手動在Linux上部署 適用於端點的 Microsoft Defender

適用於：

• 適用於端點的 Microsoft Defender 伺服器
• 伺服器的 Microsoft Defender

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

提示

在Linux上尋找部署 適用於端點的 Microsoft Defender的進階指引嗎？ 請參閱 Linux 上適用於端點的 Defender 的進階部署指南。

本文說明如何在Linux上手動部署 適用於端點的 Microsoft Defender。 成功部署需要完成下列所有工作：

• 必要條件和系統需求
• 設定 Linux 軟體存放庫
  • CENTOS、Fedora、Oracle Linux、Amazon Linux 2、Marketplace 和 Alma (RHEL 和變體)
  • SLES 和變體
  • Ubuntu 和 Debian 系統
  • 水手
• 應用程式安裝
  • CENTOS、Fedora、Oracle Linux、Amazon Linux 2、Marketplace 和 Alma (RHEL 和變體)
  • SLES 和變體
  • Ubuntu 和 Debian 系統
  • 水手
• 下載上線套件
• 客戶端設定

必要條件和系統需求

開始之前，請參閱 Linux 上的 適用於端點的 Microsoft Defender，以取得目前軟體版本的必要條件和系統需求說明。

警告

在產品安裝之後，將您的作系統升級至新的主要版本，需要重新安裝產品。 您必須 卸載 Linux 上現有的適用於端點的 Defender、升級作系統，然後依照下列步驟在 Linux 上重新設定適用於端點的 Defender。

設定 Linux 軟體存放庫

Linux 上適用於端點的 Defender 可以從下列其中一個通道部署， (表示為 [channel ]) ： 測試人員快速、 測試人員速度緩慢或 prod。 每個通道都會對應至 Linux 軟體存放庫。 本文中的指示說明如何將裝置設定為使用其中一個存放庫。

通道的選擇會決定提供給您裝置的更新類型和頻率。 測試人員快速中的裝置是第一個接收更新和新功能的裝置，後面接著測試人員速度緩慢，最後是。prod

為了預覽新功能並提供早期的意見反應，建議您將企業中的某些裝置設定為使用 測試人員快速 或 測試人員速度緩慢。

警告

在初始安裝之後切換通道需要重新安裝產品。 若要切換產品通道：卸載現有的套件、將裝置重新設定為使用新通道，並遵循本檔中的步驟，從新位置安裝套件。

CENTOS、Fedora、Oracle Linux、Amazon Linux 2、Marketplace 和 Alma (RHEL 和變體)

1. 如果尚未安裝，請安裝 yum-utils ：

   sudo yum install yum-utils
   

2. 找出散發套件和版本的正確套件。 使用下表協助引導您尋找套件：

   散發 & 版本	套件
   Alma 8.4 和更新版本	https://packages.microsoft.com/config/alma/8/prod.repo
   Alma 9.2 和更新版本	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   斯洛奇 8.7 和更新版本	https://packages.microsoft.com/config/rocky/8/prod.repo
   卡羅 9.2 和更新版本	https://packages.microsoft.com/config/rocky/9/prod.repo

   注意事項

   針對您的散發套件和版本，請依主要 (識別最接近的專案，然後在底下 https://packages.microsoft.com/config/rhel/) 次要專案。

3. 在下列命令中，將 [version] 和 [channel] 取代為您已識別的資訊：

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   提示

   使用 hostnamectl 命令來識別系統相關信息，包括版本 [version]。

   例如，如果您正在執行 CentOS 7，而且想要從通道在 Linux 上部署適用於端點的 prod Defender：

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   或者，如果您想要探索所選裝置上的新功能，您可能想要在Linux上將 適用於端點的 Microsoft Defender 部署到測試人員快速通道：

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. 安裝 Microsoft GPG 公鑰：

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES 和變體

注意事項

針對您的散發套件和版本，請依主要 (識別最接近的專案，然後在底下 https://packages.microsoft.com/config/sles/) 次要專案。

1. 在下列命令中，將 [distro] 和 [version] 取代為您已識別的資訊：

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   提示

   使用 SPident 命令來識別系統相關信息，包括版本 [version]。

   例如，如果您執行的是 SLES 12，而且想要從prod通道在 Linux 上部署 適用於端點的 Microsoft Defender：

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. 安裝 Microsoft GPG 公鑰：

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Ubuntu 和 Debian 系統

1. 如果尚未安裝，請安裝 curl ：

   sudo apt-get install curl
   

2. 如果尚未安裝，請安裝 libplist-utils ：

   sudo apt-get install libplist-utils
   

   注意事項

   針對您的散發套件和版本，請依主要 (識別最接近的專案，然後在底下 https://packages.microsoft.com/config/[distro]/) 次要專案。

3. 在下列命令中，將 [distro] 和 [version] 取代為您已識別的資訊：

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   提示

   使用 hostnamectl 命令來識別系統相關信息，包括版本 [version]。

   例如，如果您執行的是Ubuntu18.04，而且想要從prod通道在Linux上部署 適用於端點的 Microsoft Defender：

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. 安裝存放庫組態：

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   例如，如果您選擇通道 prod ：

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. 如果尚未安裝， gpg 請安裝套件：

   sudo apt-get install gpg
   

   如果 gpg 無法使用，請安裝 gnupg。

   sudo apt-get install gnupg
   

6. 安裝 Microsoft GPG 公鑰：

   • 針對 Debian 11 和更早版本，執行下列命令。

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • 針對 Debian 12 和更新版本，執行下列命令。

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. 如果尚未安裝，請安裝 HTTPS 驅動程式：

   sudo apt-get install apt-transport-https
   

8. 更新存放庫元資料：

   sudo apt-get update
   

水手

1. 如果尚未安裝，請安裝 dnf-plugins-core ：

   sudo dnf install dnf-plugins-core
   

2. 設定並啟用必要的存放庫。

   注意事項

   在總管上，無法使用測試人員快速通道。

   如果您想要從通道在Linux上部署適用於端點的 prod Defender。 使用下列命令

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   或者，如果您想要探索所選裝置上的新功能，您可能想要在Linux上將 適用於端點的 Microsoft Defender部署到測試人員緩慢的通道。 使用下列命令：

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

應用程式安裝

使用下列各節中的命令，在您的 Linux 發行版上安裝適用於端點的 Defender。

CENTOS、Fedora、Oracle Linux、Amazon Linux 2、Marketplace 和 Alma (RHEL 和變體)

sudo yum install mdatp

注意事項

如果您在裝置上設定了多個Microsoft存放庫，您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast已在此裝置上設定存放庫通道，如何從production通道安裝套件。 如果您在裝置上使用多個Microsoft產品，就會發生這種情況。 根據散發套件和伺服器版本，存放庫別名可能與下列範例中的別名不同。

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES 和變體

sudo zypper install mdatp

注意事項

如果您在裝置上設定了多個Microsoft存放庫，您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast已在此裝置上設定存放庫通道，如何從production通道安裝套件。 如果您在裝置上使用多個Microsoft產品，就會發生這種情況。

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu 和 Debian 系統

sudo apt-get install mdatp

注意事項

如果您在裝置上設定了多個Microsoft存放庫，您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast已在此裝置上設定存放庫通道，如何從production通道安裝套件。 如果您在裝置上使用多個Microsoft產品，就會發生這種情況。

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

注意事項

在Linux上安裝或更新 適用於端點的 Microsoft Defender 之後不需要重新啟動，除非您以不可變模式執行 auditD。

水手

sudo dnf install mdatp

注意事項

如果您在裝置上設定了多個Microsoft存放庫，您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-slow已在此裝置上設定存放庫通道，如何從production通道安裝套件。 如果您在裝置上使用多個Microsoft產品，就會發生這種情況。

