Linux 上 適用於端點的 Microsoft Defender 有什麼新動態

本文會定期更新，讓你了解 Linux 上最新版本的 適用於端點的 Microsoft Defender 的最新動態。 若想在頁面更新時在 RSS 訂閱中收到通知，請將此網址複製並貼上至訂閱閱讀器： https://aka.ms/mde/linux-rss

Linux 版 Defender for Endpoint 的版本

2025年12月版本：101.25092.0005 |發行版本：30.125092.0005.0

新增功能

• 透過更深入的元件分析與增強的遙測技術，強化對易受攻擊 React 元件的漏洞偵測。 這包括支援識別 CVE-2025-55182) (，為基於React的應用程式提供更完整的安全保障。

2025年12月建置：101.25092.0002 |發行版本：30.125092.0002.0

新增功能

• 包含與機器識別碼相關的關鍵修正，確保每個端點被準確識別為唯一裝置。

2025年11月建置：101.25102.0003 |發行版本：30.125102.0003.0

新增功能

• OpenSSL 函式庫已升級至 3.6.0 版本

• Libcurl 函式庫已升級至 8.16.0 版本

• 預設引擎版本已更新為 1.1.25090.6000，預設簽章版本則更新為 1.439.338.0。

2025年10月建置：101.25092.0001 |發行版本：30.125092.0001.0

新增功能

• 新增對 RHEL 10 的支援。

• 透過自動錯誤恢復提升引擎韌性，防止過度記錄並減少停機時間，提升整體可靠性。

• 其他品質與穩定性的修正。

2025年9月建置：101.25082.0003 |發行版本：30.125082.0003.0

新增功能

• Langflow 是一個開源的 Python 框架，用於建構 AI 工作流程與代理，漏洞偵測功能已透過先進的遙測與 Python 套件掃描進行動態偵測。 其中包括偵測到 CVE-2025-3248，CVSS 評分為 9.8，確保全面的漏洞覆蓋。

• 用戶端分析器現已直接整合在 MDE 套件中，免除了需另外下載的需求。 預設包含二進位和 Python 版本，網址為 /opt/microsoft/mdatp/tools/client_analyzer/。 這確保了各環境間的穩定可用性，並透過讓診斷工具開箱即用，簡化了客戶的故障排除流程。

• 其他品質與穩定性的修正。

2025年9月建置：101.25072.0003 |發行版本：30.125072.0003.0

新增功能

• 解決了為每個已接入裝置產生唯一機器識別碼的問題——尤其在透過 Golden 映像部署 Microsoft Defender 時非常有用。

• 其他穩定性提升與錯誤修正。

2025年8月建置：101.25062.0003 |發行版本：30.125062.0003.0

新增功能

• Linux 版 Defender for Endpoint 現在支援安裝到自訂位置 (預覽) 。 欲了解更多資訊，請參閱預覽) (啟用 適用於端點的 Microsoft Defender 部署至自訂地點。 安裝程式腳本中正新增此功能支援。
• 此 mdatp threat quarantine add 指令現在需要超級用戶 (根) 權限。
• 自訂定義路徑現在可以在不停止 Defender for Endpoint 的情況下更新。 過去這需要停止服務，但自本版本起，定義路徑可動態更新，提升營運效率並減少停機時間。
• 現在支援在 Linux 上同時執行 Defender for Endpoint 與 Fapolicyd，並用於基於 RHEL 和 Fedora 的發行版，使防毒軟體 (即時保護) 與 EDR 功能都能正常運作，且不衝突。 對於其他基於 fanotify 的工具，MDE 仍可透過將防毒執行等級設為被動，安全使用，有助於避免系統不穩定。
• 其他穩定性提升與錯誤修正。

2025年7月版本：101.25052.0007 |發行版本：30.125052.0007.0

新增功能

• 已解決產生唯一機器識別碼以確保每個被接載裝置唯一識別的問題。
• 其他穩定性改進與錯誤修正。

2025年6月建置：101.25042.0003 |發行版本：30.125042.0003.0

新增功能

• Defender for Endpoint 套件逐步推入生產環境。 從發佈說明發布開始，套件可能要等上一週才能推送到所有生產機器。
• 移除 Defender for Endpoint 套件中 uuid-runtime 的外部依賴
• 其他穩定性改進與錯誤修正

2025年5月建置：101.25032.0010 |發行版本：30.125032.0010.0

新增功能

• 移除了 Netfilter 和 libpcre 的外部依賴性MDE從MDE套件中

• 針對使用 Python腳本執行未驗證二進位檔且擁有根權限以識別使用過時log4j版本的 Java 程序的修復 (CVE-2025-26684) 已解決。

• 新增了針對 CVE-2025-31324 影響 SAP NetWeaver 應用伺服器「視覺化撰寫器」元件的偵測機制。

2025年4月建置：101.25022.0002 |發行版本：30.125022.0001.0

新增功能

• MDATP診斷 EBPF-Statistics 指令現在需要 SUDO 權限

• 透過設定 URL 與更新間隔來管理動態簽章檔案分享來源

• 其他穩定性改進與錯誤修正

• 支援 ARM64 Linux 伺服器

2025年3月建置：101.25012.0000 |發行版本：30.125012.0000.0

新增功能

• MDATP 套件的導入將逐步進行。 從發佈說明發布開始，套件可能要等上一週才能推送到所有生產機器。

• curl 中的漏洞 CVE-2024-7264 已被修正。

• 其他穩定性改進與錯誤修正。

已知問題

• 有個已知問題是 MDE 在每次服務開始時會刪除位於 /etc/systemd/system/mdatp.service.d 的設定檔。 作為一個變通方法，客戶可以使用 Immutable 屬性來防止檔案被修改或刪除。

