Microsoft Defender for Endpoint plug-in pro Subsystém Windows pro Linux (WSL)

Platí pro:

• Plán 2 pro Microsoft Defender pro koncový bod
• Windows 11
• Windows 10 verze 2004 a novější (build 19044 a novější)

Přehled

Subsystém Windows pro Linux (WSL) 2, která nahrazuje předchozí verzi WSL (podporovanou Microsoft Defender for Endpoint bez modulu plug-in), poskytuje prostředí Linuxu, které je bez problémů integrované s Windows, ale je izolované pomocí virtualizační technologie. Modul plug-in Defender for Endpoint for WSL umožňuje defenderu for Endpoint poskytovat lepší přehled o všech spuštěných kontejnerech WSL připojením do izolovaného subsystému.

Známé problémy a omezení

Než začnete, mějte na paměti následující aspekty:

• Modul plug-in nepodporuje automatické aktualizace ve verzích starších než 1.24.522.2. Ve verzi 1.24.522.2 a novější. Aktualizace se podporují prostřednictvím služba Windows Update napříč všemi okruhy. Aktualizace prostřednictvím služby Windows Server Update Services (WSUS), system center Configuration Manager (SCCM) a katalogu služby Microsoft Update se podporují pouze v produkčním okruhu, aby byla zajištěna stabilita balíčků.

• Úplné vytvoření instance modulu plug-in trvá několik minut a až 30 minut, než se instance WSL2 sama připojí. Krátkodobé instance kontejnerů WSL můžou způsobit, že se instance WSL2 nezobrazí na portálu Microsoft Defender (https://security.microsoft.com). Pokud nějaká distribuce běží dostatečně dlouho (alespoň 30 minut), zobrazí se.

• Spuštění vlastního jádra a vlastního příkazového řádku jádra se nepodporuje. I když modul plug-in neblokuje spuštění v této konfiguraci, nezaručuje viditelnost v rámci WSL při spuštění vlastního jádra a vlastního příkazového řádku jádra. Tyto konfigurace doporučujeme blokovat pomocí nastavení Microsoft Intune wsl.

• Modul plug-in není podporován na počítačích s procesorem ARM64.

• Modul plug-in poskytuje přehled o událostech z WSL, ale jiné funkce, jako jsou antimalwarové, Threat and Vulnerability Management a příkazy pro odpovědi, nejsou pro logické zařízení WSL dostupné.

Požadavky na software

• Verze 2.0.7.0 WSL nebo novější musí být spuštěná s alespoň jednou aktivní distribucí. Spusťte příkaz wsl --update a ujistěte se, že používáte nejnovější verzi. Pokud wsl -–version se zobrazí verze starší než 2.0.7.0, nejnovější aktualizaci získáte spuštěním příkazu wsl -–update –pre-release .

• Klientské zařízení s Windows musí být nasazené do programu Defender for Endpoint.

• Klientské zařízení s Windows musí používat Windows 10 verze 2004 a novější (build 19044 a novější) nebo Windows 11 pro podporu verzí WSL, které můžou s modulem plug-in pracovat.

Softwarové komponenty a názvy instalačních souborů

Instalační program: DefenderPlugin-x64-0.24.426.1.msi. Můžete si ho stáhnout ze stránky onboardingu na portálu Microsoft Defender. (Přejděte na Nastavení>.Koncové body>Onboarding.)

Instalační adresáře:

• %ProgramFiles%

• %ProgramData%

Nainstalované komponenty:

• DefenderforEndpointPlug-in.dll. Tato knihovna DLL je knihovna, která načte Defender for Endpoint, aby fungoval v rámci WSL. Najdete ho na adrese %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

• healthcheck.exe. Tento program zkontroluje stav Defenderu for Endpoint a umožňuje zobrazit nainstalované verze WSL, modulu plug-in a Defenderu for Endpoint. Najdete ho na adrese %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

Postup instalace

Pokud váš Subsystém Windows pro Linux ještě není nainstalovaný, postupujte takto:

1. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

2. Spusťte příkaz wsl -–install.

3. Ověřte, že je WSL nainstalovaný a spuštěný.

   1. V terminálu nebo příkazovém řádku spusťte příkaz wsl –-update a ujistěte se, že máte nejnovější verzi.

   2. Před testováním wsl spusťte příkaz a ujistěte se, že wsL běží.

4. Nainstalujte modul plug-in následujícím postupem:

   1. Nainstalujte soubor MSI stažený z části onboardingu na portálu Microsoft Defender (Onboarding>koncových bodů>nastavení>Subsystém Windows pro Linux 2 (modul plug-in)).

