Microsoft Defender für Endpunkt unter Linux

Tipp

Wir freuen uns, ihnen mitteilen zu können, dass Microsoft Defender for Endpoint unter Linux jetzt die Unterstützung für ARM64-basierte Linux-Server in der Vorschau erweitert! Weitere Informationen finden Sie unter Microsoft Defender for Endpoint unter Linux für ARM64-basierte Geräte (Vorschau).

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for Endpoint unter Linux installieren, konfigurieren, aktualisieren und verwenden.

Achtung

Die Ausführung anderer Nicht-Microsoft Endpoint Protection-Produkte neben Microsoft Defender for Endpoint unter Linux führt wahrscheinlich zu Leistungsproblemen und unvorhersehbaren Nebenwirkungen. Wenn Endpoint Protection nicht von Microsoft in Ihrer Umgebung benötigt wird, können Sie die EDR-Funktionalität von Defender für Endpunkt unter Linux trotzdem sicher nutzen, nachdem Sie die Antivirenfunktionen für die Ausführung im passiven Modus konfiguriert haben.

Installieren von Microsoft Defender for Endpoint unter Linux

Microsoft Defender for Endpoint für Linux umfasst Funktionen für Antischadsoftware und Endpunkterkennung und -reaktion (EDR).

Voraussetzungen

• Zugriff auf das Microsoft Defender-Portal
• Linux-Verteilung mit systemd systemd system manager
• Erfahrung mit Linux- und BASH-Skripts für Anfänger
• Administratorrechte auf dem Gerät (für manuelle Bereitstellung)

Hinweis

Die Linux-Distribution mit System-Manager unterstützt sowohl SystemV als auch Upstart. Microsoft Defender for Endpoint für den Linux-Agent ist vom OMS-Agent (Operation Management Suite) unabhängig. Microsoft Defender for Endpoint basiert auf einer eigenen unabhängigen Telemetriepipeline.

Systemanforderungen

• CPU: Mindestens 1 CPU-Kern. Für Hochleistungsworkloads werden mehr Kerne empfohlen.

• Speicherplatz: Mindestens 2 GB. Für Hochleistungsworkloads ist möglicherweise mehr Speicherplatz erforderlich.

• Arbeitsspeicher: Mindestens 1 GB RAM. Für Hochleistungsworkloads ist möglicherweise mehr Arbeitsspeicher erforderlich.

  Hinweis

  Die Leistungsoptimierung kann basierend auf Workloads erforderlich sein. Weitere Informationen finden Sie unter Behandeln von Leistungsproblemen für Microsoft Defender for Endpoint unter Linux.

• Die folgenden Linux-Serververteilungen und x64-Versionen (AMD64/EM64T) werden unterstützt:

  • Red Hat Enterprise Linux 7.2 oder höher
  • Red Hat Enterprise Linux 8.x
  • Red Hat Enterprise Linux 9.x
  • CentOS 7.2 oder höher
  • Ubuntu 16.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 20.04 LTS
  • Ubuntu 22.04 LTS
  • Ubuntu 24.04 LTS
  • Debian 9 - 12
  • SUSE Linux Enterprise Server 12.x
  • SUSE Linux Enterprise Server 15.x
  • Oracle Linux 7.2 oder höher
  • Oracle Linux 8.x
  • Oracle Linux 9.x
  • Amazon Linux 2
  • Amazon Linux 2023
  • Fedora 33-38
  • Rocky 8.7 und höher
  • Rocky 9.2 und höher
  • Alma 8.4 und höher
  • Alma 9.2 und höher
  • Mariner 2

• Die folgenden Linux-Serververteilungen auf ARM64 werden jetzt in der Vorschau unterstützt:

  • Ubuntu 20.04 ARM64
  • Ubuntu 22.04 ARM64
  • Amazon Linux 2 ARM64
  • Amazon Linux 2023 ARM64

  Wichtig

  Unterstützung für Microsoft Defender for Endpoint unter Linux für ARM64-basierte Linux-Geräte befindet sich jetzt in der Vorschauphase. Weitere Informationen finden Sie unter Microsoft Defender for Endpoint unter Linux für ARM64-basierte Geräte (Vorschau).

