Microsoft Defender for Endpoint laajennus Windows-alijärjestelmä Linuxille (WSL) varten

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Windows 11
• Windows 10, versio 2004 ja uudemmat versiot (koontiversio 19044 ja uudemmat versiot)

Yleiskatsaus

Windows-alijärjestelmä Linuxille (WSL) 2, joka korvaa WSL:n aiemman version (jota Microsoft Defender for Endpoint tukee ilman laajennusta), tarjoaa Linux-ympäristön, joka on integroitu saumattomasti Windowsiin, mutta joka on eristetty virtualisointitekniikan avulla. Defender for Endpoint for WSL -laajennuksen avulla Defender for Endpoint voi tarjota enemmän näkyvyyttä kaikille käynnissä oleville WSL-säilöille liittämällä eristetyn alijärjestelmän.

Tunnetut ongelmat ja rajoitukset

Huomioi seuraavat seikat ennen aloittamista:

• Laajennus ei tue automaattisia päivityksiä -versiota aiemmissa 1.24.522.2versioissa. Versiossa ja uudemmissa 1.24.522.2 versioissa. Päivitykset tuetaan Windows Update kautta kaikissa renkaissa. Päivitykset Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) ja Microsoft Update -luettelon kautta tuetaan vain tuotantoringissä paketin vakauden varmistamiseksi.

• Laajennuksen täydellinen alustaminen kestää muutaman minuutin ja WSL2-esiintymän käyttöönotossa jopa 30 minuuttia. Lyhytikäiset WSL-säilön esiintymät saattavat johtaa siihen, että WSL2-esiintymää ei näy Microsoft Defender portaalissa (https://security.microsoft.com). Kun mikä tahansa jakauma on ollut käynnissä tarpeeksi kauan (vähintään 30 minuuttia), se tulee näkyviin.

• Mukautetun ytimen ja mukautetun ytimen komentorivin suorittamista ei tueta. Vaikka laajennus ei estä tämän määrityksen suorittamista, se ei takaa näkyvyyttä WSL:ssä, kun suoritat mukautettua ydintä ja mukautettua ydinkomentoa. Suosittelemme estämään tällaiset määritykset Microsoft Intune wsl-asetuksissa.

• Laajennusta ei tueta koneissa, joissa on ARM64-suoritin.

• Laajennus tarjoaa näkyvyyden WSL-tapahtumiin, mutta muut ominaisuudet, kuten haittaohjelmien torjunta, uhkien ja haavoittuvuuksien hallinta ja vastauskomennot, eivät ole käytettävissä WSL:n loogisissa laitteissa.

Ohjelmiston edellytykset

• WSL-versiossa 2.0.7.0 tai uudemmassa on oltava käytössä vähintään yksi aktiivinen distro. Varmista wsl --update , että käytössäsi on uusin versio. Jos wsl -–version näytetään versio, joka on vanhempi kuin 2.0.7.0, suorita wsl -–update –pre-release saadaksesi uusimman päivityksen.

• Windows-asiakaslaite on otettava käyttöön Defender for Endpointissa.

• Windows-asiakaslaitteessa on oltava käytössä Windows 10 versio 2004 ja uudemmat versiot (koontiversio 19044 ja uudemmat versiot) tai Windows 11 tukeakseen WSL-versioita, jotka voivat toimia laajennuksen kanssa.

Ohjelmiston osat ja asennusohjelman tiedostonimet

Asennusohjelma: DefenderPlugin-x64-0.24.426.1.msi. Voit ladata sen Microsoft Defender portaalin perehdytyssivulta. (Siirry asetuksiin>Päätepisteet>Perehdytys.)

Asennushakemistot:

• %ProgramFiles%

• %ProgramData%

Asennetut osat:

• DefenderforEndpointPlug-in.dll. Tämä DLL on kirjasto, jonka avulla Defender for Endpoint voidaan ladata toimimaan WSL:n sisällä. Löydät sen osoitteesta %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\plug-in.

• healthcheck.exe. Tämä ohjelma tarkistaa Defender for Endpointin kuntotilan ja mahdollistaa WSL:n, laajennuksen ja Defender for Endpointin asennettujen versioiden näkemisen. Löydät sen osoitteesta %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

Asennusvaiheet

Jos Windows-alijärjestelmä Linuxille ei ole vielä asennettu, toimi seuraavasti:

1. Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)

2. Suorita komento wsl -–install.

3. Vahvista, että WSL on asennettu ja käynnissä.

   1. Suorita käyttämällä Pääte- tai Komentokehote-toimintoa wsl –-update ja varmista, että käytössäsi on uusin versio.

   2. Suorita komento varmistaaksesi, wsl että WSL on käynnissä ennen testausta.

4. Asenna laajennus seuraavasti:

   1. Asenna MSI-tiedosto, joka on ladattu Microsoft Defender portaalin perehdytysosiosta (Asetukset>Käyttöönottopäätepisteet>>Windows-alijärjestelmä Linuxille 2 (laajennus)).

   2. Avaa komentokehote/pääte ja suorita wsl.

   Voit ottaa paketin käyttöön käyttämällä Microsoft Intune.

Huomautus

Jos WslService se on käynnissä, se pysähtyy asennusprosessin aikana. Sinun ei tarvitse ottaa alijärjestelmää erikseen käyttöön. Sen sijaan laajennus lisätään automaattisesti vuokraajaan, jonka Windows-isäntä on otettu käyttöön. Microsoft Defender for Endpoint päivitys WSL KB -päivityksen laajennukselle.

Asennuksen kelpoisuustarkistuksen tarkistusluettelo

1. Odota päivityksen tai asennuksen jälkeen vähintään viisi minuuttia, että laajennus alustaa ja kirjoittaa lokin tulosteen kokonaan.

2. Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)

3. Suorita komento: cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools".

4. Suorita komento .\healthcheck.exe.

5. Tarkista Defenderin ja WSL:n tiedot ja varmista, että ne vastaavat tai ylittävät seuraavat vaatimukset:

   • Laajennuksen versio: 1.24.522.2
   • WSL-versio: 2.0.7.0 tai uudempi
   • Defender-sovelluksen versio: 101.24032.0007
   • Defenderin kuntotila: Healthy

Defenderin välityspalvelimen määrittäminen WSL:ssä

Tässä osiossa kuvataan, miten määritetään defender for Endpoint -laajennuksen välityspalvelinyhteydet. Jos yrityksesi käyttää välityspalvelinta yhteyden tarjoamiseen Defender for EndPointiin, joka on käynnissä Windows-isännässä, jatka lukemista määrittääksesi, onko se määritettävä laajennusta varten.

Jos haluat käyttää isäntä-Windowsin EDR-telemetriavälityspalvelimen määrityksiä MDE WSL-laajennukselle, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.

Jos haluat käyttää host winhttp -välityspalvelinmääritystä WSL-laajennuksen MDE, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.

Jos haluat käyttää WSL-laajennuksen MDE isäntäverkon ja verkon välityspalvelimen asetusta, mitään muuta ei tarvita. Laajennus hyväksyy tämän määrityksen automaattisesti.

Huomautus

WSL-puolustaja tukee vain http välityspalvelinta.

Laajennuksen välityspalvelimen valinta

Jos isäntäkoneessasi on useita välityspalvelinasetuksia, laajennus valitsee välityspalvelinmääritykset, joilla on seuraava hierarkia:

1. Defender for Endpointin staattinen välityspalvelinasetus (TelemetryProxyServer).

2. Winhttp välityspalvelin (määritetty komennolla netsh ).

3. Verkon & Internet-välityspalvelimen asetukset.

Jos isäntäkoneessasi on esimerkiksi sekä Winhttp proxyNetwork & Internet proxyettä , laajennus valitsee välityspalvelimen Winhttp proxy määritykseksi .

Huomautus

Rekisteriavainta DefenderProxyServer ei enää tueta. Määritä välityspalvelin laajennuksessa noudattamalla aiemmin tässä artikkelissa kuvattuja vaiheita.

WSL:ssä suoritettavan Päätepisteen Defenderin yhteystesti

Defender for Endpoint -yhteystesti käynnistyy aina, kun laitteessasi tehdään välityspalvelimen muokkaus, ja se on ajoitettu suoritettavaksi tunnin välein.

Kun käynnistät wsl-tietokoneen, odota 5 minuuttia ja suorita healthcheck.exe (sijainti kohteessa %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools yhteystestin tuloksia varten). Jos se onnistuu, yhteystesti onnistui. Jos virhe, näet, että yhteystestin invalid mukaan asiakasyhteys WSL:n MDE laajennuksesta Defender for Endpoint -palvelun URL-osoitteisiin epäonnistuu.

Huomautus

Rekisteriavainta ConnectivityTest ei enää tueta. Jos haluat määrittää välityspalvelimen käytettäväksi WSL-säilöissä (alijärjestelmässä suoritettavat jakelut), katso Lisäasetusten määritys WSL:ssä.

Tarkistetaan toimintoja ja SOC-analyytikkokokemusta

Laajennuksen asentamisen jälkeen alijärjestelmä ja kaikki sen käynnissä olevat säilöt lisätään Microsoft Defender portaaliin.

1. Kirjaudu Microsoft Defender portaaliin ja avaa Laitteet-näkymä.

2. Suodata tunnisteen WSL2 avulla.

   

   Näet kaikki ympäristösi WSL-esiintymät aktiivisen Defender for Endpoint -laajennuksen avulla WSL:lle. Nämä esiintymät edustavat kaikkia WSL:n sisällä suoritettavaa jakelua tietyssä isännässä. Laitteen isäntänimi vastaa Windows-isännän isäntänimeä. Se esitetään kuitenkin Linux-laitteena.

3. Avaa laitteen sivu. Yleiskatsaus-ruudussa on linkki siihen, missä laitetta isännöidä. Linkin avulla voit ymmärtää, että laite on windows-isännässä. Voit sitten pivotoida isännän tarkempaa tutkimusta ja/tai vastausta varten.

   

Aikajana on täytetty samalla tavalla kuin Defender for Endpoint Linuxissa, ja siihen liittyy tapahtumia alijärjestelmän sisältä (tiedosto, prosessi, verkko). Voit tarkkailla toimintaa ja tunnistuksia aikajananäkymässä. Myös hälytykset ja tapaukset luodaan.

Mukautetun tunnisteen määrittäminen WSL-koneelle

Laajennus liittää WSL-koneen tunnisteella WSL2. Jos tarvitset tai organisaatiosi tarvitsee mukautetun tunnisteen, noudata alla olevia ohjeita:

1. Avaa Rekisteri-Kirjoitusavustaja järjestelmänvalvojana.

2. Luo rekisteriavain käyttäen seuraavia tietoja:

   • Nimi: GROUP
   • Tyyppi: REG_SZ tai rekisterimerkkijono
   • Arvo: Custom tag
   • Polku: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging

3. Kun rekisteri on määritetty, käynnistä wsl uudelleen seuraavien vaiheiden mukaisesti:

   1. Avaa komentokehote ja suorita komento. wsl --shutdown

   2. wsl Suorita komento.

4. Odota 5–10 minuuttia, jotta portaali vastaa muutoksia.

Huomautus

Mukautettua tunnistejoukkoa rekisterissä seuraa ._WSL2 Jos esimerkiksi rekisteriarvojoukko on Microsoft, mukautettu tunniste on Microsoft_WSL2 ja sama näkyy portaalissa.

Laajennuksen testaaminen

Testaa laajennus asennuksen jälkeen seuraavasti:

1. Avaa pääte tai komentokehote. (Siirry Windowsissa aloitusnäyttöön>Komentokehote. Voit myös napsauttaa käynnistä-painiketta hiiren kakkospainikkeella ja valita sitten Pääte.)

2. Suorita komento wsl.

3. Lataa ja pura komentosarjatiedosto kohteesta https://aka.ms/MDE-Linux-EDR-DIY.

4. Suorita Linux-kehotteessa komento ./mde_linux_edr_diy.sh.

   Ilmoituksen pitäisi näkyä portaalissa muutaman minuutin kuluttua WSL2-esiintymän havaitsemista varten.

   Huomautus

   Kestää noin viisi minuuttia, ennen kuin tapahtumat näkyvät Microsoft Defender portaalissa.