   2. Otevřete příkazový řádek nebo terminál a spusťte příkaz wsl.

   Balíček můžete nasadit pomocí Microsoft Intune.

Poznámka

Pokud WslService je spuštěný, zastaví se během procesu instalace. Není nutné připojovat subsystém samostatně. Místo toho se modul plug-in automaticky připojí k tenantovi, ke které je hostitel Windows nasazený. Microsoft Defender for Endpoint aktualizace modulu plug-in pro aktualizaci WSL KB.

Kontrolní seznam pro ověření instalace

1. Po aktualizaci nebo instalaci počkejte alespoň pět minut, než modul plug-in plně inicializuje a zapíše výstup protokolu.

2. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

3. Spusťte příkaz : cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

4. Spusťte příkaz .\healthcheck.exe.

5. Projděte si podrobnosti o defenderech a WSL a ujistěte se, že splňují nebo překračují následující požadavky:

   • Verze modulu plug-in: 1.24.522.2
   • Verze WSL: 2.0.7.0 nebo novější
   • Verze aplikace Defender: 101.24032.0007
   • Stav defenderu: Healthy

Nastavení proxy serveru pro Defender spuštěný ve WSL

Tato část popisuje, jak nakonfigurovat připojení k proxy serveru pro modul plug-in Defender for Endpoint. Pokud váš podnik používá proxy server k zajištění připojení k Defenderu for Endpoint běžícímu na hostiteli Windows, pokračujte ve čtení a zjistěte, jestli je potřeba ho nakonfigurovat pro modul plug-in.

Pokud chcete použít konfiguraci proxy telemetrie EDR hostitele pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Pokud chcete použít konfiguraci proxy serveru winhttp hostitele pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Pokud chcete použít nastavení hostitelské sítě a síťového proxy serveru pro MDE pro modul plug-in WSL, není potřeba nic dalšího. Tuto konfiguraci modul plug-in přijme automaticky.

Poznámka

WSL Defender podporuje pouze http proxy server.

Výběr proxy modulů plug-in

Pokud hostitelský počítač obsahuje více nastavení proxy serveru, modul plug-in vybere konfigurace proxy serveru s následující hierarchií:

1. Nastavení statického proxy serveru Defenderu for Endpoint (TelemetryProxyServer).

2. Winhttp proxy (nakonfigurované prostřednictvím netsh příkazu).

3. Nastavení internetového proxy serveru & sítě.

Pokud má váš hostitelský počítač například a Winhttp proxyNetwork & Internet proxy, modul plug-in se vybere Winhttp proxy jako konfigurace proxy serveru.

Poznámka

Klíč DefenderProxyServer registru se už nepodporuje. Při konfiguraci proxy serveru v modulu plug-in postupujte podle kroků popsaných výše v tomto článku.

Test připojení pro Defender for Endpoint spuštěný ve WSL

Test připojení defenderu for Endpoint se aktivuje vždy, když na vašem zařízení dojde k úpravě proxy serveru a je naplánovaný tak, aby běžel každou hodinu.

Při spuštění počítače wsl počkejte 5 minut a pak spusťte příkaz healthcheck.exe (na adrese, kde %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools najdete výsledky testu připojení). V případě úspěchu uvidíte, že test připojení byl úspěšný. Pokud se to nepovedlo, můžete vidět, že test připojení indikovalinvalid, že připojení klienta z MDE modulu plug-in pro WSL k adresám URL služby Defender for Endpoint selhává.

Poznámka

Klíč ConnectivityTest registru se už nepodporuje. Pokud chcete nastavit proxy server pro použití v kontejnerech WSL (distribuce spuštěné v subsystému), přečtěte si téma Pokročilá konfigurace nastavení ve WSL.

Ověření funkčnosti a zkušenosti analytika SOC

Po instalaci modulu plug-in se subsystém a všechny jeho spuštěné kontejnery onboardují na portálu Microsoft Defender.

1. Přihlaste se k portálu Microsoft Defender a otevřete zobrazení Zařízení.

2. Filtrujte pomocí značky WSL2.

   

   Pomocí aktivního modulu plug-in Defender for Endpoint pro WSL můžete zobrazit všechny instance WSL ve vašem prostředí. Tyto instance představují všechny distribuce spuštěné v rámci WSL na daném hostiteli. Název hostitele zařízení se shoduje s názvem hostitele windows. Je ale reprezentované jako zařízení s Linuxem.

