Condividi tramite

Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Verificare che l'installazione sia riuscita

Un errore durante l'installazione potrebbe causare o meno un messaggio di errore significativo da parte di Gestione pacchetti. Per verificare se l'installazione è riuscita, ottenere e controllare i log di installazione usando:

sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

grep 'postinstall end' installation.log

microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Un output del comando precedente con la data e l'ora di installazione corrette indica l'esito positivo.

Controllare anche la configurazione client per verificare l'integrità del prodotto e rilevare il file di testo EICAR.

Assicurarsi di avere il pacchetto corretto

Verificare che il pacchetto che si sta installando corrisponda alla distribuzione e alla versione dell'host.


pacco distribuzione
mdatp-rhel8. Linux.x86_64.rpm Oracle, RHEL e CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm Oracle, RHEL e CentOS 7.x
mdatp. Linux.x86_64.deb Debian e Ubuntu 16.04, 18.04 e 20.04

Per la distribuzione manuale, assicurarsi che siano selezionate la distribuzione e la versione corrette.

Nota

MDE Linux non fornisce più una soluzione per RHEL 6.

Installazione non riuscita a causa di un errore di dipendenza

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze dei prerequisiti.

Esistono le dipendenze del pacchetto esterno seguenti per il pacchetto mdatp:

  • Il pacchetto RPM mdatp richiede glibc >= 2.17, , policycoreutilsaudit, semanage, , selinux-policy-targetedmde-netfilter
  • Per DEBIAN il pacchetto mdatp richiede libc6 >= 2.23, , uuid-runtime, auditdmde-netfilter

Il pacchetto mde-netfilter presenta anche le dipendenze del pacchetto seguenti:

  • Per DEBIAN il pacchetto mde-netfilter richiede libnetfilter-queue1, libglib2.0-0
  • Per RPM il pacchetto mde-netfilter richiede libmnl, , libnfnetlink, libnetfilter_queue, glib2

Installazione non riuscita

Controllare se il servizio Defender per endpoint è in esecuzione:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Procedura per risolvere i problemi se il servizio mdatp non è in esecuzione

  1. Verificare se mdatp l'utente esiste:

    id "mdatp"

    Se non è presente alcun output, eseguire

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp

  2. Provare ad abilitare e riavviare il servizio usando:

    sudo service mdatp start

    sudo service mdatp restart

  3. Se mdatp.service non viene trovato durante l'esecuzione del comando precedente, eseguire:

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path>

    dove <systemd_path> è /lib/systemd/system per le distribuzioni Ubuntu e Debian e /usr/lib/systemd/system' per Rhel, CentOS, Oracle e SLES. Eseguire quindi di nuovo il passaggio 2.

  4. Se i passaggi precedenti non funzionano, verificare se SELinux è installato e in modalità di applicazione. In tal caso, provare a impostarlo sulla modalità permissiva (preferibilmente) o disabilitata. Può essere eseguita impostando il parametro SELINUX su permissive o disabled nel /etc/selinux/config file, seguito dal riavvio. Per altri dettagli, controllare la pagina man di selinux.

    Provare ora a riavviare il servizio mdatp usando il passaggio 2. Ripristinare immediatamente la modifica della configurazione per motivi di sicurezza dopo il tentativo e il riavvio.

  5. Se /opt la directory è un collegamento simbolico, creare un montaggio di binding per /opt/microsoft.

  6. Assicurarsi che il daemon disponga dell'autorizzazione eseguibile.

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon

    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon

    Se il daemon non dispone di autorizzazioni eseguibili, renderlo eseguibile usando:

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon

    e riprovare a eseguire il passaggio 2.

  7. Assicurarsi che il file system contenente wdavdaemon non sia montato con noexec.

Se il servizio Defender per endpoint è in esecuzione, ma il rilevamento dei file di testo EICAR non funziona

  1. Controllare il tipo di file system usando:

    findmnt -T <path_of_EICAR_file>

    I file system attualmente supportati per l'attività di accesso sono elencati qui. Tutti i file al di fuori di questi file system non vengono analizzati.

Lo strumento da riga di comando mdatp non funziona

  1. Se l'esecuzione dello strumento mdatp da riga di comando restituisce un errore command not found, eseguire il comando seguente:

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp

    e riprovare.

    Se nessuno dei passaggi precedenti è utile, raccogliere i log di diagnostica:

    sudo mdatp diagnostic create

    Diagnostic file created: <path to file>

    Il percorso di un file ZIP che contiene i log viene visualizzato come output. Contattare il supporto tecnico con questi log.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.