Käsittele konetta aivan kuin se olisi tavallinen Linux-isäntä ympäristössäsi, jota vastaan testaus suoritetaan. Haluamme erityisesti saada palautetta mahdollisuudesta näyttää mahdollisesti haitallista toimintaa uuden laajennuksen avulla.

Tarkennettu etsintä

Kehittyneen metsästyksen rakenteessa taulukon alla DeviceInfo on uusi määrite nimeltä HostDeviceId , jonka avulla voit yhdistää WSL-esiintymän sen Windows-isäntälaitteeseen. Seuraavassa on muutamia metsästyskyselyitä:

Hae kaikki WSL-laitetunnukset nykyiselle organisaatiolle tai vuokraajalle

//Get all WSL device ids for the current organization/tenant 
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

wsl_endpoints

Hae WSL-laitetunnukset ja niitä vastaavat isäntälaitteen tunnukset

//Get WSL device ids and their corresponding host device ids 
DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct WSLDeviceId=DeviceId, HostDeviceId

Hanki luettelo WSL-laitetunnuksista, joissa suoritettiin curl- tai wget-näpäytyskohtaa

//Get a list of WSL device ids where curl or wget was run
let wsl_endpoints = DeviceInfo  
| where OSPlatform == "Linux" and isempty(HostDeviceId) != true
| distinct DeviceId; 

DeviceProcessEvents   
| where FileName == "curl" or FileName == "wget" 
| where DeviceId in (wsl_endpoints) 
| sort by Timestamp desc

Vianmääritys

Asennusvirhe

Jos näyttöön tulee virhe käynnistettäessä WSL:ää, kuten A fatal error was returned by plugin 'DefenderforEndpointPlug-in' Error code: Wsl/Service/CreateInstance/CreateVm/Plugin/ERROR_FILE_NOT_FOUND, se tarkoittaa, että Defender for Endpoint -laajennus WSL-asennuksessa on virheellinen. Voit korjata sen seuraavasti:

1. Valitse Ohjauspaneeli Ohjelmat Ohjelmat>ja toiminnot.

2. Etsi ja valitse Microsoft Defender for Endpoint laajennus WSL:lle. Valitse sitten Korjaa. Tämän toiminnon pitäisi korjata ongelma sijoittamalla oikeat tiedostot odotettuihin hakemistoihin.

   

Komento healthcheck.exe näyttää tuloksen "Käynnistä WSL-distro "bash"-komennolla ja yritä uudelleen viiden minuutin kuluttua."

1. Avaa pääteesiintymä ja suorita komento wsl.

2. Odota vähintään viisi minuuttia, ennen kuin kuntotarkistus voidaan tarkistaa uudelleen.

Komento healthcheck.exe saattaa näyttää tuloksen "Odottaa telemetriaa. Yritä uudelleen viiden minuutin kuluttua."

Jos tämä virhe ilmenee, odota viisi minuuttia ja suorita uudelleen healthcheck.exe.

Et näe mitään laitteita Microsoft Defender-portaalissa tai et näe tapahtumia aikajanalla

Tarkista seuraavat asiat:

• Jos et näe koneobjektia, varmista, että perehdyttämiseen on kulunut riittävästi aikaa (yleensä enintään 10 minuuttia).

• Varmista, että käytät oikeita suodattimia ja että sinulla on oikeudet tarkastella kaikkia laiteobjekteja. (Onko tilisi tai ryhmäsi esimerkiksi rajoitettu tiettyyn ryhmään?)

• Kunnontarkistustyökalun avulla voit antaa yleiskatsauksen laajennuksen yleisestä kunnosta. Avaa Pääte ja suorita healthcheck.exe työkalu kohteesta %ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools.

  

• Ota yhteystesti käyttöön ja tarkista Defender for Endpoint -yhteys WSL:ssä. Jos yhteystesti epäonnistuu, anna kunnontarkistustyökalun tulos tukitiimillemme.

Kuntotarkistuksen yhteystestiraportit "virheellisiä"

• Jos tietokoneessasi on välityspalvelimen asetukset, suorita komento healthCheck --extendedProxy. Tämä antaa tietoja siitä, mitkä välityspalvelimet on määritetty koneellesi ja ovatko nämä määritykset virheellisiä WSL-puolustajalle.