3. Otevřete stránku zařízení. V podokně Přehled je odkaz na místo, kde je zařízení hostované. Odkaz vám umožní pochopit, že zařízení běží na hostiteli s Windows. Pak se můžete přesunout na hostitele, abyste mohli provést další šetření a/nebo odpověď.

   

Časová osa se naplní podobně jako Defender for Endpoint v Linuxu událostmi ze subsystému (soubor, proces, síť). Aktivity a detekce můžete sledovat v zobrazení časové osy. Podle potřeby se generují také výstrahy a incidenty.

Nastavení vlastní značky pro počítač WSL

Modul plug-in připojí počítač WSL se značkou WSL2. Pokud vy nebo vaše organizace potřebujete vlastní značku, postupujte podle následujících kroků:

1. Otevřete registr Editor jako správce.

2. Vytvořte klíč registru s následujícími podrobnostmi:

   • Název: GROUP
   • Typ: REG_SZ nebo řetězec registru
   • Hodnota: Custom tag
   • Cesta: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging

3. Po nastavení registru restartujte wsl pomocí následujícího postupu:

   1. Otevřete příkazový řádek a spusťte příkaz wsl --shutdown.

   2. wsl Spusťte příkaz .

4. Počkejte 5 až 10 minut, než se změny projeví na portálu.

Poznámka

Za sadou vlastních značek v registru bude následovat _WSL2. Pokud je Microsoftnapříklad nastavená hodnota registru , vlastní značka bude Microsoft_WSL2 a stejná bude viditelná na portálu.

Testování modulu plug-in

Pokud chcete modul plug-in po instalaci otestovat, postupujte takto:

1. Otevřete terminál nebo příkazový řádek. (Ve Windows přejděte na Start>.Příkazový řádek. Nebo klikněte pravým tlačítkem na tlačítko Start a pak vyberte Terminál.)

2. Spusťte příkaz wsl.

3. Stáhněte a extrahujte soubor skriptu z https://aka.ms/MDE-Linux-EDR-DIY.

4. Na příkazovém řádku Linuxu spusťte příkaz ./mde_linux_edr_diy.sh.

   Po několika minutách by se na portálu mělo zobrazit upozornění na detekci instance WSL2.

   Poznámka

   Události se na portálu Microsoft Defender zobrazí přibližně za pět minut.

Zacházejte s počítačem, jako by se jednalo o běžného hostitele Linuxu ve vašem prostředí, na který se provádí testování. Konkrétně bychom chtěli získat vaši zpětnou vazbu ohledně možnosti potenciálně škodlivého chování pomocí nového modulu plug-in.

Pokročilé rozšířené proaktivní vyhledávání

Ve schématu rozšířeného proaktivního vyhledávání je v DeviceInfo tabulce nový atribut s názvem HostDeviceId , který můžete použít k mapování instance WSL na její hostitelské zařízení s Windows. Tady je několik ukázkových dotazů proaktivního vyhledávání:

Získání všech ID zařízení WSL pro aktuální organizaci nebo tenanta

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Získání ID zařízení WSL a jejich odpovídajícíCH ID zařízení hostitele

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Získání seznamu ID zařízení WSL, ve kterých se spustila aplikace curl nebo wget

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Řešení problémů

Selhání instalace

Pokud se při spuštění WSL zobrazí chyba, například A fatal error was returned by plugin 'DefenderforEndpointPlug-in' Error code: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND, znamená to, že instalace modulu plug-in Defender for Endpoint pro WSL je chybná. Pokud ho chcete opravit, postupujte takto:

1. V Ovládací panely přejděte na Programy>Programy Programy a funkce.

2. Vyhledejte a vyberte Microsoft Defender for Endpoint modul plug-in pro WSL. Pak vyberte Opravit. Tato akce by měla problém vyřešit umístěním správných souborů do očekávaných adresářů.

   

Příkaz healthcheck.exe zobrazí výstup "Spusťte distribuci WSL s příkazem bash a zkuste to znovu za pět minut".

1. Otevřete instanci terminálu a spusťte příkaz wsl.

2. Před opětovnou kontrolou stavu počkejte aspoň pět minut.

Příkaz healthcheck.exe může zobrazit výstup Čekání na telemetrii. Zkuste to prosím znovu za pět minut."

Pokud k této chybě dojde, počkejte pět minut a spusťte healthcheck.exeznovu .

Na portálu Microsoft Defender se nezobrazují žádná zařízení nebo se na časové ose nezobrazují žádné události.

Zkontrolujte následující:

• Pokud se objekt počítače nezobrazuje, ujistěte se, že uplynula dostatečná doba k dokončení onboardingu (obvykle až 10 minut).

