Linux 上適用於端點的 Microsoft Defender
提示
我們很高興能分享 Linux 上的 適用於端點的 Microsoft Defender 現在會在預覽版中擴充 ARM64 型 Linux 伺服器的支援! 如需詳細資訊,請參閱 Linux 上適用於 ARM64 型裝置的 適用於端點的 Microsoft Defender (預覽) 。
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
本文說明如何在Linux上安裝、設定、更新和使用 適用於端點的 Microsoft Defender。
注意
在Linux上搭配 適用於端點的 Microsoft Defender 執行其他非Microsoft端點保護產品,可能會導致效能問題和無法預期的副作用。 如果非Microsoft端點保護是您環境中的絕對需求,在設定要在 被動模式中執行的防病毒軟體功能之後,您仍然可以安全地利用適用於Linux EDR的Defender功能。
如何在Linux上安裝 適用於端點的 Microsoft Defender
適用於Linux的 適用於端點的 Microsoft Defender包含反惡意代碼和端點偵測和回應 (EDR) 功能。
必要條件
- 存取 Microsoft Defender 入口網站
- 使用 系統系統管理員的Linux散發套件
- Linux 和BASH腳本中的初學者層級體驗
- 裝置上的系統管理許可權 (手動部署)
注意事項
使用系統管理員的Linux散發套件支援 SystemV 和 Upstart。 Linux 代理程式上的 適用於端點的 Microsoft Defender 與 OMS 代理程序無關。 適用於端點的 Microsoft Defender依賴自己的獨立遙測管線。
系統需求
CPU:最小 1 個 CPU 核心。 針對高效能工作負載,建議使用更多核心。
磁碟空間:最小 2 GB。 針對高效能工作負載,可能需要更多磁碟空間。
記憶體:至少 1 GB 的 RAM。 針對高效能工作負載,可能需要更多記憶體。
注意事項
可能需要根據工作負載進行效能微調。 請參閱針對Linux上的 適用於端點的 Microsoft Defender效能問題進行疑難解答。
支援下列 Linux 伺服器發行版和 x64 (AMD64/EM64T) 和 x86_64 版本:
- Red Hat Enterprise Linux 7.2 或更新版本
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 7.2 或更高版本
- Ubuntu 16.04 LTS
- Ubuntu 18.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 22.04 LTS
- Ubuntu 24.04 LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12.x
- SUSE Linux Enterprise Server 15.x
- Oracle Linux 7.2 或更新版本
- Oracle Linux 8.x
- Oracle Linux 9.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33-38
- 斯洛奇 8.7 和更新版本
- 卡羅 9.2 和更新版本
- Alma 8.4 和更新版本
- Alma 9.2 和更新版本
- 水靈 2
ARM64 上的下列 Linux 伺服器發行版現在已在預覽版中受到支援:
- Ubuntu 20.04 ARM64
- Ubuntu 22.04 ARM64
- Amazon Linux 2 ARM64
- Amazon Linux 2023 ARM64
重要事項
Linux 上針對 ARM64 型 Linux 裝置的 適用於端點的 Microsoft Defender 支援現已處於預覽狀態。 如需詳細資訊,請參閱 Linux 上適用於 ARM64 型裝置的 適用於端點的 Microsoft Defender (預覽) 。
注意事項
不支援未明確列出的散發套件和版本 (即使它們衍生自正式支持的發行版) 也一樣。 發行新的套件版本之後,對前兩個版本的支援將縮小為僅限技術支援。 比本節所列舊的版本僅供技術升級支援使用。 Microsoft Defender 弱點管理 目前不支援在卡羅文和 Alma 上使用。 所有其他支持的發行版和版本 適用於端點的 Microsoft Defender 與核心版本無關。 核心版本的最低需求為 3.10.0-327 或以上。
注意
不支援在Linux上與其他
fanotify
型安全性解決方案並行執行適用於端點的Defender。 這可能會導致無法預期的結果,包括掛斷操作系統。 如果系統上有任何其他應用程式在封鎖模式中使用fanotify
,則應用程式會列在命令輸出的欄位中mdatp health
conflicting_applications
。 Linux FAPolicyD 功能會在封鎖模式中使用fanotify
,因此在作用中模式中執行適用於端點的 Defender 時不受支援。 在設定啟用至 被動模式的即時保護功能之後,您仍然可以安全地利用Linux EDR上的適用於端點的Defender功能。RTP、快速、完整和自訂掃描的支援檔案系統清單。
RTP、快速、完整掃描 自訂掃描 btrfs
RTP、快速、完整掃描支援的所有文件系統 ecryptfs
Efs
ext2
S3fs
ext3
Blobfuse
ext4
Lustr
fuse
glustrefs
fuseblk
Afs
jfs
sshfs
nfs
僅 (v3)cifs
overlay
smb
ramfs
gcsfuse
reiserfs
sysfs
tmpfs
udf
vfat
xfs
如果您使用 auditd 作為主要事件提供者,則必須啟用稽核
auditd
架構 () 。注意事項
新增至 的規則所擷
/etc/audit/rules.d/
取的系統事件會新增至audit.log
(的) ,而且可能會影響主機稽核和上游集合。 適用於端點的 Microsoft Defender 在Linux上新增的事件將會加上mdatp
索引鍵標記。/opt/microsoft/mdatp/sbin/wdavdaemon 需要可執行文件許可權。 如需詳細資訊,請參閱針對Linux上 適用於端點的 Microsoft Defender的安裝問題進行疑難解答中的。
安裝指示
有數種方法和部署工具可用來在Linux上安裝和設定 適用於端點的 Microsoft Defender。 開始之前,請確定符合 適用於端點的 Microsoft Defender 的最低需求。
您可以使用下列其中一種方法在 Linux 上部署 適用於端點的 Microsoft Defender:
- 若要使用命令行工具,請 參閱手動部署
- 若要使用 Puppet,請 參閱使用 Puppet 設定管理工具部署
- 若要使用 Ansible,請 參閱使用 Ansible 組態管理工具部署
- 若要使用 Chef,請 參閱使用 Chef 設定管理工具部署
- 若要使用 Saltstack,請 參閱使用 Saltstack 組態管理工具部署
- 若要安裝在 ARM64 型 Linux 伺服器上,請參閱 Linux 上適用於 ARM64 型裝置的 適用於端點的 Microsoft Defender (預覽) 。
如果您遇到任何安裝失敗,請參閱針對Linux上 適用於端點的 Microsoft Defender中的安裝失敗進行疑難解答。
重要事項
不支援在預設安裝路徑以外的任何位置安裝 適用於端點的 Microsoft Defender。
Linux 上的 適用於端點的 Microsoft Defender 會建立具有mdatp
隨機 UID 和 GID 的使用者。 如果您想要控制 UID 和 GID,請在安裝之前使用/usr/sbin/nologin
殼層選項建立mdatp
使用者。 以下是範例: mdatp:x:UID:GID::/home/mdatp:/usr/sbin/nologin
。
外部套件相依性
如果 適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗,您可以手動下載必要條件相依性。 mdatp 套件有下列外部套件相依性:
- mdatp RPM 套件需要
glibc >= 2.17
、audit
、policycoreutils
、semanage
selinux-policy-targeted
和mde-netfilter
- 針對 RHEL6,mdatp RPM 套件需要
audit
、policycoreutils
、libselinux
和mde-netfilter
- 若為 DEBIAN,mdatp 套件需要
libc6 >= 2.23
、uuid-runtime
、auditd
和mde-netfilter
套mde-netfilter
件也有下列套件相依性:
- 若為 DEBIAN,mde-netfilter 套件需要
libnetfilter-queue1
、 和libglib2.0-0
- 針對 RPM,mde-netfilter 套件需要
libmnl
、libnfnetlink
、libnetfilter_queue
和glib2
設定排除專案
將排除專案新增至 Microsoft Defender 防病毒軟體時,您應該留意 Microsoft Defender 防病毒軟體的常見排除錯誤。
網路連線
確定能夠從裝置連線到 適用於端點的 Microsoft Defender 雲端服務。 若要準備您的環境,請參閱 步驟 1:設定網路環境以確保與適用於端點的 Defender 服務連線。
Linux 上適用於端點的 Defender 可以使用下列發現方法,透過 Proxy 伺服器進行連線:
- 透明Proxy
- 手動靜態 Proxy 設定
如果 Proxy 或防火牆封鎖匿名流量,請確定在先前列出的 URL 中允許匿名流量。 針對透明 Proxy,不需要針對適用於端點的 Defender 進行其他設定。 針對靜態 Proxy,請遵循 手動靜態 Proxy 組態中的步驟。
警告
不支援 PAC、WPAD 和已驗證的 Proxy。 確定只使用靜態 Proxy 或透明 Proxy。 基於安全性考慮,也不支援SSL檢查和攔截 Proxy。 設定 SSL 檢查和 Proxy 伺服器的例外狀況,以直接將數據從 Linux 上的適用於端點的 Defender 傳遞至相關的 URL,而不需要攔截。 將您的攔截憑證新增至全域存放區將不允許攔截。
如需疑難解答步驟,請參閱針對Linux上 適用於端點的 Microsoft Defender的雲端連線問題進行疑難解答。
如何在Linux上更新 適用於端點的 Microsoft Defender
Microsoft定期發佈軟體更新,以改善效能、安全性,以及提供新功能。 若要更新 Linux 上的 適用於端點的 Microsoft Defender,請參閱在 Linux 上部署 適用於端點的 Microsoft Defender 的更新。
設定 Linux 上適用於端點的 Microsoft Defender 的方式
如需如何在企業環境中設定產品的指引,請參閱設定Linux上 適用於端點的 Microsoft Defender的喜好設定。
對 適用於端點的 Microsoft Defender的常見應用程式可能會造成影響
安裝 適用於端點的 Microsoft Defender 時,某些應用程式的高 I/O 工作負載可能會遇到效能問題。 這類開發人員案例的應用程式包括 Jenkins 和 Jira,以及 OracleDB 和 Postgres 等資料庫工作負載。 如果發生效能降低,請考慮設定受信任應用程式的排除專案,並記住 Microsoft Defender 防病毒軟體的常見排除錯誤。 如需更多指引,請考慮諮詢有關非Microsoft應用程式防病毒軟體排除的檔。
資源
- 如需記錄、卸載或其他文章的詳細資訊,請參閱 資源。
相關文章
- 使用適用於雲端的 Defender 整合式 EDR 解決方案來保護您的端點:適用於端點的 Microsoft Defender
- 將非 Azure 機器連線至雲端 Microsoft Defender
- 開啟Linux的網路保護
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。