  要將檔案設定為不可修改，請執行以下指令：

  sudo chattr +i /etc/systemd/system/mdatp.service.d/[file name]

此指令使檔案無法更改。 如果你需要恢復修改權限，請使用以下指令：

sudo chattr -i /etc/systemd/system/mdatp.service.d/[file name]

請注意，chattr 指令只能用於支援的檔案系統，例如 ext4。

若您需要進一步協助，可以提供組織識別碼與我們的客服團隊聯繫，我們會實施臨時緩解措施以防止刪除。 此問題的永久修復可在 MDE 版本 101.25032.0000 中找到。

2025年2月建置：101.24122.0008 |發行版本：30.124112.0008.0

新增功能

• MDATP 套件 101.24122.0008 正逐步針對每個發行版推出。
• 其他穩定性改進與錯誤修正

2025年2月建置：101.24112.0003 |發行版本：30.124112.0003.0

新增功能

• 修正了一個錯誤，錯誤地將 DefenderEngineVersion 報告給安全入口網站。
• MDATP 套件 101.24112.0003 正逐步針對每個發行版推出。

2025年1月建置：101.24112.0001 |發行版本：30.124112.0001.0

新增功能

• 已將 Bond 版本升級至 13.0.1，以解決 12 或更低版本的安全漏洞。

• Mdatp 套件不再依賴 SELinux 套件。

• 使用者現在可以利用威脅 DeviceTvmInfoGathering狩獵查詢查詢補充事件提供者 eBPF 的狀態。 想了解更多關於這個查詢的資訊，請檢查：在 Linux 上使用 eBPF 感測器來支援 適用於端點的 Microsoft Defender。 此查詢結果可返回以下兩個 eBPF 狀態值：

  • 啟用：當 eBPF 啟用時，運作正常。
  • 停用：當 eBPF 因以下原因之一而被停用時：
    • 當 MDE 使用 auditD 作為輔助感測器時
    • 當 eBPF 不存在，我們會退回 NetLink 作為輔助活動提供者時
    • 沒有輔助感測器。

• 從 2411 開始，MDATP 套件正式發布至生產 packages.microsoft.com 環境，採用一個持續超過一週的漸進式部署機制。 其他釋放環 insiderFast 和 insiderSlow 不受此變更影響。

• 穩定性與效能提升。

• 定義更新流程中的關鍵錯誤修正。

2025年1月建置：101.24102.0000 |發行版本：30.124102.0000.0

新增功能

• 預設引擎版本已更新為 1.1.24080.11，預設簽章版本已更新為 1.419.351.0。

• 改善了安全入口網站上短期流程的命令列威脅資訊報告。

2024年11月建置：101.24092.0002 |發行版本：30.124092.0002.0

新增功能

• 為了支援帶有不可執行 /var 分割區的強化安裝，mdatp 防毒定義現在安裝為 ， /opt/microsoft/mdatp/definitions.noindex 而非 /var 在偵測到後者為不可執行時安裝。 升級過程中，安裝程式會在偵測到非執行檔 /var時嘗試將舊定義遷移到新路徑，除非發現該路徑已 (使用 mdatp definitions path set) 自訂。

• 從此版本開始，Linux 上的 Defender for Endpoint 不再需要執行檔權限。/var/log 如果這些權限無法使用，日誌檔案會自動被重新導向到 /opt。

2024年10月建置：101.24082.0004 |發行版本：30.124082.0004.0

新增功能

• 從此版本開始，Linux 版 Defender for Endpoint 不再支援 AuditD 作為輔助事件提供者。 為了提升穩定性與效能，我們已轉用 eBPF。 如果你停用 eBPF，或在任何特定核心不支援 eBPF，Linux 上的 Defender for Endpoint 會自動切回 Net Link 作為備援事件提供者。 網路連結功能較少，僅追蹤與程序相關事件。 在這種情況下，所有程序操作都能無縫進行，但你可能會錯過 eBPF 原本會捕捉的特定檔案和套接字相關事件。 更多資訊請參閱 Linux 版 適用於端點的 Microsoft Defender 的 eBPF 感測器。 如果你有任何疑慮或需要協助，請聯絡客服。

• 穩定性與效能提升

• 其他錯誤修正

2024年9月建置：101.24072.0001 |發行版本：30.124072.0001.0

新增功能

• 新增對 Ubuntu 24.04 的支援

• 將預設引擎版本 1.1.24060.6 及預設簽章版本更新為 1.415.228.0。

2024年7月版本：101.24062.0001 |發行版本：30.124062.0001.0

新增功能

本版本包含多項修正與新變更。

• 修正了被感染的命令列威脅資訊在安全入口網站中無法正確顯示的錯誤。

• 修正了一個 bug，關閉預覽功能需要端點防禦者才能停用。

• 使用受管理 JSON 的全域排除功能現已進入公開預覽階段。 可於 Insiders Slow 從 101.23092.0012 獲取。 更多資訊請參見 linux-exclusions。

