手動在Linux上部署 適用於端點的 Microsoft Defender
適用於:
- 適用於端點的 Microsoft Defender 伺服器
- 伺服器的 Microsoft Defender
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
提示
要尋找在Linux上部署 適用於端點的 Microsoft Defender的進階指引嗎? 請參閱 Linux 上適用於端點的 Defender 的進階部署指南。
本文說明如何在Linux上手動部署 適用於端點的 Microsoft Defender。 成功部署需要完成下列所有工作:
必要條件和系統需求
開始之前,請參閱 Linux 上的 適用於端點的 Microsoft Defender,以取得目前軟體版本的必要條件和系統需求說明。
警告
在產品安裝之後,將您的操作系統升級至新的主要版本,需要重新安裝產品。 您必須 卸載 Linux 上現有的適用於端點的 Defender、升級作業系統,然後依照下列步驟在 Linux 上重新設定適用於端點的 Defender。
設定 Linux 軟體存放庫
Linux 上適用於端點的 Defender 可以從下列其中一個通道部署, (表示為 [channel ]) : 測試人員快速、 測試人員速度緩慢或 prod
。 每個通道都會對應至 Linux 軟體存放庫。 本文中的指示說明如何將裝置設定為使用其中一個存放庫。
通道的選擇會決定提供給您裝置的更新類型和頻率。
測試人員快速中的裝置是第一個接收更新和新功能的裝置,後面接著測試人員速度緩慢,最後是。prod
為了預覽新功能並提供早期的意見反應,建議您將企業中的某些裝置設定為使用 測試人員快速 或 測試人員速度緩慢。
警告
在初始安裝之後切換通道需要重新安裝產品。 若要切換產品通道:卸載現有的套件,請將裝置重新設定為使用新通道,並遵循本檔中的步驟,從新位置安裝套件。
安裝程式腳本
當我們討論手動安裝時,您也可以使用公用 GitHub 存放庫中提供的自動化安裝程式 bash 腳本。 腳本會識別散發套件和版本、簡化正確存放庫的選取、設定裝置以提取最新的套件,以及結合產品安裝和上線步驟。
> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
如需詳細資訊,請參閱 這裡。
CENTOS、Fedora、Oracle Linux、Amazon Linux 2、Marketplace 和 Alma (RHEL 和變體)
如果尚未安裝,請安裝
yum-utils
:sudo yum install yum-utils
注意事項
您的散發套件和版本,並依主要 (識別最接近的專案,然後在 底下
https://packages.microsoft.com/config/rhel/
為其) 次要專案。使用下表協助引導您尋找套件:
散發 & 版本 套件 適用於Alma 8.4和更新版本 https://packages.microsoft.com/config/alma/8/prod.repo 適用於Alma 9.2和更新版本 https://packages.microsoft.com/config/alma/9/prod.repo 若為 RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo 適用於 RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo 針對 RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo 針對 Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo 針對 Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo 若為8.7及更新版本的版本 https://packages.microsoft.com/config/rocky/8/prod.repo 若為 9.2 和更新版本,則為 https://packages.microsoft.com/config/rocky/9/prod.repo 在下列命令中,將 [version] 和 [channel] 取代為您已識別的資訊:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
提示
使用 hostnamectl 命令來識別系統相關信息,包括版本 [version]。
例如,如果您正在執行 CentOS 7,而且想要從通道在 Linux 上部署適用於端點的
prod
Defender:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
或者,如果您想要探索所選裝置上的新功能,您可能想要在Linux上將 適用於端點的 Microsoft Defender 部署到測試人員快速通道:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
安裝 Microsoft GPG 公鑰:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES 和變體
注意事項
您的散發套件和版本,並依主要 (識別最接近的專案,然後在 底下 https://packages.microsoft.com/config/sles/
為其) 次要專案。
在下列命令中,將 [distro] 和 [version] 取代為您已識別的資訊:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
提示
使用 SPident 命令來識別系統相關信息,包括版本 [version]。
例如,如果您執行 SLES 12,並想要從prod
通道在 Linux 上部署 適用於端點的 Microsoft Defender:
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
安裝 Microsoft GPG 公鑰:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu 和 Debian 系統
如果尚未安裝,請安裝
curl
:sudo apt-get install curl
如果尚未安裝,請安裝
libplist-utils
:sudo apt-get install libplist-utils
注意事項
您的散發套件和版本,並依主要 (識別最接近的專案,然後在 底下
