Развертывание Microsoft Defender для конечной точки на Linux вручную

Вы можете развернуть Defender for Endpoint в Linux различными способами и средствами. В этой статье описывается, как вручную развернуть Defender для конечных точек в Linux. Чтобы использовать другой метод, см. раздел Связанное содержимое.

Примечание.

Мы настоятельно рекомендуем использовать метод развертывания средства развертывания Defender , так как он упрощает процесс подключения, сокращает количество ручных задач и поддерживает широкий спектр сценариев развертывания, включая новые установки, обновления и удаления. Дополнительные сведения см. в документации.

Важно!

Если вы хотите параллельно запустить несколько решений безопасности, см. раздел Рекомендации по производительности, конфигурации и поддержке.

Возможно, вы уже настроили взаимные исключения безопасности для устройств, подключенных к Microsoft Defender для конечной точки. Если вам по-прежнему нужно настроить взаимные исключения, чтобы избежать конфликтов, см. раздел Добавление Microsoft Defender для конечной точки в список исключений для существующего решения.

Действия по развертыванию вручную

Для успешного развертывания требуется выполнить все следующие задачи:

Предварительные требования и требования к системе

Прежде чем начать, ознакомьтесь с разделом Предварительные требования для Defender для конечной точки на Linux, чтобы узнать о предварительных требованиях и требованиях к системе для текущей версии программного обеспечения.

Предупреждение

Для обновления операционной системы до новой основной версии после установки продукта требуется переустановка продукта. Необходимо удалить существующий Defender для конечной точки в приложении Linux, обновить операционную систему, а затем перенастроить Defender для конечной точки в Linux, следуя инструкциям, описанным в этой статье.

Настройка репозитория программного обеспечения Linux

Защитник для конечной точки в Linux можно развернуть через один из следующих каналов (обозначаемого как [channel]): insiders-fast, insiders-slow или prod. Каждый из этих каналов соответствует репозиторию программного обеспечения Linux. Инструкции в этой статье описывают настройку устройства для использования одного из этих репозиториев.

Выбор канала определяет тип и частоту обновлений, предлагаемых вашему устройству. Устройства в insiders-fast первыми получают обновления и новые функции, затем — устройства в insiders-slow, и в последнюю очередь — prod.

Чтобы предварительно оценить новые функции и предоставить отзывы на раннем этапе, рекомендуется настроить некоторые устройства в вашей организации на использование либо insiders-fast, либо insiders-slow.

Предупреждение

Переключение канала после начальной установки требует переустановки продукта. Чтобы переключить канал продукта, удалите существующий пакет, перенастройте устройство для использования нового канала и выполните действия, описанные в этом документе, чтобы установить пакет из нового расположения.

RHEL и варианты (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky и Alma)

Вы можете использовать менеджер пакетов dnf или yum для развертывания Defender for Endpoint в Linux для RHEL и его производных. Инструкции в следующих разделах включают команды для обоих диспетчеров пакетов. используйте только соответствующий.

  1. Установите dnf-plugins-core или yum-utils, если тот, который вы хотите использовать, ещё не установлен:

    sudo dnf install dnf-plugins-core
    

    или

    sudo yum install yum-utils
    
  2. Найдите правильный пакет для дистрибутива и версии. Используйте следующую таблицу, чтобы помочь вам найти пакет:

    Версия дистрибутива & Пакет
    Альма 8.4 и выше https://packages.microsoft.com/config/alma/8/prod.repo
    Альма 9.2 и выше https://packages.microsoft.com/config/alma/9/prod.repo
    RHEL/Centos/Oracle 9.0–9.8 https://packages.microsoft.com/config/rhel/9/prod.repo
    RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo
    RHEL/Centos/Oracle 7.2-7.9 https://packages.microsoft.com/config/rhel/7.2/prod.repo
    Amazon Linux 2 https://packages.microsoft.com/config/amazonlinux/2/prod.repo
    Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
    Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo
    Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo
    Rocky 8.7 и выше https://packages.microsoft.com/config/rocky/8/prod.repo
    Rocky 9.2 и выше https://packages.microsoft.com/config/rocky/9/prod.repo

    Примечание.

    Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе https://packages.microsoft.com/config/rhel/.

    Совет

    Инструменты оперативного исправления ядра, такие как Ksplice и аналогичные, могут непредсказуемо повлиять на стабильность ОС, если запущен Defender for Endpoint. Перед выполнением установки исправлений ядра в режиме онлайн рекомендуется временно остановить демон Defender for Endpoint. После обновления ядра можно безопасно перезапустить Defender for Endpoint в Linux. Это действие особенно важно для систем под управлением Oracle Linux.

  3. В следующих командах замените [версию] и [канал] сведениями, которые вы определили:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    или

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
    

    Совет

    Используйте команду hostnamectl для определения сведений о системе, включая выпуск [версия].

    Например, если вы используете CentOS 8 и хотите развернуть Defender для конечных точек в Linux из канала prod:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/prod.repo
    

    или

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo
    

    Или, если вы хотите опробовать новые функции на определённых устройствах, возможно, стоит развернуть Defender for Endpoint on Linux в канале insiders-fast:

    sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/insiders-fast.repo
    

    или

    sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/insiders-fast.repo
    
  4. Установите открытый ключ Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

SLES и варианты

Примечание.

Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе https://packages.microsoft.com/config/sles/.

  1. В следующих командах замените [дистрибутив] и [версию] сведениями, которые вы определили:

    sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
    

    Совет

    Используйте команду SPident, чтобы определить системные сведения, включая выпуск [версия].

    Например, если вы используете SLES 12 и хотите развернуть Defender для конечной точки в Linux из канала prod:

    sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
    
  2. Установите открытый ключ Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
    

Системы Ubuntu и Debian

  1. Установите curl, если это еще не сделано:

    sudo apt install curl
    
  2. Установите libplist-utils, если он еще не установлен:

    sudo apt install libplist-utils
    

    Примечание.

    Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе https://packages.microsoft.com/config/[distro]/.

  3. В следующей команде замените [дистрибутив] и [версию] указанными сведениями:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
    

    Совет

    Используйте команду hostnamectl для определения сведений о системе, включая выпуск [версия].

    Например, если вы работаете под Ubuntu 18.04 и хотите развернуть Defender for Endpoint в Linux из канала prod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
    
  4. Установите конфигурацию репозитория:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
    

    Например, если вы выбрали prod канал:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
    
  5. Установите пакет, gpg если он еще не установлен:

    sudo apt install gpg
    

    Если gpg недоступен, установите gnupg.

    sudo apt install gnupg
    
  6. Установите открытый ключ Microsoft GPG:

    • Для Debian 11/Ubuntu 22.04 и более ранних версий выполните следующие команды.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
      sudo chmod o+r /etc/apt/trusted.gpg.d/microsoft.gpg
      
    • Для Debian 12, Ubuntu 24.04 и более поздних версий выполните следующие команды.

      curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg
      
    • Для Debian 13 и более поздних версий выполните следующие команды.

      curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
      sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg
      
  7. Установите драйвер HTTPS, если он еще не установлен:

    sudo apt install apt-transport-https
    
  8. Обновите метаданные репозитория:

    sudo apt update
    

Mariner

  1. Установите dnf-plugins-core, если он ещё не установлен:

    sudo dnf install dnf-plugins-core
    
  2. Настройте и включите необходимые репозитории.

    Примечание.

    В Mariner канал Insider Fast недоступен.

    Если вы хотите развернуть Microsoft Defender для конечной точки на Linux из канала prod. Используйте следующие команды

    sudo dnf install mariner-repos-extras
    sudo dnf config-manager --enable mariner-official-extras
    

    Или, если вы хотите ознакомиться с новыми функциями на определённых устройствах, вам может потребоваться развернуть Microsoft Defender for Endpoint on Linux в канале insiders-slow. Используйте следующие команды:

    sudo dnf install mariner-repos-extras-preview
    sudo dnf config-manager --enable mariner-official-extras-preview
    

Подготовка к установке в выбранное расположение

Эти действия применимы только в том случае, если Defender должен быть установлен в пользовательском расположении. Подробные инструкции по установке Microsoft Defender для конечной точки в настраиваемое расположение см. в статье Установка вручную: подготовка перед установкой.

Дополнительные сведения об установке в пользовательское расположение см. в статье Включение развертывания Defender for Endpoint в ОС Linux в пользовательском расположении.

Установка приложения

Используйте команды из следующих разделов, чтобы установить Microsoft Defender for Endpoint в вашем дистрибутиве Linux.

RHEL и варианты (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky и Alma)

sudo dnf install mdatp

или

sudo yum install mdatp

Примечание.

Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала production, если на этом устройстве также настроен канал репозитория insiders-fast. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве. В зависимости от дистрибутива и версии сервера псевдоним репозитория может отличаться от псевдонима в следующем примере.

# list all repositories
sudo dnf repolist

или

# list all repositories
sudo yum repolist
...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

Например, чтобы установить пакет из рабочего репозитория:

sudo dnf --enablerepo=packages-microsoft-com-prod install mdatp

или

sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES и варианты

sudo zypper install mdatp

Примечание.

Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала production, если на этом устройстве также настроен канал репозитория insiders-fast. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.

zypper repos
...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp

Системы Ubuntu и Debian

sudo apt install mdatp

Примечание.

Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала production, если на этом устройстве также настроен канал репозитория insiders-fast. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.

Номера версий и имена кода выпуска в следующих фрагментах кода являются примерами. Используйте фактическое имя кода выпуска, возвращаемое командой Bash.

cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp

Примечание.

Перезагрузки не требуются после установки или обновления Microsoft Defender для конечной точки на Linux за исключением случаев, когда выполняется auditD в неизменяемом режиме.

Mariner

sudo dnf install mdatp

Примечание.

Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала production, если на этом устройстве также настроен канал репозитория insiders-slow. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Скачивание пакета подключения

Скачайте пакет подключения с портала Microsoft Defender.

Предупреждение

Переупаковка установочного пакета Defender for Endpoint не поддерживается. Это может негативно повлиять на целостность продукта и привести к нежелательным последствиям, включая, помимо прочего, срабатывание предупреждений о вмешательстве и невозможность установки обновлений.

Важно!

Если вы пропустите этот шаг, любая выполненная команда отображает предупреждающее сообщение о том, что продукт не лицензирован. Кроме того, mdatp health команда возвращает значение false.

  1. На портале Microsoft Defender перейдите в раздел Система>Параметры>Конечные точки>Управление устройствами>Подключение.

  2. В первом раскрывающемся меню выберите Linux Server в качестве операционной системы. Во втором раскрывающемся меню выберите Локальный скрипт в качестве метода развертывания.

  3. Выберите Скачать пакет подключения. Сохраните файл как WindowsDefenderATPOnboardingPackage.zip.

  4. В командной строке убедитесь, что у вас есть файл, и извлеките содержимое архива:

    ls -l
    
    total 8
    -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
    
    unzip WindowsDefenderATPOnboardingPackage.zip
    
    Archive:  WindowsDefenderATPOnboardingPackage.zip
    inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
    

Конфигурация клиента

  1. Скопируйте MicrosoftDefenderATPOnboardingLinuxServer.py на целевое устройство.

    Примечание.

    Изначально клиентское устройство не связано с организацией, а атрибут orgId пуст.

    mdatp health --field org_id
    
  2. В зависимости от сценария выполните одну из следующих команд:

    Примечание.

    Чтобы выполнить эту команду, на устройстве должны быть установлены python или python3 в зависимости от дистрибутива и его версии. При необходимости см. пошаговые инструкции по установке Python на Linux.

    Если вы используете RHEL 8.x или Ubuntu 20.04 или более поздней версии, необходимо использовать python3. Выполните следующую команду:

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
    

    Для других дистрибутивов и версий необходимо использовать python. Выполните следующую команду:

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
    
  3. Убедитесь, что устройство теперь связано с вашей организацией, и сообщите о допустимом идентификаторе организации:

    mdatp health --field org_id
    
  4. Проверьте состояние работоспособности продукта, выполнив следующую команду. Возвращаемое значение true означает, что продукт работает должным образом:

    mdatp health --field healthy
    

    Важно!

    Когда продукт запускается в первый раз, он загружает последние определения защиты от вредоносных программ. Этот процесс может занять до нескольких минут в зависимости от сетевого подключения. В течение этого времени команда, упомянутая ранее, возвращает значение false. Вы можете проверить состояние обновления определений с помощью следующей команды:

    mdatp health --field definitions_status
    

    После завершения начальной установки также может потребоваться настроить прокси-сервер. См. раздел Настройка Defender для конечной точки на Linux для обнаружения статических прокси-серверов: конфигурация после установки.

  5. Запустите тест обнаружения антивирусной программы, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

    1. Убедитесь, что защита в реальном времени включена (это обозначается результатом true при выполнении следующей команды):

      mdatp health --field real_time_protection_enabled
      

      Если он не включен, выполните следующую команду:

      mdatp config real-time-protection --value enabled
      
    2. Чтобы запустить тест обнаружения, откройте окно терминала и выполните следующую команду:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      
    3. Вы можете выполнить дополнительные тесты обнаружения в ZIP-файлах с помощью любой из следующих команд:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      Файлы должны быть помещены в карантин средством Defender for Endpoint на Linux.

    4. Используйте следующую команду, чтобы получить список всех обнаруженных угроз:

      mdatp threat list
      
  6. Запустите тест обнаружения EDR и сымитируйте обнаружение, чтобы убедиться, что устройство корректно подключено к службе и передаёт в неё данные. На недавно подключенном устройстве выполните следующие действия.

    1. Убедитесь, что подключенный сервер Linux отображается на портале Defender. Если это первое подключение к компьютеру, это может занять до 20 минут, пока он появится.

    2. Скачайте и извлеките файл скрипта на подключенный сервер Linux, а затем выполните следующую команду:./mde_linux_edr_diy.sh

      Через несколько минут в Microsoft Defender XDR должно быть создано оповещение.

    3. Просмотрите сведения об оповещении и временную шкалу устройства, а затем выполните стандартные действия по расследованию.

Требования к программному обеспечению

Дополнительные сведения см. в разделе Требования к программному обеспечению.

Устранение неполадок при установке

Если у вас возникли проблемы с установкой, для самостоятельного устранения неполадок выполните следующие действия.

  1. Сведения о том, как найти журнал, который создается автоматически при возникновении ошибки установки, см. в разделе Проблемы с установкой журнала.

  2. Сведения о распространенных проблемах с установкой см. в разделе Проблемы с установкой.

  3. Если состояние устройства: false, см. Проблемы с работоспособностью агента Defender для конечной точки.

  4. Сведения о проблемах с производительностью продукта см. в статье Устранение проблем с производительностью.

  5. Сведения о проблемах с прокси-сервером и подключением см. в статье Устранение неполадок с подключением к облаку.

Чтобы получить поддержку от Корпорации Майкрософт, откройте запрос в службу поддержки и предоставьте файлы журнала, созданные с помощью анализатора клиента.

Переключение между каналами

Например, чтобы изменить канал с Insiders-Fast на рабочий, сделайте следующее:

  1. Удалите версию Insiders-Fast channel Defender для конечной точки на Linux.

    sudo dnf remove mdatp
    

    или

    sudo yum remove mdatp
    
  2. Отключите Defender for Endpoint в канале Linux Insiders-Fast

    sudo dnf config-manager --disable packages-microsoft-com-fast-prod
    

    или

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod
    
  3. Переустановите Microsoft Defender для конечных точек в Linux с помощью Production channel, и подключите устройство в портале Microsoft Defender.

Настройка политик для Defender для конечной точки в Linux

Сведения о настройке параметров антивирусной программы и EDR см. в следующих статьях:

Удалить Defender for Endpoint в системе Linux

Для удаления вручную выполните следующую команду для Linux дистрибутива.

  • sudo dnf remove mdatpили sudo yum remove mdatp (в зависимости от диспетчера пакетов) для RHEL и вариантов (CentOS и Oracle Linux).
  • sudo zypper remove mdatp для SLES и его вариантов.
  • sudo apt purge mdatp для систем Ubuntu и Debian.
  • sudo dnf remove mdatp для Маринера

Совет

Хотите узнать больше? Присоединяйтесь к сообществу Microsoft Security в нашем сообществе Tech Community: Сообщество Tech Community Microsoft Defender для конечной точки.