Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете развернуть Defender for Endpoint в Linux различными способами и средствами. В этой статье описывается, как вручную развернуть Defender для конечных точек в Linux. Чтобы использовать другой метод, см. раздел Связанное содержимое.
Примечание.
Мы настоятельно рекомендуем использовать метод развертывания средства развертывания Defender , так как он упрощает процесс подключения, сокращает количество ручных задач и поддерживает широкий спектр сценариев развертывания, включая новые установки, обновления и удаления. Дополнительные сведения см. в документации.
Важно!
Если вы хотите параллельно запустить несколько решений безопасности, см. раздел Рекомендации по производительности, конфигурации и поддержке.
Возможно, вы уже настроили взаимные исключения безопасности для устройств, подключенных к Microsoft Defender для конечной точки. Если вам по-прежнему нужно настроить взаимные исключения, чтобы избежать конфликтов, см. раздел Добавление Microsoft Defender для конечной точки в список исключений для существующего решения.
Действия по развертыванию вручную
Для успешного развертывания требуется выполнить все следующие задачи:
- Предварительные требования и требования к системе
- Настройка репозитория программного обеспечения Linux
- Подготовка к установке в произвольное место
- Установка приложения
- Скачивание пакета подключения
- Конфигурация клиента
Предварительные требования и требования к системе
Прежде чем начать, ознакомьтесь с разделом Предварительные требования для Defender для конечной точки на Linux, чтобы узнать о предварительных требованиях и требованиях к системе для текущей версии программного обеспечения.
Предупреждение
Для обновления операционной системы до новой основной версии после установки продукта требуется переустановка продукта. Необходимо удалить существующий Defender для конечной точки в приложении Linux, обновить операционную систему, а затем перенастроить Defender для конечной точки в Linux, следуя инструкциям, описанным в этой статье.
Настройка репозитория программного обеспечения Linux
Защитник для конечной точки в Linux можно развернуть через один из следующих каналов (обозначаемого как [channel]): insiders-fast, insiders-slow или prod. Каждый из этих каналов соответствует репозиторию программного обеспечения Linux. Инструкции в этой статье описывают настройку устройства для использования одного из этих репозиториев.
Выбор канала определяет тип и частоту обновлений, предлагаемых вашему устройству. Устройства в insiders-fast первыми получают обновления и новые функции, затем — устройства в insiders-slow, и в последнюю очередь — prod.
Чтобы предварительно оценить новые функции и предоставить отзывы на раннем этапе, рекомендуется настроить некоторые устройства в вашей организации на использование либо insiders-fast, либо insiders-slow.
Предупреждение
Переключение канала после начальной установки требует переустановки продукта. Чтобы переключить канал продукта, удалите существующий пакет, перенастройте устройство для использования нового канала и выполните действия, описанные в этом документе, чтобы установить пакет из нового расположения.
RHEL и варианты (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky и Alma)
Вы можете использовать менеджер пакетов dnf или yum для развертывания Defender for Endpoint в Linux для RHEL и его производных. Инструкции в следующих разделах включают команды для обоих диспетчеров пакетов. используйте только соответствующий.
Установите
dnf-plugins-coreилиyum-utils, если тот, который вы хотите использовать, ещё не установлен:sudo dnf install dnf-plugins-coreили
sudo yum install yum-utilsНайдите правильный пакет для дистрибутива и версии. Используйте следующую таблицу, чтобы помочь вам найти пакет:
Версия дистрибутива & Пакет Альма 8.4 и выше https://packages.microsoft.com/config/alma/8/prod.repo Альма 9.2 и выше https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0–9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2 https://packages.microsoft.com/config/amazonlinux/2/prod.repo Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Rocky 8.7 и выше https://packages.microsoft.com/config/rocky/8/prod.repo Rocky 9.2 и выше https://packages.microsoft.com/config/rocky/9/prod.repo Примечание.
Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе
https://packages.microsoft.com/config/rhel/.Совет
Инструменты оперативного исправления ядра, такие как Ksplice и аналогичные, могут непредсказуемо повлиять на стабильность ОС, если запущен Defender for Endpoint. Перед выполнением установки исправлений ядра в режиме онлайн рекомендуется временно остановить демон Defender for Endpoint. После обновления ядра можно безопасно перезапустить Defender for Endpoint в Linux. Это действие особенно важно для систем под управлением Oracle Linux.
