontokat:

  • A beépülő modul nem támogatja a korábbi verziók automatikus frissítéseit 1.24.522.2. Verzióra és újabbra 1.24.522.2 . Frissítések az összes kör Windows Update támogatja. Frissítések Windows Server Update Services (WSUS), a System Center Configuration Manager (SCCM) és a Microsoft Update katalógus csak az Éles körben támogatott a csomag stabilitásának biztosítása érdekében.

  • A beépülő modul teljes példányosítása néhány percet vesz igénybe, egy WSL2-példány pedig akár 30 percet is igénybe vehet. A rövid élettartamú WSL-tárolópéldányok azt eredményezhetik, hogy a WSL2-példány nem jelenik meg a Microsoft Defender portálon (https://security.microsoft.com). Ha egy disztribúció elég hosszú ideig (legalább 30 percig) fut, megjelenik.

  • Egyéni kernel és egyéni kernel parancssorának futtatása nem támogatott. Bár a beépülő modul nem tiltja le a futtatásokat ebben a konfigurációban, nem garantálja a WSL láthatóságát, ha egyéni kernelt és egyéni kernel-parancssort futtat. Javasoljuk, hogy az ilyen konfigurációkat Microsoft Intune wsl-beállításokkal tiltsa le.

  • A beépülő modul arm64-processzorral rendelkező gépeken nem támogatott.

  • A beépülő modul betekintést nyújt a WSL eseményeibe, de más funkciók, például kártevőirtó, Veszélyforrás- és biztonságirés-kezelés és válaszparancsok nem érhetők el a WSL logikai eszközhöz.

Szoftver előfeltételei

  • A WSL-verziónak vagy újabb verziónak 2.0.7.0 legalább egy aktív disztribúcióval kell futnia. Futtassa a parancsot wsl --update , és győződjön meg arról, hogy a legújabb verziót használja. Ha wsl -–version a korábbi verziót 2.0.7.0jeleníti meg, futtassa a parancsot wsl -–update –pre-release a legújabb frissítés beszerzéséhez.

  • A Windows-ügyféleszközt fel kell venni a Végponthoz készült Defenderbe.

  • A Windows-ügyféleszköznek Windows 10, 2004-es vagy újabb verziót (19044-es és újabb buildet) vagy Windows 11 kell futtatnia a beépülő modullal használható WSL-verziók támogatásához.

Szoftverösszetevők és telepítőfájlnevek

Telepítő: DefenderPlugin-x64-0.24.426.1.msi. A Microsoft Defender portál előkészítési oldaláról töltheti le. (Nyissa meg a Beállítások lapot>Végpontok>Előkészítés.)

Telepítési könyvtárak:

  • %ProgramFiles%

  • %ProgramData%

Telepített összetevők:

  • DefenderforEndpointPlug-in.dll. Ez a DLL az a kódtár, amely betölti a Végponthoz készült Defendert a WSL-ben való működéshez. A fájl a címen %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-intalálható.

  • healthcheck.exe. Ez a program ellenőrzi a Végponthoz készült Defender állapotát, és lehetővé teszi a WSL, a beépülő modul és a Végponthoz készült Defender telepített verzióinak megtekintését. A fájl a címen %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\toolstalálható.

Telepítési lépések

Ha a Linuxos Windows-alrendszer még nincs telepítve, kövesse az alábbi lépéseket:

  1. Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)

  2. Futtassa a következő parancsot wsl -–install: .

  3. Győződjön meg arról, hogy a WSL telepítve van és fut.

    1. A terminál vagy a parancssor használatával a parancs futtatásával wsl –-update győződjön meg arról, hogy a legújabb verzióval rendelkezik.

    2. Futtassa a wsl parancsot annak ellenőrzéséhez, hogy a WSL fut-e a tesztelés előtt.

  4. Telepítse a beépülő modult az alábbi lépésekkel:

    1. Telepítse a Microsoft Defender portál előkészítési szakaszából letöltött MSI-fájlt (Settings>Endpoints>Onboarding>Linuxos Windows-alrendszer 2 (beépülő modul)).

    2. Nyisson meg egy parancssort/terminált, és futtassa a parancsot wsl.

    A csomagot a Microsoft Intune használatával helyezheti üzembe.

Megjegyzés:

Ha WslService fut, a telepítési folyamat során leáll. Nem kell külön-külön elvégeznie az alrendszer előkészítését. Ehelyett a beépülő modul automatikusan csatlakozik ahhoz a bérlőhöz, amelyen a Windows-gazdagép elő van készítve. Végponthoz készült Microsoft Defender beépülő modul frissítése a WSL KB-frissítéshez.

Telepítési érvényesítési ellenőrzőlista

  1. A frissítés vagy telepítés után várjon legalább öt percet, amíg a beépülő modul teljesen inicializálja és megírja a napló kimenetét.