  Hinweis

  Die Arbeitsstationsversionen dieser Distributionen werden nicht unterstützt. Distributionen und Versionen, die nicht explizit aufgeführt sind, werden nicht unterstützt (auch wenn sie von den offiziell unterstützten Distributionen abgeleitet sind). Nachdem eine neue Paketversion veröffentlicht wurde, wird die Unterstützung für die beiden vorherigen Versionen auf den technischen Support reduziert. Versionen, die älter als die in diesem Abschnitt aufgeführt sind, werden nur für technische Upgrades bereitgestellt. Derzeit werden Rocky- und Alma-Distributionen in Microsoft Defender Vulnerability Management nicht unterstützt. Microsoft Defender for Endpoint für alle anderen unterstützten Distributionen und Versionen ist die Kernelversion agnostisch. Die Mindestanforderung für die Kernelversion oder höher 3.10.0-327 .

  Achtung

  Die parallele Ausführung von Defender für Endpunkt unter Linux mit anderen fanotifysicherheitsbasierten Lösungen wird nicht unterstützt. Dies kann zu unvorhersehbaren Ergebnissen führen, einschließlich des Hängens des Betriebssystems. Wenn es andere Anwendungen auf dem System gibt, die im Blockierungsmodus verwenden fanotify , werden Anwendungen im conflicting_applications Feld der mdatp health Befehlsausgabe aufgeführt. Das Linux FAPolicyD-Feature verwendet fanotify im Blockierungsmodus und wird daher nicht unterstützt, wenn Defender für Endpunkt im aktiven Modus ausgeführt wird. Sie können die EDR-Funktionalität von Defender für Endpunkt unter Linux weiterhin sicher nutzen, nachdem Sie die Antivirenfunktion Echtzeitschutz aktiviert im passiven Modus konfiguriert haben.

• Liste der unterstützten Dateisysteme für RTP, Quick, Full und Custom Scan.

RTP, Quick, Full Scan	Benutzerdefinierte Überprüfung
btrfs	Alle Dateisysteme, die für RTP, Quick, Full Scan unterstützt werden
ecryptfs	Efs
ext2	S3fs
ext3	Blobfuse
ext4	Lustr
fuse	glustrefs
fuseblk	Afs
jfs	sshfs
nfs (nur v3)	cifs
overlay	smb
ramfs	gcsfuse
reiserfs	sysfs
tmpfs
udf
vfat
xfs

Hinweis

Ab Version 101.24082.0004unterstützt Defender für Endpunkt unter Linux den Auditd Ereignisanbieter nicht mehr. Wir sind dabei, vollständig auf die effizientere erweiterte Berkeley Packet Filter (eBPF)-Technologie umzusteigen. Wenn eBPF auf Ihren Computern nicht unterstützt wird oder bestimmte Anforderungen bestehen, um auf Auditd zu bleiben, und Ihre Computer Defender für Endpunkt für Linux 101.24072.0001 oder niedriger verwenden, muss das Überwachungsframework (auditd) auf Ihrem System aktiviert sein. Wenn Sie Auditd verwenden, werden Systemereignisse, die von Regeln erfasst werden, die hinzugefügt werden, /etc/audit/rules.d/ zu audit.log(s) hinzugefügt, und können sich auf die Hostüberwachung und Upstream Sammlung auswirken. Ereignisse, die von Microsoft Defender for Endpoint unter Linux hinzugefügt werden, werden mit dem mdatp Schlüssel gekennzeichnet.

• /opt/microsoft/mdatp/sbin/wdavdaemon erfordert die Berechtigung für ausführbare Dateien. Weitere Informationen finden Sie unter "Sicherstellen, dass der Daemon über die Berechtigung für ausführbare Dateien verfügt" unter Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux.

