共用方式為


手動在Linux上部署 適用於端點的 Microsoft Defender

適用於

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

提示

要尋找在Linux上部署 適用於端點的 Microsoft Defender的進階指引嗎? 請參閱 Linux 上適用於端點的 Defender 的進階部署指南

本文說明如何在Linux上手動部署 適用於端點的 Microsoft Defender。 成功部署需要完成下列所有工作:

必要條件和系統需求

開始之前,請參閱 Linux 上的 適用於端點的 Microsoft Defender,以取得目前軟體版本的必要條件和系統需求說明。

警告

在產品安裝之後,將您的操作系統升級至新的主要版本,需要重新安裝產品。 您必須 卸載 Linux 上現有的適用於端點的 Defender、升級作業系統,然後依照下列步驟在 Linux 上重新設定適用於端點的 Defender。

設定 Linux 軟體存放庫

Linux 上適用於端點的 Defender 可以從下列其中一個通道部署, (表示為 [channel ]) : 測試人員快速測試人員速度緩慢prod。 每個通道都會對應至 Linux 軟體存放庫。 本文中的指示說明如何將裝置設定為使用其中一個存放庫。

通道的選擇會決定提供給您裝置的更新類型和頻率。 測試人員快速中的裝置是第一個接收更新和新功能的裝置,後面接著測試人員速度緩慢,最後是。prod

為了預覽新功能並提供早期的意見反應,建議您將企業中的某些裝置設定為使用 測試人員快速測試人員速度緩慢

警告

在初始安裝之後切換通道需要重新安裝產品。 若要切換產品通道:卸載現有的套件,請將裝置重新設定為使用新通道,並遵循本檔中的步驟,從新位置安裝套件。

安裝程式腳本

當我們討論手動安裝時,您也可以使用公用 GitHub 存放庫中提供的自動化安裝程式 bash 腳本。 腳本會識別散發套件和版本、簡化正確存放庫的選取、設定裝置以提取最新的套件,以及結合產品安裝和上線步驟。

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

如需詳細資訊,請參閱 這裡

CENTOS、Fedora、Oracle Linux、Amazon Linux 2、Marketplace 和 Alma (RHEL 和變體)

SLES 和變體

注意事項

您的散發套件和版本,並依主要 (識別最接近的專案,然後在 底下 https://packages.microsoft.com/config/sles/為其) 次要專案。

在下列命令中,將 [distro][version] 取代為您已識別的資訊:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

提示

使用 SPident 命令來識別系統相關信息,包括版本 [version]

例如,如果您執行 SLES 12,並想要從prod通道在 Linux 上部署 適用於端點的 Microsoft Defender:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
  • 安裝 Microsoft GPG 公鑰:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Ubuntu 和 Debian 系統

  • 如果尚未安裝,請安裝 curl

    sudo apt-get install curl
    
  • 如果尚未安裝,請安裝 libplist-utils

    sudo apt-get install libplist-utils
    

    注意事項

    您的散發套件和版本,並依主要 (識別最接近的專案,然後在 底下 https://packages.microsoft.com/config/[distro]/為其) 次要專案。

    在下列命令中,將 [distro][version] 取代為您已識別的資訊:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    提示

    使用 hostnamectl 命令來識別系統相關信息,包括版本 [version]

    例如,如果您執行的是Ubuntu18.04,而且想要從prod通道在Linux上部署 適用於端點的 Microsoft Defender:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  • 安裝存放庫組態:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    例如,如果您選擇通道 prod

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  • 如果尚未安裝, gpg 請安裝套件:

    sudo apt-get install gpg
    

    如果 gpg 無法使用,請安裝 gnupg

    sudo apt-get install gnupg
    
  • 安裝 Microsoft GPG 公鑰:

    • 針對 Debian 11 和更早版本,執行下列命令。

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      
    • 針對 Debian 12 和更新版本,執行下列命令。

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      
  • 如果尚未安裝,請安裝 HTTPS 驅動程式:

    sudo apt-get install apt-transport-https
    
  • 更新存放庫元資料:

    sudo apt-get update
    

水手

  • 如果尚未安裝,請安裝 dnf-plugins-core

    sudo dnf install dnf-plugins-core
    
  • 設定和啟用必要的存放庫

    注意事項

    在總管上,無法使用測試人員快速通道。

    如果您想要從通道在Linux上部署適用於端點的 prod Defender。 使用下列命令

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    或者,如果您想要探索所選裝置上的新功能,您可能想要在Linux上將 適用於端點的 Microsoft Defender部署到測試人員緩慢的通道。 使用下列命令:

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

應用程式安裝

CENTOS、Fedora、Oracle Linux、Amazon Linux 2、Marketplace 和 Alma (RHEL 和變體)

sudo yum install mdatp

注意事項

如果您在裝置上設定了多個Microsoft存放庫,您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast已在此裝置上設定存放庫通道,如何從production通道安裝套件。 如果您在裝置上使用多個Microsoft產品,就可能發生這種情況。 根據散發套件和伺服器版本,存放庫別名可能與下列範例中的別名不同。

# list all repositories
yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES 和變體

sudo zypper install mdatp

注意事項

如果您在裝置上設定了多個Microsoft存放庫,您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast已在此裝置上設定存放庫通道,如何從production通道安裝套件。 如果您在裝置上使用多個Microsoft產品,就可能發生這種情況。

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu 和 Debian 系統

sudo apt-get install mdatp

注意事項

如果您在裝置上設定了多個Microsoft存放庫,您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-fast已在此裝置上設定存放庫通道,如何從production通道安裝套件。 如果您在裝置上使用多個Microsoft產品,就可能發生這種情況。

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

注意事項

在Linux上安裝或更新 適用於端點的 Microsoft Defender 之後不需要重新啟動,除非您以不可變模式執行 auditD。

水手

sudo dnf install mdatp

注意事項

如果您在裝置上設定了多個Microsoft存放庫,您可以具體說明要從哪個存放庫安裝套件。 下列範例示範如果您也insiders-slow已在此裝置上設定存放庫通道,如何從production通道安裝套件。 如果您在裝置上使用多個Microsoft產品,就可能發生這種情況。

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

下載上線套件

從入口網站下載上線套件 Microsoft Defender。

警告

不支援重新封裝適用於端點的Defender安裝套件。 這樣做可能會對產品的完整性造成負面影響,並導致不良結果,包括但不限於觸發竄改警示和無法套用更新。

重要事項

如果您錯過此步驟,任何執行的命令都會顯示警告訊息,指出產品未授權。 此外, mdatp health 命令會傳回的 false值。

  1. 在 Microsoft Defender 入口網站中,移至 [設定>端點>裝置管理>上線]

  2. 在第一個下拉功能表中,選取 [Linux Server ] 作為操作系統。 在第二個下拉功能表中,選取 [ 本機腳本 ] 作為部署方法。

  3. 選取 [下載上線套件]。 將檔案儲存為 WindowsDefenderATPOnboardingPackage.zip。

    在 Microsoft Defender 入口網站中下載上線套件

  4. 從命令提示字元中,確認您有檔案,然後擷取封存的內容:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

客戶端設定

  1. 將 MicrosoftDefenderATPOnboardingLinuxServer.py 複製到目標裝置。

    注意事項

    一開始,用戶端裝置未與組織相關聯,且 orgId 屬性為空白。

    mdatp health --field org_id
    
  2. 執行 MicrosoftDefenderATPOnboardingLinuxServer.py。

    注意事項

    若要執行此指令,您必須根據發行版和版本,在裝置上安裝 pythonpython3 安裝 。 如有需要,請參閱在 Linux上安裝 Python 的逐步指示

    注意事項

    若要將先前已脫機的裝置上線,您必須移除位於 /etc/opt/microsoft/mdatp 的mdatp_offboard.json檔案。

    如果您執行 RHEL 8.x 或 Ubuntu 20.04 或更新版本,則必須使用 python3

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    針對其餘散發版本和版本,您必須使用 python

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. 確認裝置現在已與您的組織相關聯,並報告有效的組織標識碼:

    mdatp health --field org_id
    
  4. 執行下列命令來檢查產品的健全狀況狀態。 的 true 傳回值表示產品如預期般運作:

    mdatp health --field healthy
    

    重要事項

    當產品第一次啟動時,它會下載最新的反惡意代碼定義。 視網路連線能力而定,這可能需要幾分鐘的時間。 在這段期間,上述命令會傳回的 false值。 您可以使用下列命令來檢查定義更新的狀態:

    mdatp health --field definitions_status
    

    請注意,您可能也必須在完成初始安裝之後設定 Proxy。 如 需靜態 Proxy 探索,請參閱在 Linux 上設定適用於端點的 Defender:安裝後設定

  5. 執行AV偵測測試,以確認裝置已正確上線,並回報給服務。 在新上線的裝置上執行下列步驟:

    • 請確定已啟用即時保護 (藉由執行下列命令的結果 true 來表示) :

      mdatp health --field real_time_protection_enabled
      

      如果未啟用,請執行下列命令:

      mdatp config real-time-protection --value enabled
      
    • 開啟終端機視窗,然後執行下列命令以執行偵測測試:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    • 您可以使用下列其中一個命令,在 zip 檔案上執行更多偵測測試:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      
    • Linux 上適用於端點的 Defender 應該隔離這些檔案。 使用下列命令來列出所有偵測到的威脅:

      mdatp threat list
      
  6. 執行 EDR 偵測測試並模擬偵測,以確認裝置已正確上線並回報給服務。 在新上線的裝置上執行下列步驟:

    • 確認已上線的Linux伺服器出現在 Microsoft Defender 全面偵測回應中。 如果這是機器第一次上線,則最多可能需要 20 分鐘的時間,直到出現為止。

    • 腳稿檔案 下載並解壓縮至已上線的 Linux 伺服器,然後執行下列命令: ./mde_linux_edr_diy.sh

    • 幾分鐘后,應該會在 Microsoft Defender 全面偵測回應 中引發偵測。

    • 查看警示詳細數據、計算機時間軸,並執行一般調查步驟。

適用於端點的 Microsoft Defender 套件外部套件相依性

mdatp 套件有下列外部套件相依性:

  • mdatp RPM 套件需要 glibc >= 2.17、、policycoreutilsselinux-policy-targetedmde-netfilter
  • 若為 DEBIAN,mdatp 套件需要 libc6 >= 2.23、、 uuid-runtimemde-netfilter
  • 若為伺服器,mdatp 套件需要 、、、、、、、selinux-policypolicycoreutilsdiffutilslibselinux-utilslibattrlibaclattrmde-netfilter

注意事項

從 版本 101.24082.0004開始,適用於 Linux 上的適用於端點的 Defender 不再支援 Auditd 事件提供者。 我們正在完全轉換為更有效率的 eBPF 技術。 如果您的計算機不支援 eBPF,或有特定需求需要保留在 Auditd 上,而且您的機器使用 Linux 版或更低版本 101.24072.0001 的適用於端點的 Defender,則 mdatp 會存在下列與稽核套件的其他相依性:

  • mdatp RPM 套件需要 auditsemanage
  • 若為 DEBIAN,mdatp 套件需要 auditd
  • 若為體管,mdatp 套件需要 audit

mde-netfilter 套件也有下列套件相依性:

  • 若為 DEBIAN,mde-netfilter 套件需要 libnetfilter-queue1libglib2.0-0
  • 針對 RPM,mde-netfilter 套件需要 libmnl、、libnfnetlinklibnetfilter_queueglib2
  • 若為 Manifestr,mde-netfilter 套件需要 libnfnetlinklibnetfilter_queue

如果 適用於端點的 Microsoft Defender 安裝因為遺漏相依性錯誤而失敗,您可以手動下載必要條件相依性。

記錄安裝問題

如需有關如何尋找安裝程式在錯誤發生時所建立之自動產生的記錄檔的詳細資訊,請參閱記錄 安裝問題

如何從 Insiders-Fast 移轉至生產通道

  1. 在 Linux 上卸載 Insiders-Fast channel 適用於端點的 Defender 版本。

    sudo yum remove mdatp
    
  2. 在 Linux 上停用適用於端點的 Defender Insiders-Fast 存放庫

    sudo yum repolist
    

    注意事項

    輸出應該會顯示 packages-microsoft-com-fast-prod

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. 使用生產通道在Linux上重新部署 適用於端點的 Microsoft Defender。

卸載

如需如何從用戶端裝置移除 Linux 上適用於端點的 Defender 的詳細資訊,請參閱 卸載

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。