• 將 Linux 預設引擎版本更新為 1.1.24050.7，預設簽章版本為 1.411.410.0。

• 穩定性與效能提升。

• 其他錯誤修正。

2024年6月建置：101.24052.0002 |發行版本：30.124052.0002.0

新增功能

本版本包含多項修正與新變更。

• 此版本修正了因核心空間 eBPF 記憶體洩漏導致 CPU 使用率高而導致伺服器進入無法使用的狀態的錯誤。 這僅影響核心版本 3.10x 與 <= 4.16x，主要發生在 RHEL/CentOS 發行版上。 更新到最新的 MDE 版本以避免任何影響。

• 我們現在已簡化了輸出 mdatp health --detail features

• 穩定性與效能提升。

• 其他錯誤修正。

2024年5月建置：101.24042.0002 |發行版本：30.124042.0002.0

新增功能

本版本包含多項修正與新變更：

• 在版本 24032.0007 中，曾有一個已知問題，即透過 mdatp_managed.json 檔案使用「裝置標籤」機制，導致裝置註冊MDE安全管理失敗。 這個問題在目前版本中已經解決。

• 穩定性與效能提升。

• 其他錯誤修正。

2024年5月建置：101.24032.0007 |發行版本：30.124032.0007.0

新增功能

本版本包含多項修正與新變更：

• 在被動與按需模式下，防毒引擎會保持閒置狀態，僅在排程的自訂掃描時使用。 因此，作為效能提升的一部分，我們已調整視聽引擎，將視聽引擎維持在被動且隨選模式下，除非在排定的自訂掃描期間。 如果啟用即時保護，防毒引擎將永遠持續運作。 這對你在任何模式下的伺服器保護都沒有影響。

  為了讓使用者了解防毒引擎的現況，我們新增了一個名為「engine_load_status」的新領域，作為 MDATP 健康系統的一部分。 它會顯示防毒引擎目前是否正在運行。

  Field name	engine_load_status
  可能值	引擎未載入 (防毒引擎程序故障) ，引擎載入成功 (防毒引擎程序已啟動並運行)

  健康情境：

  • 如果啟用了 RTP，engine_load_status應該會顯示「引擎載入成功」
  • 如果MDE處於隨選或被動模式，且自訂掃描未執行，那麼「engine_load_status」應該會顯示為「引擎未載入」。
  • 如果MDE處於隨選或被動模式，且自訂掃描正在執行，那麼「engine_load_status」應該是「引擎負載成功」

• 錯誤修正以增強行為偵測。

• 穩定性與效能提升。

• 其他錯誤修正。

已知問題

• 在 24032.0007 有個已知問題，就是用 mdatp_managed.json 來註冊裝置到 MDE 安全管理時會失敗。 為減輕此問題，請使用以下 mdatp CLI 指令來標記裝置：

  sudo mdatp edr tag set --name GROUP --value MDE-Management
  

  這個問題在建置版本中已修正：101.24042.0002

2024年3月版本：101.24022.0001 |發行版本：30.124022.0001.0

新增功能

本版本包含多項修正與新變更：

• 新增一個新的日誌檔 - microsoft_defender_scan_skip.log。 這會記錄因任何原因被 適用於端點的 Microsoft Defender 從各種防毒掃描中跳過的檔案名稱。

• 穩定性與效能提升。

• 錯誤修正。

2024年3月建置：101.24012.0001 |發行版本：30.124012.0001.0

新增功能

本版本包含多項修正與新變更：

• 將預設引擎版本更新為 1.1.23110.4，預設簽章版本也更新為 1.403.87.0。

• 穩定性與效能提升。

• 錯誤修正。

2024 年 2 月建置：101.23122.0002 |發行版本：30.123122.0002.0

新增功能

本版本包含多項修正與新變更：

• 將預設引擎版本更新為 1.1.23100.2010，預設簽章版本也更新為 1.399.1389.0。

• 整體穩定性與效能提升。

• 錯誤修正。

• 適用於端點的 Microsoft Defender 在 Linux 上現已正式支援以下發行版與版本：

  發行版 & 版本	戒指	套件
  水手2	生產環境	https://packages.microsoft.com/cbl-mariner/2.0/prod/extras/x86_64/config.repo
  洛基8.7及以上	內部人慢	https://packages.microsoft.com/config/rocky/8/insiders-slow.repo
  洛基9.2及以上	內部人慢	https://packages.microsoft.com/config/rocky/9/insiders-slow.repo
  Alma 8.4 及以上	內部人慢	https://packages.microsoft.com/config/alma/8/insiders-slow.repo
  Alma 9.2 及以上版本	內部人慢	https://packages.microsoft.com/config/alma/9/insiders-slow.repo

如果你已經在這些發行版中運行 Defender for Endpoint，且在舊版本遇到問題，請從上述對應的 Ring 升級到最新的 Defender for Endpoint。

2024年1月建置：101.23112.0009 |發行版本：30.123112.0009.0

新增功能

• 將預設引擎版本更新為 1.1.23110.4，預設簽章版本也更新為 1.403.1579.0。

• 整體穩定性與效能提升。

• 行為監控設定的錯誤修正。

• 錯誤修正。

2023年11月版本：101.23102.0003 |發行版本：30.123102.0003.0

新增功能

• 將預設引擎版本更新為 1.1.23090.2008，預設簽章版本也更新為 1.399.690.0。

• 已將 libcurl 函式庫更新至版本 8.4.0 ，以修正舊版本中最近揭露的漏洞。

• 更新 Openssl 函式庫至版本 3.1.1 ，以修正舊版本中最近揭露的漏洞。

• 整體穩定性與效能提升。

• 錯誤修正。

2023年11月版本：101.23092.0012 |發行版本：30.123092.0012.0

新增功能

本版本包含多項修正與新變更：

• 新增支援，可透過以下指令恢復原始路徑的威脅：

  sudo mdatp threat quarantine restore threat-path --path [threat-original-path] --destination-path [destination-folder]
  