  2. Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)

  3. Futtassa a következő parancsot: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

  4. Futtassa a következő parancsot .\healthcheck.exe: .

  5. Tekintse át a Defender és a WSL részleteit, és győződjön meg arról, hogy azok megfelelnek vagy meghaladják a következő követelményeket:

    • Beépülő modul verziója: 1.24.522.2
    • WSL-verzió: 2.0.7.0 vagy újabb
    • Defender-alkalmazás verziója: 101.24032.0007
    • Defender állapota: Healthy

A WSL-ben futó Defender proxyjának beállítása

Ez a szakasz a végponthoz készült Defender beépülő modul proxykapcsolatának konfigurálását ismerteti. Ha a vállalat proxyt használ a Windows-gazdagépen futó Végponthoz készült Defenderhez való kapcsolódáshoz, folytassa az olvasást annak megállapításához, hogy konfigurálnia kell-e a beépülő modulhoz.

Ha a WSL beépülő modulhoz tartozó MDE gazdagép Windows EDR telemetriai proxykonfigurációját szeretné használni, nincs több szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.

Ha a gazdagép winhttp proxykonfigurációját szeretné használni a WSL beépülő modulhoz MDE, semmi többre nincs szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.

Ha a WSL beépülő modul MDE gazdagéphálózati és hálózati proxybeállítását szeretné használni, nincs több szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.

Megjegyzés:

A WSL Defender csak http a proxyt támogatja.

Beépülő modul proxyjának kiválasztása

Ha a gazdagép több proxybeállítást is tartalmaz, a beépülő modul a következő hierarchiával rendelkező proxykonfigurációkat választja ki:

  1. Végponthoz készült Defender statikus proxybeállítása (TelemetryProxyServer).

  2. Winhttp proxy (parancson keresztül netsh konfigurálva).

  3. Hálózati & internetproxy-beállítások.

Ha például a gazdagépen és Network & Internet proxyis Winhttp proxy van, a beépülő modul proxykonfigurációként lesz kiválasztvaWinhttp proxy.

Megjegyzés:

A DefenderProxyServer beállításkulcs már nem támogatott. A proxy beépülő modulban való konfigurálásához kövesse a cikk korábbi részében ismertetett lépéseket.

A végponthoz készült Defender WSL-ben futó kapcsolati tesztje

A Végponthoz készült Defender kapcsolati tesztje akkor aktiválódik, amikor proxymódosítás történik az eszközön, és az ütemezés szerint óránként fut.

A wsl-gép indításakor várjon 5 percet, majd futtassa a parancsot healthcheck.exe (a kapcsolati teszt eredményeinek megtekintéséhez itt található %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools ). Ha sikerült, láthatja, hogy a kapcsolati teszt sikeres volt. Ha a probléma nem sikerült, láthatja, hogy a kapcsolati teszt invalid azt jelzi, hogy a WSL-hez készült MDE beépülő modul és a Végponthoz készült Defender szolgáltatás URL-címei közötti ügyfélkapcsolat meghiúsult.

Megjegyzés:

A ConnectivityTest beállításkulcs már nem támogatott. A WSL-tárolókban (az alrendszeren futó disztribúciókban) használható proxy beállításához lásd: Speciális beállítások konfigurálása a WSL-ben.

A funkciók és az SOC-elemzői élmény ellenőrzése

A beépülő modul telepítése után az alrendszer és annak összes futó tárolója fel lesz készítve a Microsoft Defender portálra.

  1. Jelentkezzen be a Microsoft Defender portálra, és nyissa meg az Eszközök nézetet.

  2. Szűrjön a WSL2 címke használatával.

    Képernyőkép az eszközleltárszűrőről

    A környezet összes WSL-példányát láthatja egy aktív Végponthoz készült Defender beépülő modullal a WSL-hez. Ezek a példányok az adott gazdagép WSL-jén belül futó összes disztribúciót képviselik. Az eszköz állomásneve megegyezik a Windows-gazdagép nevére. Ez azonban Linux-eszközként jelenik meg.

  3. Nyissa meg az eszközoldalt. Az Áttekintés panelen található egy hivatkozás arra a helyre, ahol az eszköz üzemel. A hivatkozással megértheti, hogy az eszköz windowsos gazdagépen fut. Ezután a gazdagéphez fordulva további vizsgálatot és/vagy választ kaphat.

    Képernyőkép az eszköz áttekintéséről.

Az idősor a Végponthoz készült Defenderhez hasonló módon töltődik fel a Linux rendszeren, az alrendszeren belüli eseményekkel (fájl, folyamat, hálózat). Az idősor nézetben megfigyelheti a tevékenységeket és az észleléseket. A riasztások és incidensek is megfelelő módon jönnek létre.