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

下載上線套件

從 Microsoft Defender 入口網站下載上線套件。

警告

不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響，並導致不良結果，包括但不限於觸發竄改警示和無法套用更新。

重要事項

如果您錯過此步驟，任何執行的命令會顯示警告訊息，指出產品未授權。 此外， mdatp health 命令會傳回的 false值。

1. 在 Microsoft Defender 入口網站中，移至 [設定>端點>裝置管理>上線]。

2. 在第一個下拉功能表中，選取 [Linux Server ] 作為作系統。 在第二個下拉功能表中，選取 [ 本機腳本 ] 作為部署方法。

3. 選取 [下載上線套件]。 將檔案儲存為 WindowsDefenderATPOnboardingPackage.zip。

   

4. 從命令提示字元中，確認您有檔案，然後擷取封存的內容：

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

客戶端設定

1. 複製 MicrosoftDefenderATPOnboardingLinuxServer.py 到目標裝置。

   注意事項

   一開始，用戶端裝置未與組織相關聯，且 orgId 屬性是空白的。

   mdatp health --field org_id
   

2. 執行下列其中一個案例。

   注意事項

   若要執行此指令，您必須根據發行版和版本，在裝置上安裝 python 或 python3 安裝 。 如有需要，請參閱在 Linux上安裝 Python 的逐步指示。

   若要讓先前已脫機的裝置上線，您必須移除位於 /etc/opt/microsoft/mdatp 的mdatp_offboard.json檔案。

   如果您執行 RHEL 8.x 或 Ubuntu 20.04 或更新版本，則必須使用 python3。 執行下列命令：

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   針對其餘散發版本和版本，您必須使用 python。 執行下列命令：

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. 確認裝置現在已與您的組織相關聯，並報告有效的組織標識碼：

   mdatp health --field org_id
   

4. 執行下列命令來檢查產品的健全狀況狀態。 的 true 傳回值表示產品如預期般運作：

   mdatp health --field healthy
   

   重要事項

   當產品第一次啟動時，它會下載最新的反惡意代碼定義。 視網路連線能力而定，此程式可能需要幾分鐘的時間。 在這段期間，稍早提到的命令會傳回 的 false值。 您可以使用下列命令來檢查定義更新的狀態：

   mdatp health --field definitions_status
   

   完成初始安裝之後，您可能也需要設定 Proxy。 如 需靜態 Proxy 探索，請參閱在 Linux 上設定適用於端點的 Defender：安裝後設定。

5. 執行防病毒軟體偵測測試，以確認裝置已正確上線，並回報給服務。 在新上線的裝置上執行下列步驟：

   1. 請確定已啟用即時保護 (藉由執行下列命令的結果 true 來表示) ：

      mdatp health --field real_time_protection_enabled
      

      如果未啟用，請執行下列命令：

      mdatp config real-time-protection --value enabled
      

   2. 若要執行偵測測試，請開啟 [終端機] 視窗。 然後執行下列命令：

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. 您可以使用下列其中一個命令，在 zip 檔案上執行更多偵測測試：

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Linux 上適用於端點的 Defender 應該隔離這些檔案。

   4. 使用下列命令來列出所有偵測到的威脅：

      mdatp threat list
      

6. 執行 EDR 偵測測試並模擬偵測，以確認裝置已正確上線並回報給服務。 在新上線的裝置上執行下列步驟：

   1. 確認已上線的Linux伺服器出現在 Microsoft Defender 全面偵測回應中。 如果這是機器第一次上線，則最多可能需要 20 分鐘的時間，直到出現為止。