• 從這次版本起，適用於端點的 Microsoft Defender 在 Linux 上將不再提供 RHEL 6 的解決方案。

  RHEL 6「延長生命週期終止支援」預計於2024年6月30日結束，建議客戶依照Red Hat的指引規劃RHEL升級。 需要在 RHEL 6 伺服器上執行 Defender for Endpoint 的客戶，仍可繼續使用 101.23082.0011 版本 (該版本不會在 2024 年 6 月 30 日前到期，) 支援於核心版本 2.6.32-754.49.1.el6.x86_64 或更早版本。

  • 引擎更新與 1.1.23080.2007 簽名版本： 1.395.1560.0。
  • 簡化的裝置連接體驗現已進入公開預覽模式。 公開部落格
  • 效能提升 & 錯誤修正。

已知問題

• 核心版本 5.15.0-0.30.20 在 ebpf 模式下出現 CPU 鎖死問題，詳情及緩解選項請參見「使用 eBPF 感測器於 Linux 上的 適用於端點的 Microsoft Defender」。

2023年11月版本：101.23082.0011 |發行版本：30.123082.0011.0

新增功能

• 此新版本基於 2023 年 10 月版本 (101.23082.0009) ，並新增以下變更。 其他客戶沒有變動，升級是可選的。

• 當輔助子系統為 ebpf 時，審計模式不可變的修正：在 ebpf 模式下，切換到 ebpf 並重新啟動後，所有 mdatp 審計規則都應被清理。 重啟後，mdatp 稽核規則沒有被清理，導致伺服器當機。 這個修正會清理這些規則，使用者在重開機時不應該看到任何 MDATP 規則被載入

• 修復 MDE 在 RHEL 6 上無法啟動的問題。

已知問題

從 mdatp 版本 101.75.43 或 101.78.13 升級時，可能會遇到核心當機。 在嘗試升級到 101.98.05 版本前，請執行以下指令。 關於根本問題的更多資訊，請參閱 fanotify 程式碼中因任務阻塞而導致的系統掛機。

有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 有些客戶 (<1%) 會遇到這種方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年10月建置：101.23082.0009 |發行版本：30.123082.0009.0

新增功能

• 此新版本是在 2023 年 10 月版本的 '101.23082.0009') (基礎上編譯，並新增了新的 CA 憑證。 其他客戶沒有變動，升級是可選的。

已知問題

從 mdatp 版本 101.75.43 或 101.78.13 升級時，可能會遇到核心當機。 在嘗試升級到 101.98.05 版本前，請執行以下指令。 關於根本問題的更多資訊，請參閱 fanotify 程式碼中因任務阻塞而導致的系統掛機。

有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 有些客戶 (<1%) 會遇到這種方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023 年 10 月 版本：101.23082.0006 |發行版本：30.123082.0006.0

新增功能

• 功能更新與新變更

  • eBPF 感測器現已成為端點的預設輔助事件提供者

  • Microsoft Intune租戶附加功能截至七月中旬 (公開預覽)

    • 你必須在防火牆排除項目中加上「*.dm.microsoft.com」，功能才能正常運作

  • Defender for Endpoint 現已支援 Debian 12 與 Amazon Linux 2023

  • 支援啟用已下載更新的簽名驗證

    • 您必須依照所示更新manajed.json：

        "features":{
          "OfflineDefinitionUpdateVerifySig":"enabled"
        }
      

    • 啟用功能的前提條件

      • 裝置上的引擎版本必須是「1.1.23080.007」或以上。 請使用以下指令檢查你的引擎版本。 mdatp health --field engine_version

  • 支援監控 NFS 與 FUSE 掛接點的選項。 這些預設會被忽略。 以下範例展示了如何在只忽略 NFS 的情況下監控所有檔案系統：

    "antivirusEngine": {
        "unmonitoredFilesystems": ["nfs"]
    }
  

  監控所有檔案系統（包括 NFS 與 FUSE）的範例：

  "antivirusEngine": {
      "unmonitoredFilesystems": []
  }
  

  • 其他性能改進

  • 錯誤修正

已知問題

• 從 mdatp 版本 101.75.43 或 101.78.13 升級時，可能會遇到核心當機。 在嘗試升級到 101.98.05 版本前，請執行以下指令。 關於根本問題的更多資訊，請參閱 fanotify 程式碼中因任務阻塞而導致的系統掛機。 有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 有些客戶 (<1%) 會遇到這種方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年9月建置：101.23072.0021 |發行版本：30.123072.0021.0

新增功能

本版本包含多項修正與新變更：

• 在 v0.6.3 中 mde_installer.sh ，使用者可在清理時使用 --channel 參數提供配置儲存庫的通道。 例如，sudo ./mde_installer --clean --channel prod

• 管理員現在 mdatp network-protection reset可以使用 。

• 其他性能改進

• 錯誤修正

已知問題

• 從 mdatp 版本101.75.43101.78.13升級時，你可能會遇到核心當機。 在嘗試升級到版本 101.98.05前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統當機。

有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 有些客戶 (<1%) 會遇到這種方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年7月版本：101.23062.0010 |發行版本：30.123062.0010.0

新增功能

這個版本有多項修正和新變更

• 如果 Defender for Endpoint 有設定代理，那麼它會在 mdatp health 指令輸出中看到。 這次釋出時，我們在 mdatp 診斷熱事件來源中提供了兩種選項：

  • 檔案
  • 可執行檔

• 網路保護：被網路保護封鎖且使用者覆寫該封鎖的連線，現在會正確回報給 Microsoft Defender 全面偵測回應

• 改善網路保護區塊與除錯審計事件的日誌功能 |

• 其他修正與改進

  • 從這個版本開始，enforcementLevel 預設處於被動模式，讓管理員能更掌控他們想在資產中「RTP 開啟」的地點
  • 此變更僅適用於新部署的 MDE，例如首次部署 Defender for Endpoint 的伺服器。 在更新情境下，部署 Defender for Endpoint 並開啟 RTP 的伺服器，即使在更新至 101.23062.0010 後，仍可繼續以 RTP ON 運作

• 錯誤修正：Defender 弱點管理基線中的 RPM 資料庫損壞問題已修復。

• 其他性能改進

已知問題

從 mdatp 版本101.75.43101.78.13升級時，你可能會遇到核心當機。 在嘗試升級到版本 101.98.05前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統當機。

有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 有些客戶 (<1%) 會遇到這種方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年7月版本：101.23052.0009 |發行版本：30.123052.0009.0

新增功能

• 此版本包含多項修正與新變更——建置版本架構是從此版本更新的。 雖然主要版本號仍維持 101 不變，但次要版本號現在改為五位數後接四位數補丁號，即 101.xxxxx.yyy - 強化網路保護在壓力下記憶體消耗
  • 將引擎版本 1.1.20300.5 和簽名版本更新為 1.391.2837.0。
  • 錯誤修正。

已知問題

從 mdatp 版本101.75.43101.78.13升級時，你可能會遇到核心當機。 在嘗試升級到版本 101.98.05前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統當機。

有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 有些客戶 (<1%) 會遇到這種方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年6月建置：101.98.89 |發行版本：30.123042.19889.0

新增功能

這個版本有多項修正和新變更

• 改進的網路保護代理處理。

• 在被動模式下，Defender for Endpoint 不再在定義更新時進行掃描。

• 即使 Defender for Endpoint 代理程式過期，裝置仍持續受到保護。 我們建議將 Defender for Endpoint Linux 代理程式升級至最新可用版本，以獲得錯誤修正、功能及效能提升。

• 移除了 semanage 套件的依賴。

• 引擎更新與 1.1.20100.7 簽名版本： 1.385.1648.0。

• 錯誤修正。

已知問題

• 從 mdatp 版本101.75.43101.78.13升級時，你可能會遇到核心當機。 在嘗試升級到版本 101.98.05前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統當機。

有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 有些客戶 (<1%) 會遇到這種方法的問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年5月建置：101.98.64 |發行版本：30.123032.19864.0

新增功能

這個版本有多項修正和新變更

• 健康訊息改進以捕捉審核失敗的細節。

• 為了處理導致安裝失敗的 augenrule 進行改進。

• 引擎程序中的週期性記憶體清理。

• 修復 mdatp audisp 插件中的記憶體問題。

• 安裝時處理了缺少外掛目錄路徑的問題。

• 當衝突的應用程式使用 Blocking fanotify 時，預設設定下 mdatp 健康狀態顯示不健康。 這個問題現在已經修正。

• 支援 BM 地區的 ICMP 交通檢查。

• 引擎更新與 1.1.20100.6 簽名版本： 1.385.68.0。

• 錯誤修正。

已知問題

• 從 mdatp 版本101.75.43101.78.13升級時，你可能會遇到核心當機。 在嘗試升級到版本 101.98.05前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統當機。

有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 注意：部分客戶 (<1%的 ) 使用此方法會遇到問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年4月建置：101.98.58 |發行版本：30.123022.19858.0

新增功能

這個版本有多項修正和新變更

• 為審計部門改進日誌與錯誤回報。

• 處理審核過設定重載時的失敗。

• 在安裝 MDE 時處理空的稽核規則檔案。

• 引擎更新與 1.1.20000.2 簽名版本： 1.381.3067.0。

• 解決了 mdatp 中因 selinux 拒絕而產生的健康問題。

• 錯誤修正。

已知問題

• 在升級 mdatp 到版本 101.94.13 或更新版本時，你可能會發現健康狀況是錯誤的，health_issues 顯示為「無活躍的補充事件提供者」。 這可能是因為現有機器的審核規則設定錯誤或衝突所致。 為了緩解這個問題，現有機器的審核規則需要修正。 以下指令可以幫助你辨識這些審核規則 (指令需要以超級使用者) 執行。 請備份以下檔案：/etc/audit/rules.d/audit.rules，因為這些步驟僅用於識別故障。

  echo -c >> /etc/audit/rules.d/audit.rules
  augenrules --load
  

• 從 mdatp 版本101.75.43101.78.13升級時，可能會遇到核心當機。 在嘗試升級到版本 101.98.05前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統當機。

有兩種方法可以緩解這個升級問題：

1. 用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

   例如:

   sudo apt purge mdatp
   sudo apt-get install mdatp
   

2. 另外，你可以依照說明 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 MDATP，可以在升級前依序停用 RTP 和 MDATP。 注意：部分客戶 (<1%的 ) 使用此方法會遇到問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年3月建置：101.98.30 |發行版本：30.123012.19830.0

新增功能

• 此新版本是在 2023 年 3 月的 ('101.98.05'') 上建置，並修正了我們某客戶的即時回應指令失敗問題。 其他客戶沒有變動，升級是可選的。

已知問題

• 在 mdatp 版本 101.98.30 中，有些情況下可能會出現健康錯誤的問題，因為 SELinux 規則並未針對某些情境定義。 健康警告可以是這樣寫的：

發現過去一天內有SELinux的拒絕紀錄。 如果 MDATP 是最近安裝的，請清除現有的稽核日誌，或等待一天讓這個問題自動解決。 請使用指令：「sudo ausearch -i -c 'mdatp_audisp_pl' |grep “type=AVC” |GREP「拒絕」以尋找細節

這個問題可以透過執行以下指令來緩解。

sudo ausearch -c 'mdatp_audisp_pl' --raw | sudo audit2allow -M my-mdatpaudisppl_v1
sudo semodule -i my-mdatpaudisppl_v1.pp

這裡，my-mdatpaudisppl_v1 代表政策模組名稱。 執行指令後，要麼等 24 小時，要麼清除/歸檔稽核日誌。 可透過執行以下指令來歸檔稽核日誌

sudo service auditd stop
sudo systemctl stop mdatp
cd /var/log/audit
sudo gzip audit.*
sudo service auditd start
sudo systemctl start mdatp
mdatp health

以防問題以不同的否認方式再次出現。 我們需要用不同的模組名稱重新執行緩解程序，例如 (my-mdatpaudisppl_v2) 。

2023年3月建置：101.98.05 |發行版本：30.123012.19805.0

新增功能

• 提升網路連線事件的資料完整性

• 改進檔案所有權/權限變更的資料收集功能

• seManage 是套件的一部分，因此 seLinux 政策可以在不同發行版 (固定) 中配置。

• 提升企業守護程序穩定性

• AuditD 停止路徑清理

• 提升了 MDATP 停止流的穩定性。

• 新增了 wdavstate 欄位以追蹤平台更新時間。

• Defender for Endpoint 導入 blob 解析穩定性的改進。

• 如果沒有有效駕照 (固定的駕照，掃描不會繼續)

• xPlatClientAnalyzer 新增效能追蹤選項，啟用追蹤時，mdatp 程序會將流程匯出到 all_process.zip 檔案，可用於效能分析。

• 在 Defender for Endpoint 中新增對以下 RHEL-6 核心版本的支援：

  • 2.6.32-754.43.1.el6.x86_64
  • 2.6.32-754.49.1.el6.x86_64

• 其他修正

已知問題

在將 mdatp 升級到 101.94.13 版本時，你可能會注意到健康狀況顯示錯誤，health_issues 顯示為「無活躍的補充事件提供者」。 這可能是因為現有機器的審核規則設定錯誤或衝突所致。 為了緩解這個問題，現有機器的審核規則需要修正。 以下步驟可以幫助你辨識這些審核過的規則 (這些指令需要以超級使用者) 執行。 務必備份以下檔案：'/etc/audit/rules.d/audit.rules'，因為這些步驟僅用於識別故障。

echo -c >> /etc/audit/rules.d/audit.rules
augenrules --load

• 從 mdatp 版本101.75.43101.78.13升級時，你可能會遇到核心當機。 在嘗試升級到版本 101.98.05前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統掛機

在升級過程中，有兩種方法可以減輕這個問題。

用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

另外，你可以依照指示卸 載，然後 安裝 最新版本的套件。

如果你不想卸載 mdatp，可以在升級前依序停用 rtp 和 mdatp。 注意：部分 (<1% ) 的客戶使用此方法時遇到問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2023年1月建置：101.94.13 |發行版本：30.122112.19413.0

新增功能

• 這個版本有多項修正和新變更
  • 預設跳過被動模式中威脅的隔離。
  • 新的設定檔 nonExecMountPolicy 現在可以用來指定標記為 noexec 的掛載點 RTP 行為。
  • 新的設定檔 unmonitoredFilesystems 可用來解除某些檔案系統的監控。
  • 在高負載及速度測試情境下的性能有所提升。
  • 解決了在 Cisco AnyConnect VPN 連線後方存取 SMB 共享的問題。
  • 解決了網路保護和 SMB 的問題。
  • LTTNG 性能追蹤支援。
  • TVM、eBPF、審核、遙測及MDATP的CLI改進。
  • MDATP健康局現已報告behavior_monitoring
  • 其他解決方法。

已知問題

• 在升級 mdatp 版本 101.94.13時，你可能會發現健康狀況是錯誤的，health_issues 顯示「沒有活躍的補充事件提供者」。 這可能是因為現有機器的審核規則設定錯誤或衝突所致。 為了緩解這個問題，現有機器的審核規則需要修正。 以下步驟可以幫助你辨識這些審核過的規則 (這些指令需要以超級使用者) 執行。 請備份以下檔案： /etc/audit/rules.d/audit.rules 這些步驟僅用於識別故障。

  echo -c >> /etc/audit/rules.d/audit.rules
  augenrules --load
  

• 從 mdatp 版本101.75.43101.78.13升級時，你可能會遇到核心當機。 在嘗試升級到 101.94.13 版本前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統掛機

在升級過程中，有兩種方法可以減輕這個問題。

用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

另外，你可以依照指示卸 載，然後 安裝 最新版本的套件。

如果你不想卸載 mdatp，可以在升級前依序停用 rtp 和 mdatp。 注意：部分 (<1% ) 的客戶使用此方法時遇到問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2022年11月建置：101.85.27 |發行版本：30.122092.18527.0

新增功能

• 這個版本有多項修正和新變更
  • 此版本預設搭載 V2 引擎，移除 V1 引擎零件以提升安全性。
  • V2 引擎支援防毒定義的配置路徑。 (MDATP 定義 Set 路徑)
  • 移除了 MDE 套件中的外部套件相依。 移除的相依有 libatomic1、libselinux、libseccomp、libfuse 和 libuuid
  • 如果設定中關閉了當機收集，當機監控程序不會啟動。
  • 效能修正，以優化系統事件以實現防毒功能。
  • 重啟 MDATP 並載入 epsext 時穩定性提升。
  • 其他修正

已知問題

• 從 mdatp 版本101.75.43101.78.13升級時，你可能會遇到核心當機。 在嘗試升級到 101.85.21 版本前，請執行以下指令。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統掛機

在升級過程中，有兩種方法可以減輕這個問題。

用你的套件管理器卸載 101.75.43 或 101.78.13 mdatp 版本。

例如:

sudo apt purge mdatp
sudo apt-get install mdatp

另一種做法是依照指示 卸載，然後 安裝 最新版本的套件。

如果你不想卸載 mdatp，可以在升級前依序停用 rtp 和 mdatp。 注意：部分 (<1% ) 的客戶使用此方法時遇到問題。

sudo mdatp config real-time-protection --value=disabled
sudo systemctl disable mdatp

2022年9月建置：101.80.97 |發行版本：30.122072.18097.0

新增功能

• 修復在特定客戶工作負載中運行 mdatp 版本 101.75.43時觀察到的核心掛機。 RCA 之後，這被歸因於競爭條件，同時釋放了感測器檔案描述符的所有權。 競爭狀態是因為近期產品在關機路徑中發生變化而暴露出來的。 使用較新核心版本 (5.1+) 的用戶則不受此問題影響。 更多資訊請參閱 fanotify 程式碼中因任務阻塞而導致的系統當機。

已知問題

• 從 mdatp 版本101.75.43101.78.13或 升級時，你可能會遇到核心當機。 在嘗試升級到版本 101.80.97前，請執行以下指令。 此操作應能防止問題發生。

  sudo mdatp config real-time-protection --value=disabled
  sudo systemctl disable mdatp
  

執行完指令後，使用你的套件管理器執行升級。

另一種做法是依照指示 卸載，然後 安裝 最新版本的套件。

2022年8月建置：101.78.13 |發行版本：30.122072.17813.0

新增功能

• 因可靠性問題而被回滾

2022年8月 (建置：101.75.43 |發行版本：30.122071.17543.0)

新增功能

• 新增對 Red Hat Enterprise Linux 9.0 版本的支援
• 在輸出 mdatp health 中新增了一個欄位，可以用來查詢網路保護功能的執行等級。 新欄位稱為 network_protection_enforcement_level ，且可取以下其中之一值： audit、、 block或 disabled。
• 修正了一個產品錯誤，該錯誤中多次偵測相同內容可能導致威脅歷史中重複條目
• 解決了產品 (產生的其中一個程序在服務停止時) mdatp_audisp_plugin 有時未正確終止的問題
• 其他錯誤修正

2022年7月建置：101.73.77 |發行版本：30.122062.17377.0

新增功能

• 新增設定檔案雜湊計算的選項
• 從此版本起，產品預設採用新的反惡意軟體引擎
• 檔案複製操作的效能改進
• Bug 修正

2022年6月建置：101.71.18 |發行版本：30.122052.17118.0

新增功能

• 修正：支援定義儲存在非標準位置 (v2 定義更新時 /var) 以外的地方
• 修正了 RHEL 6 產品感測器中可能導致作業系統當機的問題
• mdatp connectivity test 擴充了產品需要額外網址才能正常運作。 新的網址是 https://go.microsoft.com/fwlink/?linkid=2144709。
• 直到現在，產品日誌層級在產品重新啟動之間並未持續存在。 從這個版本開始，新增了一個命令列工具開關，可以持續維持日誌層級。 新指令為 mdatp log level persist --level <level>。
• 移除了產品安裝套件中對 的 python 依賴
• 檔案複製操作及網路事件處理的效能提升，來源為 auditd
• Bug 修正

2022年5月建置：101.68.80 |發行版本：30.122042.16880.0

新增功能

• 在 RHEL 6 上運行時新增對核心版本 2.6.32-754.47.1.el6.x86_64 的支援
• 在 RHEL 6 上，產品現在可以安裝在運行 Unbreakable Enterprise Kernel (UEK) 的裝置上
• 修正了程序名稱有時錯誤顯示 unknown 為執行時的問題 mdatp diagnostic real-time-protection-statistics
• 修正了產品有時錯誤偵測隔離資料夾內檔案的錯誤
• 修正 mdatp 了命令列工具掛載為軟連結時 /opt 無法運作的問題
• 效能提升 & 錯誤修正

2022年5月建置：101.65.77 |發行版本：30.122032.16577.0

新增功能

• 將欄位改進 conflicting_applications 為 mdatp health 僅顯示最近10個流程，並包含流程名稱。 這讓辨識哪些程序可能與 適用於端點的 Microsoft Defender for Linux 衝突變得更容易。
• Bug 修正

2022年3月 (建置：101.62.74 |發行版本：30.122022.16274.0)

新增功能

• 解決了產品在舊版核心版本上錯誤阻擋超過 2 GB 檔案存取的問題
• Bug 修正

2022年3月建置：101.60.93 |發行版本：30.122012.16093.0

新增功能

• 本版本包含 CVE-2022-23278 的安全更新。

2022年3月建置：101.60.05 |發行版本：30.122012.16005.0

新增功能

• 新增對核心版本 2.6.32-754.43.1.el6.x86_64 的支援，適用於 RHEL 6.10
• Bug 修正

2022年2月建置：101.58.80 |發行版本：30.122012.15880.0

新增功能

• 命令列工具現在支援將隔離檔案還原到檔案原始偵測位置以外的位置。 這可以透過 來完成 mdatp threat quarantine restore --id [threat-id] --path [destination-folder]。
• 從此版本開始，Linux 的網路保護可隨時評估
• Bug 修正

2022年1月建置：101.56.62 |發行版本：30.121122.15662.0

新增功能

• 修正了 101.53.02 引入的產品崩潰，該事件影響了多位客戶

2022年1月建置：101.53.02 |發行版本：30.121112.15302.0

新增功能

• 效能提升 & 錯誤修正

2021 年發行

建造時間：101.52.57 |發行版本：30.121092.15257.0

新增功能

• 新增偵測 Java 應用程式中易受攻擊的 Log4j jar 的功能。 機器會定期檢查是否運行載入 Log4j jar 的 Java 程序。 這些資訊會回報給 適用於端點的 Microsoft Defender 後端，並暴露於入口網站的漏洞管理區域。

建造時間：101.47.76 |發行版本：30.121092.14776.0

新增功能

• 新增命令列工具開關，可控制按需掃描時是否掃描檔案。 這可以透過 mdatp 設定 scan-archives--value [啟用/停用]來設定。 預設情況下，此設定為啟用。

• Bug 修正

建造時間：101.45.13 |發行版本：30.121082.14513.0

新增功能

• 從這個版本開始，我們將為以下發行版帶來 適用於端點的 Microsoft Defender 支援：

  • RHEL6.7-6.10 及 CentOS 6.7-6.10 版本。
  • Amazon Linux 2
  • Fedora 33 或更新版本

• Bug 修正

建造時間：101.45.00 |發行版本：30.121072.14500.0

新增功能

• 新增命令列工具開關：
  • 按需掃描的平行度控制程度。 這可以透過 進行配置 mdatp config maximum-on-demand-scan-threads --value [number-between-1-and-64]。 預設情況下，會使用某 2 程度的平行性。
  • 控制安全情報更新後的掃描是否啟用或停用。 這可以透過 進行配置 mdatp config scan-after-definition-update --value [enabled/disabled]。 預設情況下，此設定設為 enabled。
  • 現在要改變產品日誌等級，需要進行高拔
  • Bug 修正

建造時間：101.39.98 |發行版本：30.121062.13998.0

新增功能

• 效能提升 & 錯誤修正

建造時間：101.34.27 |發行版本：30.121052.13427.0

新增功能

• 效能提升 & 錯誤修正

建造時間：101.29.64 |發行版本：30.121042.12964.0

新增功能

• 從此版本開始，透過命令列用戶端觸發的按需防毒掃描偵測到的威脅會自動被修復。 透過使用者介面觸發掃描時偵測到的威脅仍需手動操作。
• mdatp diagnostic real-time-protection-statistics 現在支援另外兩個交換器：
• --sort： 依掃描檔案總數遞減排序輸出
• --top N： 顯示前 N 個結果 (僅在 --sort 也指定 時有效)
• 效能提升 & 錯誤修正

建造時間：101.25.72 |發行版本：30.121022.12563.0

新增功能

• 適用於端點的 Microsoft Defender 現已提供美國政府客戶預覽版。 欲了解更多資訊，請參閱美國政府客戶的 適用於端點的 Microsoft Defender。
• 已修正一個問題：在 Linux 上使用 適用於端點的 Microsoft Defender 時，搭配 FUSE 檔案系統的系統會導致作業系統當機
• 效能提升 & 其他錯誤修正

建造：101.25.63 |發行版本：30.121022.12563.0

新增功能

• 效能提升 & 錯誤修正

建造時間：101.23.64 |發行版本：30.121021.12364.0

新增功能

• 在整個掛載點被加入防毒排除清單時，效能提升。 在此版本之前，產品處理來自掛載點的檔案活動。 從此版本開始，排除掛載點的檔案活動會被抑制，導致產品效能提升
• 在命令列工具中新增了一個選項，可以查看最後一次隨選掃描的資訊。 要查看最後一次隨選掃描的資訊，請執行 mdatp health --details antivirus
• 其他效能改進 & 錯誤修正

建造時間：101.18.53

新增功能

• Linux 版 EDR 現已 正式推出

• 新增了一個命令列切換器 (--ignore-exclusions) 可以忽略自訂掃描時的防毒排除， (mdatp scan custom)

• 新增 mdatp diagnostic create 參數 (--path [directory]) ，允許診斷日誌儲存到不同目錄

• 效能提升 & 錯誤修正