Installationsanweisungen

Es gibt mehrere Methoden und Bereitstellungstools, mit denen Sie Microsoft Defender for Endpoint unter Linux installieren und konfigurieren können. Bevor Sie beginnen, stellen Sie sicher, dass die Mindestanforderungen für Microsoft Defender for Endpoint erfüllt sind.

Sie können eine der folgenden Methoden verwenden, um Microsoft Defender for Endpoint unter Linux bereitzustellen:

• Informationen zur Verwendung des Befehlszeilentools finden Sie unter Manuelle Bereitstellung.
• Informationen zur Verwendung von Puppet finden Sie unter Bereitstellen mit dem Puppet-Konfigurationsverwaltungstool.
• Informationen zur Verwendung von Ansible finden Sie unter Bereitstellen mit dem Ansible-Konfigurationsverwaltungstool.
• Informationen zur Verwendung von Chef finden Sie unter Bereitstellen mit dem Chef-Konfigurationsverwaltungstool.
• Informationen zur Verwendung von Saltstack finden Sie unter Bereitstellen mit dem Saltstack-Konfigurationsverwaltungstool.
• Informationen zur Installation auf ARM64-basierten Linux-Servern finden Sie unter Microsoft Defender for Endpoint unter Linux für ARM64-basierte Geräte (Vorschau).

Wenn Installationsfehler auftreten, lesen Sie Problembehandlung bei Installationsfehlern in Microsoft Defender for Endpoint unter Linux.

Wichtig

Die Installation von Microsoft Defender for Endpoint an einem anderen Speicherort als dem Standardinstallationspfad wird nicht unterstützt. Microsoft Defender for Endpoint unter Linux erstellt einen mdatp Benutzer mit zufälliger UID und GID. Wenn Sie die UID und gid steuern möchten, erstellen Sie vor der Installation mithilfe der /usr/sbin/nologin Shelloption einen mdatp Benutzer. Hier ist ein Beispiel: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin.

Abhängigkeit externer Pakete

Wenn die Microsoft Defender for Endpoint Installation aufgrund fehlender Abhängigkeitsfehler fehlschlägt, können Sie die erforderlichen Abhängigkeiten manuell herunterladen. Die folgenden externen Paketabhängigkeiten sind für das mdatp-Paket vorhanden:

• Das mdatp-RPM-Paket erfordert glibc >= 2.17, policycoreutils, selinux-policy-targetedund mde-netfilter
• Für RHEL6 erfordert policycoreutilsdas mdatp-RPM-Paket , libselinuxund mde-netfilter
• Für DEBIAN erfordert libc6 >= 2.23das mdatp-Paket , uuid-runtimeund mde-netfilter

Hinweis

Ab Version 101.24082.0004unterstützt Defender für Endpunkt unter Linux den Auditd Ereignisanbieter nicht mehr. Wir sind dabei, vollständig auf die effizientere eBPF-Technologie umzusteigen. Wenn eBPF auf Ihren Computern nicht unterstützt wird oder bestimmte Anforderungen bestehen, um auf Auditd zu bleiben, und Ihre Computer Defender für Endpunkt unter Linux oder eine ältere Version 101.24072.0001 verwenden, besteht die folgende zusätzliche Abhängigkeit vom überwachten Paket für mdatp:

• Das mdatp-RPM-Paket erfordert audit, semanage.
• Für DEBIAN erfordert auditddas mdatp-Paket .
• Für Mariner erfordert auditdas mdatp-Paket .

Dasmde-netfilter Paket verfügt außerdem über die folgenden Paketabhängigkeiten:

• Für DEBIAN erfordert libnetfilter-queue1das mde-netfilter-Paket , und libglib2.0-0
• Für RPM erfordert libmnldas mde-netfilter-Paket , libnfnetlink, libnetfilter_queueund glib2

Konfigurieren von Ausschlüssen

Beim Hinzufügen von Ausschlüssen zu Microsoft Defender Antivirus sollten Sie auf häufige Ausschlussfehler für Microsoft Defender Antivirus achten.