https://packages.microsoft.com/config/[distro]/
為其) 次要專案。在下列命令中,將 [distro] 和 [version] 取代為您已識別的資訊:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
提示
使用 hostnamectl 命令來識別系統相關信息,包括版本 [version]。
例如,如果您執行的是Ubuntu18.04,而且想要從
prod
通道在Linux上部署 適用於端點的 Microsoft Defender:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
安裝存放庫組態:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
例如,如果您選擇通道
prod
:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
如果尚未安裝,
gpg
請安裝套件:sudo apt-get install gpg
如果
gpg
無法使用,請安裝gnupg
。sudo apt-get install gnupg
安裝 Microsoft GPG 公鑰:
針對 Debian 11 和更早版本,執行下列命令。
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
針對 Debian 12 和更新版本,執行下列命令。
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
如果尚未安裝,請安裝 HTTPS 驅動程式:
sudo apt-get install apt-transport-https
更新存放庫元資料:
sudo apt-get update
水手
如果尚未安裝,請安裝
dnf-plugins-core
:sudo dnf install dnf-plugins-core
設定和啟用必要的存放庫
注意事項
在總管上,無法使用測試人員快速通道。
如果您想要從通道在Linux上部署適用於端點的
prod
Defender。 使用下列命令sudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
或者,如果您想要探索所選裝置上的新功能,您可能想要在Linux上將 適用於端點的 Microsoft Defender部署到測試人員緩慢的通道。 使用下列命令:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
應用程式安裝
CENTOS、Fedora、Oracle Linux、Amazon Linux 2、Marketplace 和 Alma (RHEL 和變體)
sudo yum install mdatp
注意事項
如果您在裝置上設定了多個Microsoft存放庫,您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast
已在此裝置上設定存放庫通道,如何從production
通道安裝套件。 如果您在裝置上使用多個Microsoft產品,就可能發生這種情況。 根據散發套件和伺服器版本,存放庫別名可能與下列範例中的別名不同。
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES 和變體
sudo zypper install mdatp
注意事項
如果您在裝置上設定了多個Microsoft存放庫,您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast
已在此裝置上設定存放庫通道,如何從production
通道安裝套件。 如果您在裝置上使用多個Microsoft產品,就可能發生這種情況。
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu 和 Debian 系統
sudo apt-get install mdatp
注意事項
如果您在裝置上設定了多個Microsoft存放庫,您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast
已在此裝置上設定存放庫通道,如何從production
通道安裝套件。 如果您在裝置上使用多個Microsoft產品,就可能發生這種情況。
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
注意事項
在Linux上安裝或更新 適用於端點的 Microsoft Defender 之後不需要重新啟動,除非您以不可變模式執行 auditD。
水手
sudo dnf install mdatp
注意事項
如果您在裝置上設定了多個Microsoft存放庫,您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-slow
已在此裝置上設定存放庫通道,如何從production
通道安裝套件。 如果您在裝置上使用多個Microsoft產品,就可能發生這種情況。
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
下載上線套件
從入口網站下載上線套件 Microsoft Defender。
警告
不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響,並導致不良結果,包括但不限於觸發竄改警示和無法套用更新。
重要事項
如果您錯過此步驟,任何執行的命令都會顯示警告訊息,指出產品未授權。 此外, mdatp health
命令會傳回的 false
值。
在 Microsoft Defender 入口網站中,移至 [設定>端點>裝置管理>上線]。
在第一個下拉功能表中,選取 [Linux Server ] 作為操作系統。 在第二個下拉功能表中,選取 [ 本機腳本 ] 作為部署方法。
選取 [下載上線套件]。 將檔案儲存為 WindowsDefenderATPOnboardingPackage.zip。
從命令提示字元中,確認您有檔案,然後擷取封存的內容:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
客戶端設定
將 MicrosoftDefenderATPOnboardingLinuxServer.py 複製到目標裝置。
注意事項
一開始,用戶端裝置未與組織相關聯,且 orgId 屬性為空白。
mdatp health --field org_id
執行 MicrosoftDefenderATPOnboardingLinuxServer.py。
注意事項
若要執行此指令,您必須根據發行版和版本,在裝置上安裝
python
或python3
安裝 。 如有需要,請參閱在 Linux上安裝 Python 的逐步指示。注意事項
若要將先前已脫機的裝置上線,您必須移除位於 /etc/opt/microsoft/mdatp 的mdatp_offboard.json檔案。
如果您執行 RHEL 8.x 或 Ubuntu 20.04 或更新版本,則必須使用
python3
。sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
針對其餘散發版本和版本,您必須使用
python
。sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
確認裝置現在已與您的組織相關聯,並報告有效的組織標識碼:
mdatp health --field org_id
執行下列命令來檢查產品的健全狀況狀態。 的
true
傳回值表示產品如預期般運作:mdatp health --field healthy
重要事項
當產品第一次啟動時,它會下載最新的反惡意代碼定義。 視網路連線能力而定,這可能需要幾分鐘的時間。 在這段期間,上述命令會傳回的
false
值。 您可以使用下列命令來檢查定義更新的狀態:mdatp health --field definitions_status
請注意,您可能也必須在完成初始安裝之後設定 Proxy。 如 需靜態 Proxy 探索,請參閱在 Linux 上設定適用於端點的 Defender:安裝後設定。
執行AV偵測測試,以確認裝置已正確上線,並回報給服務。 在新上線的裝置上執行下列步驟:
請確定已啟用即時保護 (藉由執行下列命令的結果
true
來表示) :mdatp health --field real_time_protection_enabled
如果未啟用,請執行下列命令:
mdatp config real-time-protection --value enabled
開啟終端機視窗,然後執行下列命令以執行偵測測試:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
您可以使用下列其中一個命令,在 zip 檔案上執行更多偵測測試:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
Linux 上適用於端點的 Defender 應該隔離這些檔案。 使用下列命令來列出所有偵測到的威脅:
mdatp threat list
執行 EDR 偵測測試並模擬偵測,以確認裝置已正確上線並回報給服務。 在新上線的裝置上執行下列步驟:
確認已上線的Linux伺服器出現在 Microsoft Defender 全面偵測回應中。 如果這是機器第一次上線,則最多可能需要 20 分鐘的時間,直到出現為止。
將 腳稿檔案 下載並解壓縮至已上線的 Linux 伺服器,然後執行下列命令:
./mde_linux_edr_diy.sh
幾分鐘后,應該會在 Microsoft Defender 全面偵測回應 中引發偵測。
查看警示詳細數據、計算機時間軸,並執行一般調查步驟。
適用於端點的 Microsoft Defender 套件外部套件相依性
mdatp 套件有下列外部套件相依性:
- mdatp RPM 套件需要
glibc >= 2.17
、、policycoreutils
、selinux-policy-targeted
mde-netfilter
- 若為 DEBIAN,mdatp 套件需要
libc6 >= 2.23
、、uuid-runtime
mde-netfilter
- 若為伺服器,mdatp 套件需要 、、、、、、、
selinux-policy
、policycoreutils
diffutils
libselinux-utils
libattr
libacl
attr
mde-netfilter
注意事項
從 版本 101.24082.0004
開始,適用於 Linux 上的適用於端點的 Defender 不再支援 Auditd
事件提供者。 我們正在完全轉換為更有效率的 eBPF 技術。
如果您的計算機不支援 eBPF,或有特定需求需要保留在 Auditd 上,而且您的機器使用 Linux 版或更低版本 101.24072.0001
的適用於端點的 Defender,則 mdatp 會存在下列與稽核套件的其他相依性:
- mdatp RPM 套件需要
audit
、semanage
。 - 若為 DEBIAN,mdatp 套件需要
auditd
。 - 若為體管,mdatp 套件需要
audit
。
mde-netfilter 套件也有下列套件相依性:
- 若為 DEBIAN,mde-netfilter 套件需要
libnetfilter-queue1
、libglib2.0-0
- 針對 RPM,mde-netfilter 套件需要
libmnl
、、libnfnetlink
、libnetfilter_queue
glib2
- 若為 Manifestr,mde-netfilter 套件需要
libnfnetlink
、libnetfilter_queue
如果 適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗,您可以手動下載必要條件相依性。
記錄安裝問題
如需有關如何尋找安裝程式在錯誤發生時所建立之自動產生的記錄檔的詳細資訊,請參閱記錄 安裝問題 。
如何從 Insiders-Fast 移轉至生產通道
在 Linux 上卸載
Insiders-Fast channel
適用於端點的 Defender 版本。sudo yum remove mdatp
在 Linux 上停用適用於端點的 Defender Insiders-Fast 存放庫
sudo yum repolist
注意事項
輸出應該會顯示
packages-microsoft-com-fast-prod
。sudo yum-config-manager --disable packages-microsoft-com-fast-prod
使用生產通道在Linux上重新部署 適用於端點的 Microsoft Defender。
卸載
如需如何從用戶端裝置移除 Linux 上適用於端點的 Defender 的詳細資訊,請參閱 卸載 。
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。