Egyéni címke beállítása a WSL-géphez

A beépülő modul a következő címkével WSL2iktatja fel a WSL-gépet: . Ha Önnek vagy a szervezetének egyéni címkére van szüksége, kövesse az alábbi lépéseket:

  1. Nyissa meg a Beállításjegyzék-Szerkesztő rendszergazdaként.

  2. Hozzon létre egy beállításkulcsot a következő adatokkal:

    • Név: GROUP
    • Típus: REG_SZ vagy beállításjegyzékbeli sztring
    • Érték: Custom tag
    • Ösvény: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging

  3. A beállításjegyzék beállítása után indítsa újra a wsl fájlt az alábbi lépésekkel:

    1. Nyissa meg a Parancssort, és futtassa a következő parancsot: wsl --shutdown.

    2. Futtassa a wsl parancsot.

  4. Várjon 5–10 percet, amíg a portál tükrözi a módosításokat.

Megjegyzés:

A beállításjegyzékben az egyéni címkekészletet egy _WSL2követi. Ha például a beállításjegyzék értéke Microsoft, akkor az egyéni címke lesz Microsoft_WSL2 , és ugyanaz látható lesz a portálon.

A beépülő modul tesztelése

A beépülő modul telepítés utáni teszteléséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)

  2. Futtassa a következő parancsot wsl: .

  3. Töltse le és bontsa ki a szkriptfájlt a fájlból https://aka.ms/MDE-Linux-EDR-DIY.

  4. A Linux parancssorában futtassa a következő parancsot ./mde_linux_edr_diy.sh: .

    A WSL2-példány észlelése érdekében néhány perc elteltével riasztásnak kell megjelennie a portálon.

    Megjegyzés:

    Körülbelül öt percig tart, amíg az események megjelennek a Microsoft Defender portálon.

A gépet úgy kezelje, mintha a környezetben normál Linux-gazdagép lenne a tesztelés végrehajtásához. Különösen szeretnénk visszajelzést kapni a potenciálisan rosszindulatú viselkedésnek az új beépülő modullal való felszínre hozásának lehetőségéről.

Speciális veszélyforrás-keresés

Az Advanced Hunting sémában, a DeviceInfo tábla alatt található egy új attribútum HostDeviceId , amellyel leképezhet egy WSL-példányt a windowsos gazdagép eszközére. Íme néhány minta veszélyforrás-keresési lekérdezés:

Az aktuális szervezet/bérlő összes WSL-eszközazonosítójának lekérése

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

WSL-eszközazonosítók és a hozzájuk tartozó gazdaeszköz-azonosítók lekérése

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

A curl vagy wget futtatására szolgáló WSL-eszközazonosítók listájának lekérése

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Hibaelhárítás

Telepítési hiba

Ha hibaüzenet jelenik meg a WSL indításakor(például A fatal error was returned by plugin 'DefenderforEndpointPlug-in' Error code: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND), az azt jelenti, hogy a Végponthoz készült Defender beépülő modul hibás a WSL telepítéséhez. A javításhoz kövesse az alábbi lépéseket:

  1. A Vezérlőpult lépjen a Programok Programok>és szolgáltatások elemre.

  2. Keresse meg és válassza ki Végponthoz készült Microsoft Defender beépülő modult a WSL-hez. Ezután válassza a Javítás lehetőséget. Ennek a műveletnek a problémát úgy kell megoldania, hogy a megfelelő fájlokat a várt könyvtárakba helyezi.

    Képernyőkép MDE WSL javítási lehetőségről a vezérlőpulton.

A parancs healthcheck.exe a következő kimenetet jeleníti meg: "WSL-disztribúció indítása a "bash" paranccsal, és próbálkozzon újra öt perc alatt."

Képernyőkép a PowerShell kimenetről.

  1. Nyisson meg egy terminálpéldányt, és futtassa a parancsot wsl.

  2. Várjon legalább öt percet, mielőtt újrafuttatja az állapot-ellenőrzést.

A healthcheck.exe parancs a következő kimenetet jelenítheti meg: "Várakozás a telemetriára. Próbálkozzon újra öt perc múlva."

Képernyőkép az állapottelemetria állapotáról.

Ha ez a hiba jelentkezik, várjon öt percet, és futtassa újra a következőt healthcheck.exe: .

Nem lát semmilyen eszközt a Microsoft Defender portálon, vagy nem lát semmilyen eseményt az idővonalon

Ellenőrizze a következőket:

  • Ha nem látja a gépobjektumot, győződjön meg arról, hogy elegendő idő telt el az előkészítés befejezéséhez (általában legfeljebb 10 percig).

  • Győződjön meg arról, hogy a megfelelő szűrőket használja, és hogy rendelkezik a megfelelő engedélyekkel az összes eszközobjektum megtekintéséhez. (Például a fiókja/csoportja egy adott csoportra korlátozódik?)