• Ujistěte se, že používáte správné filtry a že máte přiřazená příslušná oprávnění k zobrazení všech objektů zařízení. (Například je váš účet nebo skupina omezena na určitou skupinu?)

• Pomocí nástroje pro kontrolu stavu můžete získat přehled o celkovém stavu modulu plug-in. Otevřete Terminál a spusťte nástroj z healthcheck.exe .%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools

  

• Povolte test připojení a zkontrolujte připojení k Defenderu for Endpoint ve WSL. Pokud test připojení selže, poskytněte výstup nástroje pro kontrolu stavu našemu týmu podpory.

Test připojení hlásí při kontrole stavu "neplatný"

• Pokud má váš počítač nastavení proxy serveru, spusťte příkaz healthCheck --extendedProxy. Zobrazí se informace o tom, které proxy servery jsou na vašem počítači nastavené a jestli jsou tyto konfigurace pro WSL Defender neplatné.

  

• Pokud výše uvedené kroky problém nevyřeší, zahrňte následující nastavení konfigurace v .wslconfig umístění v a restartujte %UserProfile% WSL. Podrobnosti o nastavení najdete v části Nastavení WSL.

  V Windows 11

  
  # Settings apply across all Linux distros running on WSL 2
  [wsl2]
  
  dnsTunneling=true
  
  networkingMode=mirrored  
  

  V Windows 10

  # Settings apply across all Linux distros running on WSL 2
  [wsl2]
  
  dnsProxy=false
  
  

Problémy s připojením přetrvávají

Shromážděte protokoly sítě pomocí následujících kroků:

1. Otevřete powershellový řádek se zvýšenými oprávněními (správce).

2. Stáhněte a spusťte: .\collect-networking-logs.ps1

   
   Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
   Set-ExecutionPolicy Bypass -Scope Process -Force
   .\collect-networking-logs.ps1
   
   

3. Otevřete nový příkazový řádek a spusťte následující příkaz: wsl.

4. Otevřete příkazový řádek se zvýšenými oprávněními (admin) a spusťte následující příkaz: wsl --debug-shell.

5. V ladicím prostředí spusťte příkaz : mdatp connectivity test.

6. Povolte dokončení testu připojení.

7. Zastavte .ps1 spuštěný v kroku 2.

8. Nasdílejte vygenerovaný soubor .zip společně se sadou podpory, které je možné shromáždit, jak je uvedeno v krocích.

Shromáždění balíčku podpory

1. Pokud narazíte na jakékoli jiné problémy nebo problémy, otevřete Terminál a spuštěním následujících příkazů vygenerujte sadu podpory:

   cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
   

   .\healthcheck.exe --supportBundle 
   

   Balíček podpory najdete v cestě poskytnuté předchozím příkazem.

   

WSL1 vs WSL2

modul plug-in Microsoft Defender Koncový bod pro WSL podporuje distribuce Linuxu běžící na WSL 2. Pokud jsou přidružené k WSL 1, můžete narazit na problémy. Proto doporučujeme zakázat WSL 1. Pokud to chcete provést pomocí zásad Intune, proveďte následující kroky:

1. Přejděte do centra pro správu Microsoft Intune.

2. Přejděte dočásti Profily> konfigurace zařízení>Vytvořit>novou zásadu.

3. Vyberte katalog Windows 10 a novějších>nastavení.

4. Vytvořte název nového profilu a vyhledejte Subsystém Windows pro Linux, abyste viděli a přidali úplný seznam dostupných nastavení.

5. Pokud chcete zajistit, aby bylo možné používat pouze distribuce WSL 2, nastavte Povolit WSL1 na Zakázáno.

   Případně pokud chcete dál používat WSL 1 nebo nepoužívat zásady Intune, můžete selektivně přidružit nainstalované distribuce ke spuštění ve WSL 2 spuštěním příkazu v PowerShellu:

   wsl --set-version <YourDistroName> 2
   

   Pokud chcete mít WSL 2 jako výchozí verzi WSL pro nové distribuce, které se mají nainstalovat v systému, spusťte v PowerShellu následující příkaz:

   wsl --set-default-version 2
   

Přepsat okruh vydaných verzí

• Modul plug-in ve výchozím nastavení používá okruh Windows EDR. Pokud chcete přepnout na dřívější okruh, nastavte OverrideReleaseRing v registru jednu z následujících možností a restartujte WSL:

  • Název: OverrideReleaseRing
  • Typ: REG_SZ
  • Hodnota: Dogfood or External or InsiderFast or Production
  • Cesta: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL