適用於:
- 適用於端點的 Microsoft Defender for server
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
你可以透過各種工具和方法在 Linux 上部署 Defender for Endpoint 。 本文說明如何在 Linux 上手動部署 Defender for Endpoint。 如需使用其他方法,請參考 相關內容章節。
重要事項
如果你想並行運行多個安全解決方案,請參閱 效能、設定與支援的考量。
你可能已經為適用於端點的 Microsoft Defender 裝置設定了相互安全排除。 如果你仍需設定相互排除以避免衝突,請參閱「新增 適用於端點的 Microsoft Defender」到你現有解決方案的排除清單中。
手動部署步驟
成功部署需完成以下所有任務:
前置條件與系統需求
在開始之前,請參閱 Linux 上 Defender for Endpoint 的前置條件 ,了解目前軟體版本的前置條件與系統需求。
警告
在產品安裝後升級作業系統到新的主版本時,必須重新安裝該產品。 你需要先 卸載 現有的 Defender for Endpoint on Linux 應用程式,升級作業系統,然後依照本文步驟重新設定 Defender for Endpoint on Linux。
配置 Linux 軟體倉庫
Linux 上的 Defender for Endpoint 可從以下稱為 [channel]) 的通道之一部署 (: 內部人快速、 內部人慢速或 prod。 這些頻道各自對應一個 Linux 軟體倉庫。 本文的說明說明如何設定您的裝置以使用這些儲存庫之一。
頻道的選擇決定了你裝置所提供的更新類型與頻率。 內部 人快速 裝置是最早接收更新和新功能的,接著是 內部人慢 速,最後是 prod。
為了預覽新功能並提供早期回饋,建議您在企業中設定部分裝置,分別使用 內部人快速 或 內部人慢速。
警告
初始安裝後切換通道需重新安裝產品。 切換產品通道:解除安裝現有套件,重新設定裝置使用新通道,並依照本文件步驟從新位置安裝套件。
RHEL 及其變種 (CentOS、Fedora、Oracle Linux、Amazon Linux 2、Rocky 和 Alma)
如果還沒安裝,請安裝
yum-utils:sudo yum install yum-utils找到適合你發行版和版本的正確套件。 請參考以下表格協助你尋找包裹:
發行版 & 版本 套件 Alma 8.4 及以上 https://packages.microsoft.com/config/alma/8/prod.repo Alma 9.2 及以上版本 https://packages.microsoft.com/config/alma/9/prod.repo RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo RHEL/Centos/Oracle 7.2-7.9 https://packages.microsoft.com/config/rhel/7.2/prod.repo Amazon Linux 2 https://packages.microsoft.com/config/amazonlinux/2/prod.repo 亞馬遜 Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo 洛基8.7及以上 https://packages.microsoft.com/config/rocky/8/prod.repo 洛基9.2及以上 https://packages.microsoft.com/config/rocky/9/prod.repo 注意事項
對於你的發行版和版本,請依大 (,再依小調)
https://packages.microsoft.com/config/rhel/,找出最接近的條目。提示
線上核心修補工具,如 Ksplice 或類似工具,若執行 Defender for Endpoint,可能導致作業系統穩定性難以預測。 建議在進行線上核心修補前,暫時停止 Defender for Endpoint 守護程序。 核心更新後,Linux 上的 Defender for Endpoint 可以安全重新啟動。 此動作對於運行 Oracle Linux 的系統尤其重要。
在以下指令中,請將 [version] 和 [channel] 替換成你所識別的資訊:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo提示
使用 hostnamectl 指令來識別系統相關資訊,包括釋出版本。
舉例來說,如果你正在使用 CentOS 7,並想從
prodLinux 頻道部署 Defender for Endpoint:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo或者如果你想在特定裝置上探索新功能,也可以在 Linux 上部署 Defender for Endpoint 到 insiders-fast channel:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo安裝 Microsoft GPG 公開金鑰:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES 及其變型
注意事項
對於你的發行版和版本,請依大 (,再依小調) https://packages.microsoft.com/config/sles/,找出最接近的條目。
在以下指令中,將 [distro] 和 [version] 替換成你所識別的資訊:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo提示
使用 SPident 指令來識別系統相關資訊,包括版本 [版本]。
舉例來說,如果你正在執行 SLES 12,並希望從 Linux
prod頻道部署 Defender for Endpoint:sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo安裝 Microsoft GPG 公開金鑰:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu 與 Debian 系統
如果還沒安裝,請安裝
curl:sudo apt install curl如果還沒安裝,請安裝
libplist-utils:sudo apt install libplist-utils注意事項