Netzwerkverbindungen

Stellen Sie sicher, dass eine Verbindung zwischen Ihren Geräten und Microsoft Defender for Endpoint Clouddiensten möglich ist. Informationen zur Vorbereitung Ihrer Umgebung finden Sie unter SCHRITT 1: Konfigurieren Ihrer Netzwerkumgebung zum Sicherstellen der Konnektivität mit dem Defender für Endpunkt-Dienst.

Defender für Endpunkt unter Linux kann mithilfe der folgenden Ermittlungsmethoden eine Verbindung über einen Proxyserver herstellen:

• Transparenter Proxy
• Manuelle statische Proxykonfiguration

Wenn ein Proxy oder eine Firewall anonymen Datenverkehr blockiert, stellen Sie sicher, dass anonymer Datenverkehr in den zuvor aufgeführten URLs zulässig ist. Für transparente Proxys ist keine weitere Konfiguration für Defender für Endpunkt erforderlich. Führen Sie für statische Proxys die Schritte unter Manuelle statische Proxykonfiguration aus.

Warnung

PAC, WPAD und authentifizierte Proxys werden nicht unterstützt. Stellen Sie sicher, dass nur ein statischer oder transparenter Proxy verwendet wird. Die SSL-Überprüfung und das Abfangen von Proxys werden aus Sicherheitsgründen ebenfalls nicht unterstützt. Konfigurieren Sie eine Ausnahme für die SSL-Überprüfung und Ihren Proxyserver, um Daten von Defender für Endpunkt für Linux direkt an die relevanten URLs ohne Abfangen zu übergeben. Das Hinzufügen Ihres Abfangzertifikats zum globalen Speicher ermöglicht kein Abfangen.

Schritte zur Problembehandlung finden Sie unter Behandeln von Problemen mit der Cloudkonnektivität für Microsoft Defender for Endpoint unter Linux.

Aktualisieren von Microsoft Defender for Endpoint unter Linux

Microsoft veröffentlicht regelmäßig Softwareupdates zur Verbesserung von Leistung und Sicherheit oder zur Bereitstellung neuer Features. Informationen zum Aktualisieren Microsoft Defender for Endpoint unter Linux finden Sie unter Bereitstellen von Updates für Microsoft Defender for Endpoint unter Linux.

So konfigurieren Sie Microsoft Defender für Endpunkt unter Linux

Anleitungen zum Konfigurieren des Produkts in Unternehmensumgebungen finden Sie unter Festlegen von Einstellungen für Microsoft Defender for Endpoint unter Linux.

Allgemeine Anwendungen für Microsoft Defender for Endpoint können auswirkungen

Hohe E/A-Workloads von bestimmten Anwendungen können leistungsprobleme auftreten, wenn Microsoft Defender for Endpoint installiert wird. Zu diesen Anwendungen für Entwicklerszenarien gehören Jenkins und Jira sowie Datenbankworkloads wie OracleDB und Postgres. Wenn die Leistung beeinträchtigt wird, sollten Sie Ausschlüsse für vertrauenswürdige Anwendungen festlegen und dabei häufige Ausschlussfehler für Microsoft Defender Antivirus berücksichtigen. Weitere Anleitungen finden Sie in der Dokumentation zu Antivirenausschlüssen von Nicht-Microsoft-Anwendungen.

Ressourcen

• Weitere Informationen zum Protokollieren, Deinstallieren oder anderen Artikeln finden Sie unter Ressourcen.

Verwandte Artikel

• Schützen Sie Ihre Endpunkte mit der integrierten EDR-Lösung von Defender für Cloud: Microsoft Defender for Endpoint
• Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender for Cloud
• Aktivieren des Netzwerkschutzes für Linux

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.