共用方式為

Linux 上適用於端點的 Microsoft Defender

  • 發行項

提示

我們很高興能分享 Linux 上的 適用於端點的 Microsoft Defender 現在在預覽版中擴充對 ARM64 型 Linux 伺服器的支援! 如需詳細資訊,請參閱 Linux 上適用於 ARM64 裝置的 適用於端點的 Microsoft Defender (預覽)

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本文說明如何在Linux上安裝、設定、更新和使用 適用於端點的 Microsoft Defender。

注意

在Linux上搭配 適用於端點的 Microsoft Defender 執行其他非Microsoft端點保護產品,可能會導致效能問題和無法預期的副作用。 如果非Microsoft端點保護是您環境中的絕對需求,在設定要在 被動模式中執行的防病毒軟體功能之後,您仍然可以安全地利用適用於Linux EDR的Defender功能。

如何在Linux上安裝 適用於端點的 Microsoft Defender

適用於Linux的 適用於端點的 Microsoft Defender 包括反惡意代碼和端點偵測和回應 (EDR) 功能。

必要條件

  • 存取 Microsoft Defender 入口網站
  • 使用 系統系統管理員的Linux散發套件
  • Linux 和BASH腳本中的初學者層級體驗
  • 裝置上的系統管理許可權 (手動部署)

注意事項

使用系統管理員的Linux散發套件支援 SystemV 和 Upstart。 Linux 代理程式上的 適用於端點的 Microsoft Defender 與 Operation Management Suite (OMS) 代理程序無關。 適用於端點的 Microsoft Defender依賴自己的獨立遙測管線。

系統需求

  • CPU:最小 1 個 CPU 核心。 針對高效能工作負載,建議使用更多核心。

  • 磁碟空間:最小 2 GB。 針對高效能工作負載,可能需要更多磁碟空間。

  • 記憶體:至少 1 GB 的 RAM。 針對高效能工作負載,可能需要更多記憶體。

    注意事項

    可能需要根據工作負載進行效能微調。 請參閱針對Linux上的 適用於端點的 Microsoft Defender效能問題進行疑難解答

  • 支援下列 Linux 伺服器散發套件和 x64 (AMD64/EM64T) 版本:

    • Red Hat Enterprise Linux 7.2 或更新版本

    • Red Hat Enterprise Linux 8.x

    • Red Hat Enterprise Linux 9.x

    • CentOS 7.2 或更高版本,不包括 CentOS Stream

    • Ubuntu 16.04 LTS

    • Ubuntu 18.04 LTS

    • Ubuntu 20.04 LTS

    • Ubuntu 22.04 LTS

    • Ubuntu 24.04 LTS

    • Debian 9 - 12

    • SUSE Linux Enterprise Server 12.x

    • SUSE Linux Enterprise Server 15.x

    • Oracle Linux 7.2 或更新版本

    • Oracle Linux 8.x

    • Oracle Linux 9.x

    • Amazon Linux 2

    • Amazon Linux 2023

    • Fedora 33-38

    • 斯洛奇 8.7 和更新版本

    • 卡羅 9.2 和更新版本

    • Alma 8.4 和更新版本

    • Alma 9.2 和更新版本

    • 水靈 2

  • ARM64 上的下列 Linux 伺服器發行版現在已在預覽版中受到支援:

    • Ubuntu 20.04 ARM64

    • Ubuntu 22.04 ARM64

    • Ubuntu 24.04 ARM64

    • Amazon Linux 2 ARM64

    • Amazon Linux 2023 ARM64

    • RHEL 8.x ARM64

    • RHEL 9.x ARM64

    • Oracle Linux 8.x ARM64

    • Oracle Linux 9.x ARM64

    • SUSE Linux Enterprise Server 15 (SP5、SP6) ARM64

    重要事項

    針對 ARM64 型 Linux 裝置,Linux 上的 適用於端點的 Microsoft Defender 支援現已處於預覽狀態。 如需詳細資訊,請參閱 Linux 上適用於 ARM64 裝置的 適用於端點的 Microsoft Defender (預覽)

    注意事項

    不支援這些散發套件的工作站版本。 不支援未明確列出的散發套件和版本 (即使它們衍生自正式支援的散發) 。 發行新的套件版本之後,對前兩個版本的支援將縮小為僅限技術支援。 比本節所列舊的版本僅供技術升級支援使用。 目前,Microsoft Defender 弱點管理 不支持發行版和 Alma 散發套件。 所有其他支持的發行版和版本 適用於端點的 Microsoft Defender 與核心版本無關。 核心版本為 3.10.0-327 或更新版本的最低需求。

    注意

    不支援在Linux上與其他 fanotify型安全性解決方案並行執行適用於端點的Defender。 這可能會導致無法預期的結果,包括掛斷作系統。 如果系統上有任何其他應用程式在封鎖模式中使用fanotify,則應用程式會列在命令輸出的欄位中mdatp healthconflicting_applications。 Linux FAPolicyD 功能會在封鎖模式中使用 fanotify ,因此在作用中模式中執行適用於端點的 Defender 時不受支援。 在設定啟用至 被動模式的即時保護功能之後,您仍然可以安全地利用Linux EDR上的適用於端點的Defender功能。

  • RTP、快速、完整和自訂掃描的支援檔案系統清單。

RTP、快速、完整掃描 自訂掃描
btrfs RTP、快速、完整掃描支援的所有文件系統
ecryptfs Efs
ext2 S3fs
ext3 Blobfuse
ext4 Lustr
fuse glustrefs
fuseblk Afs
jfs sshfs
nfs 僅 (v3) cifs
overlay smb
ramfs gcsfuse
reiserfs sysfs
tmpfs
udf
vfat
xfs

注意事項

若要徹底掃描 NFS v3 載入點,必須設定 no_root_squash 這些裝入點上的匯出選項。 如果沒有此選項,掃描 NFS v3 可能會因為缺少許可權而失敗。

注意事項

從 版本 101.24082.0004開始,適用於 Linux 上的適用於端點的 Defender 不再支援 Auditd 事件提供者。 我們正在完全轉換成更有效率的擴充的分封包篩選器 (eBPF) 技術。 如果您的計算機不支援 eBPF,或有特定需求需要保留在 Auditd 上,且您的電腦使用 Linux 版或更低版本 101.24072.0001 的適用於端點的 Defender,則必須在系統上啟用稽核架構 (auditd) 。 如果您使用 Auditd,則新增的 /etc/audit/rules.d/ 規則所擷取的系統事件會新增至 audit.log (的) ,而且可能會影響主機稽核和上游集合。 適用於端點的 Microsoft Defender 在Linux上新增的事件會以mdatp索引鍵標記。

安裝指示

有數種方法和部署工具可用來在Linux上安裝和設定 適用於端點的 Microsoft Defender。 開始之前,請確定符合 適用於端點的 Microsoft Defender 的最低需求

您可以使用下列其中一種方法在 Linux 上部署 適用於端點的 Microsoft Defender:

如果您遇到任何安裝失敗,請參閱針對Linux上 適用於端點的 Microsoft Defender中的安裝失敗進行疑難解答

重要事項

不支援在預設安裝路徑以外的任何位置安裝 適用於端點的 Microsoft Defender。 Linux 上的 適用於端點的 Microsoft Defender 會建立具有mdatp隨機 UID 和 GID 的使用者。 如果您想要控制 UID 和 GID,請先建立 mdatp 使用者,再使用 /usr/sbin/nologin 殼層選項進行安裝。 以下是範例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin

外部套件相依性

如果 適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗,您可以手動下載必要條件相依性。 mdatp 套件有下列外部套件相依性:

  • mdatp RPM 套件需要 glibc >= 2.17policycoreutilsselinux-policy-targetedmde-netfilter
  • 針對 RHEL6,mdatp RPM 套件需要 policycoreutilslibselinuxmde-netfilter
  • 若為 DEBIAN,mdatp 套件需要 libc6 >= 2.23uuid-runtimemde-netfilter

注意事項

從 版本 101.24082.0004開始,適用於 Linux 上的適用於端點的 Defender 不再支援 Auditd 事件提供者。 我們正在完全轉換為更有效率的 eBPF 技術。 如果您的計算機不支援 eBPF,或有特定需求需要保留在 Auditd 上,而且您的機器使用適用於 Linux 版本或更舊版本 101.24072.0001 的適用於端點的 Defender,則 mdatp 有下列與稽核套件的其他相依性:

  • mdatp RPM 套件需要 auditsemanage
  • 若為 DEBIAN,mdatp 套件需要 auditd
  • 若為體管,mdatp 套件需要 audit

mde-netfilter 件也有下列套件相依性:

  • 若為 DEBIAN,mde-netfilter 套件需要 libnetfilter-queue1、 和 libglib2.0-0
  • 針對 RPM,mde-netfilter 套件需要 libmnllibnfnetlinklibnetfilter_queueglib2

設定排除專案

將排除專案新增至 Microsoft Defender 防病毒軟體時,您應該留意 Microsoft Defender 防病毒軟體的常見排除錯誤

網路連線

確定能夠從裝置連線到 適用於端點的 Microsoft Defender 雲端服務。 若要準備您的環境,請參閱 步驟 1:設定網路環境以確保與適用於端點的 Defender 服務連線

Linux 上適用於端點的 Defender 可以使用下列發現方法,透過 Proxy 伺服器進行連線:

  • 透明Proxy
  • 手動靜態 Proxy 設定

如果 Proxy 或防火牆封鎖匿名流量,請確定在先前列出的 URL 中允許匿名流量。 針對透明 Proxy,不需要針對適用於端點的 Defender 進行其他設定。 針對靜態 Proxy,請遵循 手動靜態 Proxy 組態中的步驟。

警告

不支援 PAC、WPAD 和已驗證的 Proxy。 確定只使用靜態 Proxy 或透明 Proxy。 基於安全性考慮,也不支援SSL檢查和攔截 Proxy。 設定 SSL 檢查和 Proxy 伺服器的例外狀況,以直接將數據從 Linux 上的適用於端點的 Defender 傳遞至相關的 URL,而不需要攔截。 將您的攔截憑證新增至全域存放區不允許攔截。

如需疑難解答步驟,請參閱針對Linux上 適用於端點的 Microsoft Defender的雲端連線問題進行疑難解答

如何更新Linux上的 適用於端點的 Microsoft Defender

Microsoft定期發佈軟體更新,以改善效能、安全性,以及提供新功能。 若要更新 Linux 上的 適用於端點的 Microsoft Defender,請參閱在 Linux 上部署 適用於端點的 Microsoft Defender 的更新

設定 Linux 上適用於端點的 Microsoft Defender 的方式

如需如何在企業環境中設定產品的指引,請參閱設定Linux上 適用於端點的 Microsoft Defender的喜好設定。

要 適用於端點的 Microsoft Defender的常見應用程式可能會受到影響

安裝 適用於端點的 Microsoft Defender 時,某些應用程式的高 I/O 工作負載可能會遇到效能問題。 這類開發人員案例的應用程式包括 Jenkins 和 Jira,以及 OracleDB 和 Postgres 等資料庫工作負載。 如果發生效能降低,請考慮設定受信任應用程式的排除專案,並記住 Microsoft Defender 防病毒軟體的常見排除錯誤。 如需更多指引,請考慮諮詢有關非Microsoft應用程式防病毒軟體排除的檔。

資源

  • 如需記錄、卸載或其他文章的詳細資訊,請參閱 資源

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。