   2. 將 腳稿檔案 下載並解壓縮至已上線的 Linux 伺服器，然後執行下列命令： ./mde_linux_edr_diy.sh

      幾分鐘后，應該會在 Microsoft Defender 全面偵測回應 中引發偵測。

   3. 查看警示詳細數據、計算機時間軸，並執行一般調查步驟。

適用於端點的 Microsoft Defender 套件外部套件相依性

套件有 mdatp 下列外部套件相依性：

• mdatp RPM 套件需要 glibc >= 2.17、、policycoreutils、 selinux-policy-targetedmde-netfilter
• 若為 DEBIAN，mdatp 套件需要 libc6 >= 2.23、、 uuid-runtimemde-netfilter
• 若為伺服器，mdatp 套件需要 、、、、、、、selinux-policy、 policycoreutilsdiffutilslibselinux-utilslibattrlibaclattrmde-netfilter

注意事項

從 版本 101.24082.0004開始，適用於 Linux 上的適用於端點的 Defender 不再支援 Auditd 事件提供者。 我們正在完全轉換為更有效率的 eBPF 技術。 如果您的計算機不支援 eBPF，或有特定需求需要保留在 Auditd 上，而且您的機器使用 Linux 版或更低版本 101.24072.0001 的適用於端點的 Defender，則 mdatp 會存在下列與稽核套件的其他相依性：

• mdatp RPM 套件需要 audit、 semanage。
• 若為 DEBIAN，mdatp 套件需要 auditd。
• 若為體管，mdatp 套件需要 audit。

套 mde-netfilter 件也有下列套件相依性：

• 針對 DEBIAN， mde-netfilter 套件需要 libnetfilter-queue1、 libglib2.0-0
• 針對 RPM，套mde-netfilter件需要 libmnl、、libnfnetlink、 libnetfilter_queueglib2
• 針對[海巡] ，套 mde-netfilter 件需要 libnfnetlink、 libnetfilter_queue

如果 適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗，您可以手動下載必要條件相依性。

安裝問題的疑難排解

• 如需如何尋找安裝錯誤發生時所產生之記錄檔的詳細資訊，請參閱 記錄安裝問題。

• 如需常見安裝問題的相關信息，請參閱 安裝問題。

• 如果裝置的健康情況為 false，請參閱 調查代理程式健康情況問題。

• 如需產品效能問題，請參閱針對Linux上的 適用於端點的 Microsoft Defender 效能問題進行疑難解答。

• 如需 Proxy 和連線問題，請參閱針對 Linux 上 適用於端點的 Microsoft Defender 的雲端連線問題進行疑難解答。

• 若要從Microsoft取得支援，請開啟支援票證，並提供使用 適用於端點的 Microsoft Defender 用戶端分析器工具所建立的記錄檔。

如何在通道之間切換

例如，若要將通道從 Insiders-Fast 變更為生產環境，請執行下列動作：

1. 在 Linux 上卸載 Insiders-Fast channel 適用於端點的 Defender 版本。

   sudo yum remove mdatp
   

2. 停用 Linux 上適用於端點的 Defender Insiders-Fast 通道

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. 使用 Production channel在Linux上重新安裝 適用於端點的 Microsoft Defender，然後在 Microsoft Defender入口網站中將裝置上線。

如何在Linux上設定 適用於端點的 Microsoft Defender的原則

您可以在端點上設定防病毒軟體和 EDR 設定。 如需詳細資訊，請參閱下列文章：

• 設定 Linux 上 適用於端點的 Microsoft Defender 的喜好設定描述可用的設定
• 安全性設定管理說明如何在 Microsoft Defender 入口網站中設定設定。

在 Linux 上卸載 適用於端點的 Microsoft Defender

若要手動卸載，請針對您的 Linux 發行版執行下列命令。

• sudo yum remove mdatp 適用於 CentOS 和 Oracle Linux) (RHEL 和變體。
• sudo zypper remove mdatp 適用於 SLES 和變體。
• sudo apt-get purge mdatp 適用於Ubuntu和Debian系統。
• sudo dnf remove mdatp for 函式

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。