  • Az állapot-ellenőrző eszközzel áttekintést kaphat a beépülő modulok általános állapotáról. Nyissa meg a Terminált, és futtassa az eszközt a healthcheck.exe következőből: %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

    Képernyőkép a PowerShell állapotáról.

  • Engedélyezze a kapcsolati tesztet, és ellenőrizze, hogy van-e végponthoz készült Defender-kapcsolat a WSL-ben. Ha a kapcsolati teszt sikertelen, adja meg az állapot-ellenőrző eszköz kimenetét a támogatási csapatunknak.

A kapcsolati teszt jelentései "érvénytelenek" az állapot-ellenőrzésben

  • Ha a gép proxybeállítással rendelkezik, futtassa a következő parancsot healthCheck --extendedProxy: . Ez információt nyújt arról, hogy mely proxy(k) vannak beállítva a gépen, és hogy ezek a konfigurációk érvénytelenek-e a WSL Defender esetében.

    A HealthCheck proxyjának kiterjesztése – dokumentum

  • Ha a fent említett lépések nem oldják meg a problémát, adja meg a következő konfigurációs beállításokat a fájlban, majd indítsa újra a .wslconfig WSL-t %UserProfile% . A beállítások részletei a WSL-beállítások között találhatók.

    A Windows 11

    
# Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsTunneling=true

networkingMode=mirrored

    A Windows 10

    # Settings apply across all Linux distros running on WSL 2
[wsl2]

dnsProxy=false

A csatlakozási problémák továbbra is fennállnak

Gyűjtse össze a hálózati naplókat az alábbi lépésekkel:

  1. Nyisson meg egy emelt szintű (rendszergazdai) PowerShell-parancssort.

  2. Letöltés és futtatás: .\collect-networking-logs.ps1

    
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
Set-ExecutionPolicy Bypass -Scope Process -Force
.\collect-networking-logs.ps1

  3. Nyisson meg egy új parancssort, és futtassa a következő parancsot: wsl.

  4. Nyisson meg egy rendszergazdai jogú parancssort, és futtassa a következő parancsot: wsl --debug-shell.

  5. A hibakeresési rendszerhéjban futtassa a következőt: mdatp connectivity test.

  6. Engedélyezze a kapcsolati teszt befejezését.

  7. Állítsa le a 2. lépésben futtatott .ps1.

  8. Ossza meg a létrehozott .zip fájlt a támogatási csomaggal együtt, amely a lépésekben leírtak szerint gyűjthető össze.

Támogatási csomag összegyűjtése

  1. Ha más kihívásokkal vagy problémákkal szembesül, nyissa meg a Terminált, és futtassa a következő parancsokat egy támogatási csomag létrehozásához:

    cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"

    .\healthcheck.exe --supportBundle

    A támogatási csomag az előző parancs által megadott elérési úton található.

    Képernyőkép a PowerShell-kimenet állapotáról.

WSL1 és WSL2

Microsoft Defender Végpont beépülő modul a WSL-hez támogatja a WSL 2-n futó Linux-disztribúciókat. Ha a WSL 1-hez vannak társítva, problémákat tapasztalhat. Ezért javasoljuk, hogy tiltsa le a WSL 1-et. Ehhez a Intune szabályzattal hajtsa végre a következő lépéseket:

  1. Nyissa meg a Microsoft Intune Felügyeleti központot.

  2. Lépjen az Eszközök>konfigurációs profiljai>Új szabályzatlétrehozása területre>.

  3. Válassza a Windows 10 és a későbbi>Beállítások katalógust.

  4. Hozzon létre egy nevet az új profilnak, és keressen rá a Linuxos Windows-alrendszer az elérhető beállítások teljes listájának megtekintéséhez és hozzáadásához.

  5. Állítsa a WSL1 engedélyezése beállítást Letiltva értékre, hogy csak a WSL 2-disztribúciók használhatók legyenek.

    Ha továbbra is a WSL 1-et szeretné használni, vagy nem szeretné használni a Intune Szabályzatot, a telepített disztribúciókat szelektíven társíthatja a WSL 2-n való futtatáshoz, ha a parancsot a PowerShellben futtatja:

    wsl --set-version <YourDistroName> 2

    Ha azt szeretné, hogy a WSL 2 legyen az új disztribúciók alapértelmezett WSL-verziója, futtassa a következő parancsot a PowerShellben:

    wsl --set-default-version 2

Kiadási kör felülbírálása

  • A beépülő modul alapértelmezés szerint a Windows EDR gyűrűt használja. Ha egy korábbi körre szeretne váltani, állítsa az OverrideReleaseRing alábbi beállítások egyikére a beállításjegyzékben, majd indítsa újra a WSL-t:

    • Név: OverrideReleaseRing
    • Típus: REG_SZ
    • Érték: Dogfood or External or InsiderFast or Production
    • Elérési út: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL