Végponthoz készült Microsoft Defender beépülő modul Linuxos Windows-alrendszer (WSL)
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 2. csomag
- Windows 11
- Windows 10, 2004-es és újabb verzió (19044-es és újabb build)
Áttekintés
A Linuxos Windows-alrendszer (WSL) 2, amely felváltja a WSL előző verzióját (amelyet a beépülő modul nélküli Végponthoz készült Microsoft Defender támogat), olyan Linux-környezetet biztosít, amely zökkenőmentesen integrálható a Windows rendszerrel, de virtualizálási technológiával izolálva van. A Végponthoz készült Defender for WSL beépülő modul lehetővé teszi a Végponthoz készült Defender számára, hogy jobban átláthassa az összes futó WSL-tárolót az elkülönített alrendszerhez való csatlakozással.
Ismert problémák és korlátozások
A kezdés előtt vegye figyelembe a következő szempontokat:
A beépülő modul nem támogatja a korábbi verziók automatikus frissítéseit
1.24.522.2
. Verzióra és újabbra1.24.522.2
. Frissítések az összes kör Windows Update támogatja. Frissítések Windows Server Update Services (WSUS), a System Center Configuration Manager (SCCM) és a Microsoft Update katalógus csak az Éles körben támogatott a csomag stabilitásának biztosítása érdekében.A beépülő modul teljes példányosítása néhány percet vesz igénybe, egy WSL2-példány pedig akár 30 percet is igénybe vehet. A rövid élettartamú WSL-tárolópéldányok azt eredményezhetik, hogy a WSL2-példány nem jelenik meg a Microsoft Defender portálon (https://security.microsoft.com). Ha egy disztribúció elég hosszú ideig (legalább 30 percig) fut, megjelenik.
Egyéni kernel és egyéni kernel parancssorának futtatása nem támogatott. Bár a beépülő modul nem tiltja le a futtatásokat ebben a konfigurációban, nem garantálja a WSL láthatóságát, ha egyéni kernelt és egyéni kernel-parancssort futtat. Javasoljuk, hogy az ilyen konfigurációkat Microsoft Intune wsl-beállításokkal tiltsa le.
A beépülő modul arm64-processzorral rendelkező gépeken nem támogatott.
A beépülő modul betekintést nyújt a WSL eseményeibe, de más funkciók, például kártevőirtó, Veszélyforrás- és biztonságirés-kezelés és válaszparancsok nem érhetők el a WSL logikai eszközhöz.
Szoftver előfeltételei
A WSL-verziónak vagy újabb verziónak
2.0.7.0
legalább egy aktív disztribúcióval kell futnia. Futtassa a parancsotwsl --update
, és győződjön meg arról, hogy a legújabb verziót használja. Hawsl -–version
a korábbi verziót2.0.7.0
jeleníti meg, futtassa a parancsotwsl -–update –pre-release
a legújabb frissítés beszerzéséhez.A Windows-ügyféleszközt fel kell venni a Végponthoz készült Defenderbe.
A Windows-ügyféleszköznek Windows 10, 2004-es vagy újabb verziót (19044-es és újabb buildet) vagy Windows 11 kell futtatnia a beépülő modullal használható WSL-verziók támogatásához.
Szoftverösszetevők és telepítőfájlnevek
Telepítő: DefenderPlugin-x64-0.24.426.1.msi
. A Microsoft Defender portál előkészítési oldaláról töltheti le. (Nyissa meg a Beállítások lapot>Végpontok>Előkészítés.)
Telepítési könyvtárak:
%ProgramFiles%
%ProgramData%
Telepített összetevők:
DefenderforEndpointPlug-in.dll
. Ez a DLL az a kódtár, amely betölti a Végponthoz készült Defendert a WSL-ben való működéshez. A fájl a címen%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in
található.healthcheck.exe
. Ez a program ellenőrzi a Végponthoz készült Defender állapotát, és lehetővé teszi a WSL, a beépülő modul és a Végponthoz készült Defender telepített verzióinak megtekintését. A fájl a címen%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
található.
Telepítési lépések
Ha a Linuxos Windows-alrendszer még nincs telepítve, kövesse az alábbi lépéseket:
Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)
Futtassa a következő parancsot
wsl -–install
: .Győződjön meg arról, hogy a WSL telepítve van és fut.
A terminál vagy a parancssor használatával a parancs futtatásával
wsl –-update
győződjön meg arról, hogy a legújabb verzióval rendelkezik.Futtassa a
wsl
parancsot annak ellenőrzéséhez, hogy a WSL fut-e a tesztelés előtt.
Telepítse a beépülő modult az alábbi lépésekkel:
Telepítse a Microsoft Defender portál előkészítési szakaszából letöltött MSI-fájlt (Settings>Endpoints>Onboarding>Linuxos Windows-alrendszer 2 (beépülő modul)).
Nyisson meg egy parancssort/terminált, és futtassa a parancsot
wsl
.
A csomagot a Microsoft Intune használatával helyezheti üzembe.
Megjegyzés:
Ha WslService
fut, a telepítési folyamat során leáll. Nem kell külön-külön elvégeznie az alrendszer előkészítését. Ehelyett a beépülő modul automatikusan csatlakozik ahhoz a bérlőhöz, amelyen a Windows-gazdagép elő van készítve.
Végponthoz készült Microsoft Defender beépülő modul frissítése a WSL KB-frissítéshez.
Telepítési érvényesítési ellenőrzőlista
A frissítés vagy telepítés után várjon legalább öt percet, amíg a beépülő modul teljesen inicializálja és megírja a napló kimenetét.
Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)
Futtassa a következő parancsot:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.Futtassa a következő parancsot
.\healthcheck.exe
: .Tekintse át a Defender és a WSL részleteit, és győződjön meg arról, hogy azok megfelelnek vagy meghaladják a következő követelményeket:
-
Beépülő modul verziója:
1.24.522.2
-
WSL-verzió:
2.0.7.0
vagy újabb -
Defender-alkalmazás verziója:
101.24032.0007
-
Defender állapota:
Healthy
-
Beépülő modul verziója:
A WSL-ben futó Defender proxyjának beállítása
Ez a szakasz a végponthoz készült Defender beépülő modul proxykapcsolatának konfigurálását ismerteti. Ha a vállalat proxyt használ a Windows-gazdagépen futó Végponthoz készült Defenderhez való kapcsolódáshoz, folytassa az olvasást annak megállapításához, hogy konfigurálnia kell-e a beépülő modulhoz.
Ha a WSL beépülő modulhoz tartozó MDE gazdagép Windows EDR telemetriai proxykonfigurációját szeretné használni, nincs több szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.
Ha a gazdagép winhttp proxykonfigurációját szeretné használni a WSL beépülő modulhoz MDE, semmi többre nincs szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.
Ha a WSL beépülő modul MDE gazdagéphálózati és hálózati proxybeállítását szeretné használni, nincs több szükség. Ezt a konfigurációt a beépülő modul automatikusan elfogadja.
Megjegyzés:
A WSL Defender csak http
a proxyt támogatja.
Beépülő modul proxyjának kiválasztása
Ha a gazdagép több proxybeállítást is tartalmaz, a beépülő modul a következő hierarchiával rendelkező proxykonfigurációkat választja ki:
Végponthoz készült Defender statikus proxybeállítása (
TelemetryProxyServer
).Winhttp
proxy (parancson keresztülnetsh
konfigurálva).Hálózati & internetproxy-beállítások.
Ha például a gazdagépen és Network & Internet proxy
is Winhttp proxy
van, a beépülő modul proxykonfigurációként lesz kiválasztvaWinhttp proxy
.
Megjegyzés:
A DefenderProxyServer
beállításkulcs már nem támogatott. A proxy beépülő modulban való konfigurálásához kövesse a cikk korábbi részében ismertetett lépéseket.
A végponthoz készült Defender WSL-ben futó kapcsolati tesztje
A Végponthoz készült Defender kapcsolati tesztje akkor aktiválódik, amikor proxymódosítás történik az eszközön, és az ütemezés szerint óránként fut.
A wsl-gép indításakor várjon 5 percet, majd futtassa a parancsot healthcheck.exe
(a kapcsolati teszt eredményeinek megtekintéséhez itt található %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
). Ha sikerült, láthatja, hogy a kapcsolati teszt sikeres volt. Ha a probléma nem sikerült, láthatja, hogy a kapcsolati teszt invalid
azt jelzi, hogy a WSL-hez készült MDE beépülő modul és a Végponthoz készült Defender szolgáltatás URL-címei közötti ügyfélkapcsolat meghiúsult.
Megjegyzés:
A ConnectivityTest
beállításkulcs már nem támogatott.
A WSL-tárolókban (az alrendszeren futó disztribúciókban) használható proxy beállításához lásd: Speciális beállítások konfigurálása a WSL-ben.
A funkciók és az SOC-elemzői élmény ellenőrzése
A beépülő modul telepítése után az alrendszer és annak összes futó tárolója fel lesz készítve a Microsoft Defender portálra.
Jelentkezzen be a Microsoft Defender portálra, és nyissa meg az Eszközök nézetet.
Szűrjön a WSL2 címke használatával.
A környezet összes WSL-példányát láthatja egy aktív Végponthoz készült Defender beépülő modullal a WSL-hez. Ezek a példányok az adott gazdagép WSL-jén belül futó összes disztribúciót képviselik. Az eszköz állomásneve megegyezik a Windows-gazdagép nevére. Ez azonban Linux-eszközként jelenik meg.
Nyissa meg az eszközoldalt. Az Áttekintés panelen található egy hivatkozás arra a helyre, ahol az eszköz üzemel. A hivatkozással megértheti, hogy az eszköz windowsos gazdagépen fut. Ezután a gazdagéphez fordulva további vizsgálatot és/vagy választ kaphat.
Az idősor a Végponthoz készült Defenderhez hasonló módon töltődik fel a Linux rendszeren, az alrendszeren belüli eseményekkel (fájl, folyamat, hálózat). Az idősor nézetben megfigyelheti a tevékenységeket és az észleléseket. A riasztások és incidensek is megfelelő módon jönnek létre.
Egyéni címke beállítása a WSL-géphez
A beépülő modul a következő címkével WSL2
iktatja fel a WSL-gépet: . Ha Önnek vagy a szervezetének egyéni címkére van szüksége, kövesse az alábbi lépéseket:
Nyissa meg a Beállításjegyzék-Szerkesztő rendszergazdaként.
Hozzon létre egy beállításkulcsot a következő adatokkal:
- Név:
GROUP
- Típus:
REG_SZ
vagy beállításjegyzékbeli sztring - Érték:
Custom tag
- Ösvény:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging
- Név:
A beállításjegyzék beállítása után indítsa újra a wsl fájlt az alábbi lépésekkel:
Nyissa meg a Parancssort, és futtassa a következő parancsot:
wsl --shutdown
.Futtassa a
wsl
parancsot.
Várjon 5–10 percet, amíg a portál tükrözi a módosításokat.
Megjegyzés:
A beállításjegyzékben az egyéni címkekészletet egy _WSL2
követi.
Ha például a beállításjegyzék értéke Microsoft
, akkor az egyéni címke lesz Microsoft_WSL2
, és ugyanaz látható lesz a portálon.
A beépülő modul tesztelése
A beépülő modul telepítés utáni teszteléséhez kövesse az alábbi lépéseket:
Nyissa meg a terminált vagy a parancssort. (Windows rendszerben nyissa meg a Start menüt>Parancssor. Vagy kattintson a jobb gombbal a start gombra, majd válassza a Terminál parancsot.)
Futtassa a következő parancsot
wsl
: .Töltse le és bontsa ki a szkriptfájlt a fájlból https://aka.ms/MDE-Linux-EDR-DIY.
A Linux parancssorában futtassa a következő parancsot
./mde_linux_edr_diy.sh
: .A WSL2-példány észlelése érdekében néhány perc elteltével riasztásnak kell megjelennie a portálon.
Megjegyzés:
Körülbelül öt percig tart, amíg az események megjelennek a Microsoft Defender portálon.
A gépet úgy kezelje, mintha a környezetben normál Linux-gazdagép lenne a tesztelés végrehajtásához. Különösen szeretnénk visszajelzést kapni a potenciálisan rosszindulatú viselkedésnek az új beépülő modullal való felszínre hozásának lehetőségéről.
Speciális veszélyforrás-keresés
Az Advanced Hunting sémában, a DeviceInfo
tábla alatt található egy új attribútum HostDeviceId
, amellyel leképezhet egy WSL-példányt a windowsos gazdagép eszközére. Íme néhány minta veszélyforrás-keresési lekérdezés:
Az aktuális szervezet/bérlő összes WSL-eszközazonosítójának lekérése
//Get all WSL device ids for the current organization/tenant
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
wsl_endpoints
WSL-eszközazonosítók és a hozzájuk tartozó gazdaeszköz-azonosítók lekérése
//Get WSL device ids and their corresponding host device ids
DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId
A curl vagy wget futtatására szolgáló WSL-eszközazonosítók listájának lekérése
//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId;
DeviceProcessEvents
| where FileName == "curl" or FileName == "wget"
| where DeviceId in (wsl_endpoints)
| sort by Timestamp desc
Hibaelhárítás
Telepítési hiba
Ha hibaüzenet jelenik meg a WSL indításakor(például A fatal error was returned by plugin 'DefenderforEndpointPlug-in' Error code: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND
), az azt jelenti, hogy a Végponthoz készült Defender beépülő modul hibás a WSL telepítéséhez. A javításhoz kövesse az alábbi lépéseket:
A Vezérlőpult lépjen a Programok Programok>és szolgáltatások elemre.
Keresse meg és válassza ki Végponthoz készült Microsoft Defender beépülő modult a WSL-hez. Ezután válassza a Javítás lehetőséget. Ennek a műveletnek a problémát úgy kell megoldania, hogy a megfelelő fájlokat a várt könyvtárakba helyezi.
A parancs healthcheck.exe
a következő kimenetet jeleníti meg: "WSL-disztribúció indítása a "bash" paranccsal, és próbálkozzon újra öt perc alatt."
Nyisson meg egy terminálpéldányt, és futtassa a parancsot
wsl
.Várjon legalább öt percet, mielőtt újrafuttatja az állapot-ellenőrzést.
A healthcheck.exe
parancs a következő kimenetet jelenítheti meg: "Várakozás a telemetriára. Próbálkozzon újra öt perc múlva."
Ha ez a hiba jelentkezik, várjon öt percet, és futtassa újra a következőt healthcheck.exe
: .
Nem lát semmilyen eszközt a Microsoft Defender portálon, vagy nem lát semmilyen eseményt az idővonalon
Ellenőrizze a következőket:
Ha nem látja a gépobjektumot, győződjön meg arról, hogy elegendő idő telt el az előkészítés befejezéséhez (általában legfeljebb 10 percig).
Győződjön meg arról, hogy a megfelelő szűrőket használja, és hogy rendelkezik a megfelelő engedélyekkel az összes eszközobjektum megtekintéséhez. (Például a fiókja/csoportja egy adott csoportra korlátozódik?)
Az állapot-ellenőrző eszközzel áttekintést kaphat a beépülő modulok általános állapotáról. Nyissa meg a Terminált, és futtassa az eszközt a
healthcheck.exe
következőből:%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools
.Engedélyezze a kapcsolati tesztet, és ellenőrizze, hogy van-e végponthoz készült Defender-kapcsolat a WSL-ben. Ha a kapcsolati teszt sikertelen, adja meg az állapot-ellenőrző eszköz kimenetét a támogatási csapatunknak.