對於你的發行版和版本,請依大 (,再依小調)
https://packages.microsoft.com/config/[distro]/,找出最接近的條目。在以下指令中,將 [distro] 和 [version] 替換成你所識別的資訊:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list提示
使用 hostnamectl 指令來識別系統相關資訊,包括釋出版本。
舉例來說,如果你正在執行 Ubuntu 18.04,並希望從這個頻道在 Linux
prod上部署 Defender for Endpoint:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list安裝儲存庫設定:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list例如,如果你選擇頻道:
prodsudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list如果還沒安裝,請安裝該
gpg套件:sudo apt install gpg如果
gpg無法使用,那就安裝gnupg。sudo apt install gnupg安裝 Microsoft GPG 公開金鑰:
對於 Debian 11/Ubuntu 22.04 及更早版本,請執行以下指令。
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null針對 Debian 12、Ubuntu 24.04 及更新版本,請執行以下指令。
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null對於 Debian 13 及更新版本,請執行以下指令。
curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
如果還沒安裝 HTTPS 驅動程式,請安裝:
sudo apt install apt-transport-https更新儲存庫元資料:
sudo apt update
水手
如果還沒安裝,請安裝
dnf-plugins-core:sudo dnf install dnf-plugins-core設定並啟用所需的儲存庫。
注意事項
在 Mariner 頻道上,Insider 快速頻道無法收看。
如果你想從
prodLinux 頻道部署 Defender for Endpoint, 請使用以下指令sudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras或者如果你想在特定裝置上探索新功能,也可以在 Linux 上部署 Defender for Endpoint to insiders-slow channel。 使用下列命令:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
自訂位置安裝的預安裝設定
這些步驟僅適用於 Defender 安裝於自訂地點時。 關於如何將 適用於端點的 Microsoft Defender 安裝到自訂位置的詳細說明,請參閱「手動安裝:預先安裝設定」。
關於如何安裝到自訂位置的細節,請參考: 在 Linux 上啟用 Defender for Endpoint 部署到自訂位置。
應用程式安裝
請使用以下章節中的指令在您的 Linux 發行版上安裝 Defender for Endpoint。
RHEL 及其變種 (CentOS、Fedora、Oracle Linux、Amazon Linux 2、Rocky 和 Alma)
sudo yum install mdatp
注意事項
如果你的裝置上有多個 Microsoft 儲存庫,你可以指定從哪個儲存庫安裝套件。 以下範例展示了如果你同時設定insiders-fast了儲存庫通道,如何從production通道安裝套件。 這種情況可能發生在你同時使用多個 Microsoft 產品時。 根據發行版和伺服器版本,儲存庫別名可能與以下範例不同。
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES 及其變型
sudo zypper install mdatp
注意事項
如果你的裝置上有多個 Microsoft 儲存庫,你可以指定從哪個儲存庫安裝套件。 以下範例展示了如果你同時設定insiders-fast了儲存庫通道,如何從production通道安裝套件。 這種情況可能發生在你同時使用多個 Microsoft 產品時。
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu 與 Debian 系統
sudo apt install mdatp
注意事項
如果你的裝置上有多個 Microsoft 儲存庫,你可以指定從哪個儲存庫安裝套件。 以下範例展示了如果你同時設定insiders-fast了儲存庫通道,如何從production通道安裝套件。 這種情況可能發生在你同時使用多個 Microsoft 產品時。
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
注意事項
在 Linux 安裝或更新 適用於端點的 Microsoft Defender 後,除非你以不可變模式執行 auditD,否則不需要重開機。
水手
sudo dnf install mdatp
注意事項
如果你的裝置上有多個 Microsoft 儲存庫,你可以指定從哪個儲存庫安裝套件。 以下範例展示了如果你同時設定insiders-slow了儲存庫通道,如何從production通道安裝套件。 這種情況可能發生在你同時使用多個 Microsoft 產品時。
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
下載入職套件
請從 Microsoft Defender 入口網站下載入職套件。
警告
重新打包 Defender for Endpoint 安裝套件並非支援的情境。 這樣做可能對產品的完整性造成負面影響,並導致不良後果,包括但不限於觸發竄改警示及更新未生效。
重要事項
若漏接此步驟,執行的任何指令都會顯示警告訊息,表示該產品未授權。 此外,指令 mdatp health 回傳的值為 false。
在 Microsoft Defender 入口網站,請前往設定>端點>管理>裝置引導。
在第一個下拉選單中,選擇 Linux Server 作為作業系統。 在第二個下拉選單中,選擇「 本地腳本 」作為部署方法。
選取 [下載上線套件]。 將檔案儲存為
WindowsDefenderATPOnboardingPackage.zip。
從命令提示字元確認你有檔案,然後解壓壓縮檔內容:
ls -ltotal 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zipunzip WindowsDefenderATPOnboardingPackage.zipArchive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
用戶端配置
複製
MicrosoftDefenderATPOnboardingLinuxServer.py到目標裝置。注意事項
一開始用戶端裝置沒有綁定到任何組織, orgID 屬性也是空白的。
mdatp health --field org_id根據你的情境,執行以下其中一個指令:
注意事項
要執行這個指令,你必須在裝置上安裝
pythonpython3或安裝,這取決於發行版和版本。 如有需要,請參閱 Linux 安裝 Python 的逐步說明。如果你使用的是 RHEL 8.x 或 Ubuntu 20.04 或更高版本,你需要使用
python3. 執行下列命令:sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py對於其他發行版和版本,你需要使用
python. 執行下列命令:sudo python MicrosoftDefenderATPOnboardingLinuxServer.py確認該裝置現在已與您的組織相關聯,並回報有效的組織識別碼:
mdatp health --field org_id請執行以下指令檢查產品的健康狀態。 回傳值
true表示產品正常運作:mdatp health --field healthy重要事項
產品首次啟動時,會下載最新的反惡意軟體定義。 這個過程可能要花幾分鐘,視網路連線狀況而定。 在此期間,前述指令回傳一個值。
false您可以使用以下指令檢查定義更新的狀態:mdatp health --field definitions_status完成初始安裝後,你可能還需要設定代理伺服器。 請參閱 Linux 上的 Defender for Endpoint 靜態代理發現:安裝後設定。
執行防毒軟體偵測測試,確認裝置已正確上線並回報給服務單位。 對新上線的裝置執行以下步驟:
確保啟用即時保護 (
true以執行以下指令) 表示:mdatp health --field real_time_protection_enabled如果沒有啟用,請執行以下指令:
mdatp config real-time-protection --value enabled要執行偵測測試,請打開終端機視窗,然後執行以下指令:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt你可以使用以下任一指令對壓縮檔執行更多偵測測試:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip這些檔案應該會被 Linux 上的 Defender for Endpoint 隔離。
請使用以下指令列出所有偵測到的威脅:
mdatp threat list
執行 EDR 偵測測試並模擬偵測,以確認裝置已正確上線並向服務單位報告。 對新上線的裝置執行以下步驟:
確認已載入的 Linux 伺服器是否出現在 Microsoft Defender 全面偵測回應中。 如果這是機器的首次入門,可能要等上20分鐘才會出現。
下載並解壓腳 本檔案 到已內建的 Linux 伺服器,然後執行以下指令:
./mde_linux_edr_diy.sh幾分鐘後,Microsoft Defender 全面偵測回應應該會升起偵測。
查看警示細節、機器時間軸,並執行你平常的調查步驟。
外部套件相依關係
欲了解更多資訊,請參閱 Linux 上 適用於端點的 Microsoft Defender 的前置條件:外部套件相依性。
安裝問題的疑難排解
如果你遇到安裝問題,為了自我排查,請遵循以下步驟:
關於安裝錯誤發生時自動產生的日誌,請參見 「安裝日誌問題」。
有關常見安裝問題的資訊,請參見 安裝問題。
若裝置健康狀況為
false,請參見 Defender for Endpoint 代理健康問題。關於產品效能問題,請參見 故障排除效能問題。
關於代理與連線問題,請參見 「排除雲端連線問題」。
要獲得 Microsoft 的支援,請開啟支援單,並提供使用 用戶端分析器建立的日誌檔案。
如何切換頻道
例如,要將頻道從 Insiders-Fast 切換到製作頻道,請執行以下操作:
在 Linux 上卸載
Insiders-Fast channelDefender for Endpoint 版本。sudo yum remove mdatp在 Linux Insiders-Fast 頻道中停用 Defender for Endpoint
sudo yum-config-manager --disable packages-microsoft-com-fast-prod在 Linux 上
Production channel使用 ,重新安裝 適用於端點的 Microsoft Defender,並在 Microsoft Defender 入口網站中將裝置重新安裝。
如何在 Linux 上設定 Defender for Endpoint 的政策
要設定防毒軟體與EDR設定,請參閱以下文章:
- Defender for Endpoint 安全設定管理說明如何在 Microsoft Defender 入口網站中設定。 (此方法建議採用 )
- Linux 版 Defender for Endpoint 的設定偏好設定是你可以設定的。
在 Linux 上卸載 Defender for Endpoint
若要手動卸載,請執行以下指令。
-
sudo yum remove mdatp適用於 RHEL 及 CentOS 和 Oracle Linux) (變體。 -
sudo zypper remove mdatp適用於SLES及其變體。 -
sudo apt purge mdatp適用於 Ubuntu 與 Debian 系統。 -
sudo dnf remove mdatp為水手號
相關內容
其他部署方式:
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。