В следующих командах замените [версию] и [канал] сведениями, которые вы определили:
sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/[version]/[channel].repoили
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repoСовет
Используйте команду hostnamectl для определения сведений о системе, включая выпуск [версия].
Например, если вы используете CentOS 8 и хотите развернуть Defender для конечных точек в Linux из канала
prod:sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/prod.repoили
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repoИли, если вы хотите опробовать новые функции на определённых устройствах, возможно, стоит развернуть Defender for Endpoint on Linux в канале insiders-fast:
sudo dnf config-manager --add-repo https://packages.microsoft.com/config/rhel/8/insiders-fast.repoили
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/insiders-fast.repoУстановите открытый ключ Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES и варианты
Примечание.
Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе https://packages.microsoft.com/config/sles/.
В следующих командах замените [дистрибутив] и [версию] сведениями, которые вы определили:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repoСовет
Используйте команду SPident, чтобы определить системные сведения, включая выпуск [версия].
Например, если вы используете SLES 12 и хотите развернуть Defender для конечной точки в Linux из канала
prod:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repoУстановите открытый ключ Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Системы Ubuntu и Debian
Установите
curl, если это еще не сделано:sudo apt install curlУстановите
libplist-utils, если он еще не установлен:sudo apt install libplist-utilsПримечание.
Для дистрибутива и версии определите ближайшую для него запись (по основным, а затем дополнительным) в разделе
https://packages.microsoft.com/config/[distro]/.В следующей команде замените [дистрибутив] и [версию] указанными сведениями:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].listСовет
Используйте команду hostnamectl для определения сведений о системе, включая выпуск [версия].
Например, если вы работаете под Ubuntu 18.04 и хотите развернуть Defender for Endpoint в Linux из канала
prod:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.listУстановите конфигурацию репозитория:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].listНапример, если вы выбрали
prodканал:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.listУстановите пакет,
gpgесли он еще не установлен:sudo apt install gpgЕсли
gpgнедоступен, установитеgnupg.sudo apt install gnupgУстановите открытый ключ Microsoft GPG:
Для Debian 11/Ubuntu 22.04 и более ранних версий выполните следующие команды.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null sudo chmod o+r /etc/apt/trusted.gpg.d/microsoft.gpgДля Debian 12, Ubuntu 24.04 и более поздних версий выполните следующие команды.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpgДля Debian 13 и более поздних версий выполните следующие команды.
curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null sudo chmod o+r /usr/share/keyrings/microsoft-prod.gpg
Установите драйвер HTTPS, если он еще не установлен:
sudo apt install apt-transport-httpsОбновите метаданные репозитория:
sudo apt update
Mariner
Установите
dnf-plugins-core, если он ещё не установлен:sudo dnf install dnf-plugins-coreНастройте и включите необходимые репозитории.
Примечание.
В Mariner канал Insider Fast недоступен.
Если вы хотите развернуть Microsoft Defender для конечной точки на Linux из канала
prod. Используйте следующие командыsudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extrasИли, если вы хотите ознакомиться с новыми функциями на определённых устройствах, вам может потребоваться развернуть Microsoft Defender for Endpoint on Linux в канале insiders-slow. Используйте следующие команды:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Подготовка к установке в выбранное расположение
Эти действия применимы только в том случае, если Defender должен быть установлен в пользовательском расположении. Подробные инструкции по установке Microsoft Defender для конечной точки в настраиваемое расположение см. в статье Установка вручную: подготовка перед установкой.
Дополнительные сведения об установке в пользовательское расположение см. в статье Включение развертывания Defender for Endpoint в ОС Linux в пользовательском расположении.
Установка приложения
Используйте команды из следующих разделов, чтобы установить Microsoft Defender for Endpoint в вашем дистрибутиве Linux.
RHEL и варианты (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky и Alma)
sudo dnf install mdatp
или
sudo yum install mdatp
Примечание.
Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала production, если на этом устройстве также настроен канал репозитория insiders-fast. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве. В зависимости от дистрибутива и версии сервера псевдоним репозитория может отличаться от псевдонима в следующем примере.
# list all repositories
sudo dnf repolist
или
# list all repositories
sudo yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
Например, чтобы установить пакет из рабочего репозитория:
sudo dnf --enablerepo=packages-microsoft-com-prod install mdatp
или
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES и варианты
sudo zypper install mdatp
Примечание.
Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала production, если на этом устройстве также настроен канал репозитория insiders-fast. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Системы Ubuntu и Debian
sudo apt install mdatp
Примечание.
Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала production, если на этом устройстве также настроен канал репозитория insiders-fast. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.
Номера версий и имена кода выпуска в следующих фрагментах кода являются примерами. Используйте фактическое имя кода выпуска, возвращаемое командой Bash.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Примечание.
Перезагрузки не требуются после установки или обновления Microsoft Defender для конечной точки на Linux за исключением случаев, когда выполняется auditD в неизменяемом режиме.
Mariner
sudo dnf install mdatp
Примечание.
Если на устройстве настроено несколько репозиториев Майкрософт, вы можете указать, из какого репозитория установить пакет. В следующем примере показано, как установить пакет из канала production, если на этом устройстве также настроен канал репозитория insiders-slow. Такая ситуация может произойти, если вы используете несколько продуктов Майкрософт на своем устройстве.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Скачивание пакета подключения
Скачайте пакет подключения с портала Microsoft Defender.
Предупреждение
Переупаковка установочного пакета Defender for Endpoint не поддерживается. Это может негативно повлиять на целостность продукта и привести к нежелательным последствиям, включая, помимо прочего, срабатывание предупреждений о вмешательстве и невозможность установки обновлений.
Важно!
Если вы пропустите этот шаг, любая выполненная команда отображает предупреждающее сообщение о том, что продукт не лицензирован. Кроме того, mdatp health команда возвращает значение false.
На портале Microsoft Defender перейдите в раздел Система>Параметры>Конечные точки>Управление устройствами>Подключение.
В первом раскрывающемся меню выберите Linux Server в качестве операционной системы. Во втором раскрывающемся меню выберите Локальный скрипт в качестве метода развертывания.
Выберите Скачать пакет подключения. Сохраните файл как
WindowsDefenderATPOnboardingPackage.zip.В командной строке убедитесь, что у вас есть файл, и извлеките содержимое архива:
ls -ltotal 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Конфигурация клиента
Скопируйте
MicrosoftDefenderATPOnboardingLinuxServer.pyна целевое устройство.Примечание.
Изначально клиентское устройство не связано с организацией, а атрибут orgId пуст.
mdatp health --field org_idВ зависимости от сценария выполните одну из следующих команд:
Примечание.
Чтобы выполнить эту команду, на устройстве должны быть установлены
pythonилиpython3в зависимости от дистрибутива и его версии. При необходимости см. пошаговые инструкции по установке Python на Linux.Если вы используете RHEL 8.x или Ubuntu 20.04 или более поздней версии, необходимо использовать
python3. Выполните следующую команду:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.pyДля других дистрибутивов и версий необходимо использовать
python. Выполните следующую команду:sudo python MicrosoftDefenderATPOnboardingLinuxServer.pyУбедитесь, что устройство теперь связано с вашей организацией, и сообщите о допустимом идентификаторе организации:
mdatp health --field org_idПроверьте состояние работоспособности продукта, выполнив следующую команду. Возвращаемое значение
trueозначает, что продукт работает должным образом:mdatp health --field healthyВажно!
Когда продукт запускается в первый раз, он загружает последние определения защиты от вредоносных программ. Этот процесс может занять до нескольких минут в зависимости от сетевого подключения. В течение этого времени команда, упомянутая ранее, возвращает значение
false. Вы можете проверить состояние обновления определений с помощью следующей команды:mdatp health --field definitions_statusПосле завершения начальной установки также может потребоваться настроить прокси-сервер. См. раздел Настройка Defender для конечной точки на Linux для обнаружения статических прокси-серверов: конфигурация после установки.
Запустите тест обнаружения антивирусной программы, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.
Убедитесь, что защита в реальном времени включена (это обозначается результатом
trueпри выполнении следующей команды):mdatp health --field real_time_protection_enabledЕсли он не включен, выполните следующую команду:
mdatp config real-time-protection --value enabledЧтобы запустить тест обнаружения, откройте окно терминала и выполните следующую команду:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txtВы можете выполнить дополнительные тесты обнаружения в ZIP-файлах с помощью любой из следующих команд:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zipФайлы должны быть помещены в карантин средством Defender for Endpoint на Linux.
Используйте следующую команду, чтобы получить список всех обнаруженных угроз:
mdatp threat list
Запустите тест обнаружения EDR и сымитируйте обнаружение, чтобы убедиться, что устройство корректно подключено к службе и передаёт в неё данные. На недавно подключенном устройстве выполните следующие действия.
Убедитесь, что подключенный сервер Linux отображается на портале Defender. Если это первое подключение к компьютеру, это может занять до 20 минут, пока он появится.
Скачайте и извлеките файл скрипта на подключенный сервер Linux, а затем выполните следующую команду:
./mde_linux_edr_diy.shЧерез несколько минут в Microsoft Defender XDR должно быть создано оповещение.
Просмотрите сведения об оповещении и временную шкалу устройства, а затем выполните стандартные действия по расследованию.
Требования к программному обеспечению
Дополнительные сведения см. в разделе Требования к программному обеспечению.
Устранение неполадок при установке
Если у вас возникли проблемы с установкой, для самостоятельного устранения неполадок выполните следующие действия.
Сведения о том, как найти журнал, который создается автоматически при возникновении ошибки установки, см. в разделе Проблемы с установкой журнала.
Сведения о распространенных проблемах с установкой см. в разделе Проблемы с установкой.
Если состояние устройства:
false, см. Проблемы с работоспособностью агента Defender для конечной точки.Сведения о проблемах с производительностью продукта см. в статье Устранение проблем с производительностью.
Сведения о проблемах с прокси-сервером и подключением см. в статье Устранение неполадок с подключением к облаку.
Чтобы получить поддержку от Корпорации Майкрософт, откройте запрос в службу поддержки и предоставьте файлы журнала, созданные с помощью анализатора клиента.
Переключение между каналами
Например, чтобы изменить канал с Insiders-Fast на рабочий, сделайте следующее:
Удалите версию
Insiders-Fast channelDefender для конечной точки на Linux.sudo dnf remove mdatpили
sudo yum remove mdatpОтключите Defender for Endpoint в канале Linux Insiders-Fast
sudo dnf config-manager --disable packages-microsoft-com-fast-prodили
sudo yum-config-manager --disable packages-microsoft-com-fast-prodПереустановите Microsoft Defender для конечных точек в Linux с помощью
Production channel, и подключите устройство в портале Microsoft Defender.
Настройка политик для Defender для конечной точки в Linux
Сведения о настройке параметров антивирусной программы и EDR см. в следующих статьях:
- Управление параметрами безопасности Microsoft Defender для конечной точки описывает, как настраивать параметры на портале Microsoft Defender. (Этот метод рекомендуется.)
- Настройка параметров Defender для конечной точки на Linux описывает параметры, которые можно настроить.
Удалить Defender for Endpoint в системе Linux
Для удаления вручную выполните следующую команду для Linux дистрибутива.
-
sudo dnf remove mdatpилиsudo yum remove mdatp(в зависимости от диспетчера пакетов) для RHEL и вариантов (CentOS и Oracle Linux). -
sudo zypper remove mdatpдля SLES и его вариантов. -
sudo apt purge mdatpдля систем Ubuntu и Debian. -
sudo dnf remove mdatpдля Маринера
Связанные материалы
Предварительные требования для Defender for Endpoint в Linux
Другие методы развертывания:
- Развертывание с помощью средства развертывания (рекомендуется)
- Развертывание на основе скрипта установщика
- Развертывание на основе Ansible
- Развертывание на основе Chef
- Развертывание с использованием Puppet
- Развертывание на базе SaltStack
- Развертывание на основе эталонного образа
- Подключите машины, не относящиеся к Azure, к Microsoft Defender для облака с помощью Microsoft Defender для конечной точки (прямое подключение через Microsoft Defender для облака)
- Руководство по развертыванию Defender для конечной точки в Linux для SAP
- Установите Defender for Endpoint в Linux в настраиваемое расположение
Совет
Хотите узнать больше? Присоединяйтесь к сообществу Microsoft Security в нашем сообществе Tech Community: Сообщество Tech Community Microsoft Defender для конечной точки.