  

• Jos edellä mainitut vaiheet eivät korjaa ongelmaa, sisällytä seuraavat määritysasetukset .wslconfig kohteessa ja %UserProfile% käynnistä WSL uudelleen. Lisätietoja asetuksista on WSL-asetuksissa.

  Windows 11

  
  # Settings apply across all Linux distros running on WSL 2
  [wsl2]
  
  dnsTunneling=true
  
  networkingMode=mirrored  
  

  Windows 10:ssä

  # Settings apply across all Linux distros running on WSL 2
  [wsl2]
  
  dnsProxy=false
  
  

Yhteysongelmat jatkuvat

Kerää verkkolokit seuraavasti:

1. Avaa järjestelmänvalvojan PowerShell-kehote.

2. Lataa ja suorita: .\collect-networking-logs.ps1

   
   Invoke-WebRequest -UseBasicParsing "https://raw.githubusercontent.com/microsoft/WSL/master/diagnostics/collect-networking-logs.ps1" -OutFile collect-networking-logs.ps1
   Set-ExecutionPolicy Bypass -Scope Process -Force
   .\collect-networking-logs.ps1
   
   

3. Avaa uusi komentokehote ja suorita seuraava komento: wsl.

4. Avaa järjestelmänvalvojan komentokehote ja suorita seuraava komento: wsl --debug-shell.

5. Suorita virheenkorjaus-shellissä: mdatp connectivity test.

6. Salli yhteystestin valmistuminen.

7. Pysäytä .ps1 suoritettiin vaiheessa 2.

8. Jaa luotu .zip sekä tukipaketti, joka voidaan kerätä vaiheissa mainitulla tavalla.

Tukipaketin kerääminen

1. Jos kohtaat muita haasteita tai ongelmia, avaa Terminal ja luo tukipaketti suorittamalla seuraavat komennot:

   cd "%ProgramFiles%\Microsoft Defender for Endpoint plug-in for WSL\tools"
   

   .\healthcheck.exe --supportBundle 
   

   Tukipaketti löytyy edellisen komennon tarjoamasta polusta.

   

WSL1 vs WSL2

Microsoft Defender WSL:n päätepistelaajennus tukee WSL 2:ssa suoritettavia Linux-jakeluja. Jos ne liittyvät WSL 1:een, saatat kohdata ongelmia. Siksi on suositeltavaa poistaa WSL 1 käytöstä. Voit tehdä tämän Intune käytännöllä seuraavasti:

1. Siirry Microsoft Intune hallintakeskukseen.

2. Siirry kohtaan Laitteiden>määritysprofiilit>Luo>uusi käytäntö.

3. Valitse Windows 10 ja uudemmat>asetukset -luettelo.

4. Luo uudelle profiilille nimi ja etsi Windows-alijärjestelmä Linuxille, jotta näet käytettävissä olevien asetusten täydellisen luettelon ja lisäät sen.

5. Määritä Salli WSL1 -asetukseksi Ei käytössä, jotta voidaan käyttää vain WSL 2 -jakaumia.

   Vaihtoehtoisesti jos haluat jatkaa WSL 1:n käyttöä tai olla käyttämättä Intune Käytäntöä, voit valikoivasti liittää asennetut jakaumat WSL 2:ssa suoritettavaksi suorittamalla komennon PowerShellissä:

   wsl --set-version <YourDistroName> 2
   

   Jos haluat WSL 2:n oletusarvoiseksi WSL-versioksi järjestelmään asennettaville uusille jakeluille, suorita seuraava komento PowerShellissä:

   wsl --set-default-version 2
   

Ohita vapautusrengas

• Laajennus käyttää oletusarvoisesti Windows EDR -rengasta. Jos haluat vaihtaa aiempaan kehään, aseta OverrideReleaseRing jokin seuraavista rekisterin alla olevista ja käynnistä WSL uudelleen:

  • Nimi: OverrideReleaseRing
  • Tyyppi: REG_SZ
  • Arvo: Dogfood or External or InsiderFast or Production
  • Polku: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Defender for Endpoint plug-in for WSL