A kapcsolati teszt jelentései "érvénytelenek" az állapot-ellenőrzésben
Ha a gép proxybeállítással rendelkezik, futtassa a következő parancsot
healthCheck --extendedProxy
: . Ez információt nyújt arról, hogy mely proxy(k) vannak beállítva a gépen, és hogy ezek a konfigurációk érvénytelenek-e a WSL Defender esetében.Ha a fent említett lépések nem oldják meg a problémát, adja meg a következő konfigurációs beállításokat a fájlban, majd indítsa újra a
.wslconfig
WSL-t%UserProfile%
. A beállítások részletei a WSL-beállítások között találhatók.A Windows 11
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsTunneling=true networkingMode=mirrored
A Windows 10
# Settings apply across all Linux distros running on WSL 2 [wsl2] dnsProxy=false
A csatlakozási problémák továbbra is fennállnak
Gyűjtse össze a hálózati naplókat az alábbi lépésekkel:
Nyisson meg egy emelt szintű (rendszergazdai) PowerShell-parancssort.
Letöltés és futtatás:
.\collect-networking-logs.ps1
Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1 Set-ExecutionPolicy Bypass -Scope Process -Force .\collect-networking-logs.ps1
Nyisson meg egy új parancssort, és futtassa a következő parancsot:
wsl
.Nyisson meg egy rendszergazdai jogú parancssort, és futtassa a következő parancsot:
wsl --debug-shell
.A hibakeresési rendszerhéjban futtassa a következőt:
mdatp connectivity test
.Engedélyezze a kapcsolati teszt befejezését.
Állítsa le a 2. lépésben futtatott .ps1.
Ossza meg a létrehozott .zip fájlt a támogatási csomaggal együtt, amely a lépésekben leírtak szerint gyűjthető össze.
Támogatási csomag összegyűjtése
Ha más kihívásokkal vagy problémákkal szembesül, nyissa meg a Terminált, és futtassa a következő parancsokat egy támogatási csomag létrehozásához:
cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
.\healthcheck.exe --supportBundle
A támogatási csomag az előző parancs által megadott elérési úton található.
WSL1 és WSL2
Microsoft Defender Végpont beépülő modul a WSL-hez támogatja a WSL 2-n futó Linux-disztribúciókat. Ha a WSL 1-hez vannak társítva, problémákat tapasztalhat. Ezért javasoljuk, hogy tiltsa le a WSL 1-et. Ehhez a Intune szabályzattal hajtsa végre a következő lépéseket:
Nyissa meg a Microsoft Intune Felügyeleti központot.
Lépjen az Eszközök>konfigurációs profiljai>Új szabályzatlétrehozása területre>.
Válassza a Windows 10 és a későbbi>Beállítások katalógust.
Hozzon létre egy nevet az új profilnak, és keressen rá a Linuxos Windows-alrendszer az elérhető beállítások teljes listájának megtekintéséhez és hozzáadásához.
Állítsa a WSL1 engedélyezése beállítást Letiltva értékre, hogy csak a WSL 2-disztribúciók használhatók legyenek.
Ha továbbra is a WSL 1-et szeretné használni, vagy nem szeretné használni a Intune Szabályzatot, a telepített disztribúciókat szelektíven társíthatja a WSL 2-n való futtatáshoz, ha a parancsot a PowerShellben futtatja:
wsl --set-version <YourDistroName> 2
Ha azt szeretné, hogy a WSL 2 legyen az új disztribúciók alapértelmezett WSL-verziója, futtassa a következő parancsot a PowerShellben:
wsl --set-default-version 2
Kiadási kör felülbírálása
A beépülő modul alapértelmezés szerint a Windows EDR gyűrűt használja. Ha egy korábbi körre szeretne váltani, állítsa az
OverrideReleaseRing
alábbi beállítások egyikére a beállításjegyzékben, majd indítsa újra a WSL-t:-
Név:
OverrideReleaseRing
-
Típus:
REG_SZ
-
Érték:
Dogfood or External or InsiderFast or Production
-
Elérési út:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL
-
Név: