Odłączanie lub odinstalowywanie Ochrona punktu końcowego w usłudze Microsoft Defender na Linux

Ten artykuł jest przeznaczony dla administratorów IT i specjalistów ds. zabezpieczeń, którzy muszą odłączyć lub odinstalować Ochrona punktu końcowego w usłudze Microsoft Defender z serwerów Linux. Objaśnia on różnicę między odłączaniem i odinstalowywaniem, pomaga zdecydować, która opcja jest odpowiednia dla danego scenariusza, i zawiera instrukcje krok po kroku dla każdej metody. Opisano w nim również sposób wyświetlania odłączonych i odinstalowanych urządzeń w portalu Microsoft Defender.

Omówienie

Po odłączeniu urządzenia z usługi Defender for Endpoint lub odinstalowaniu aplikacji Defender do portalu Microsoft Defender nie są wysyłane żadne nowe wykrycia, luki w zabezpieczeniach ani dane zabezpieczeń. Siedem dni po odłączeniu urządzenia jego stan kondycji czujnika zmienia się na nieaktywny. Wcześniejsze dane, takie jak alerty, luki w zabezpieczeniach i oś czasu urządzenia, dla odłączonych lub odinstalowanych urządzeń pozostają widoczne w portalu Microsoft Defender do momentu wygaśnięcia skonfigurowanego okresu przechowywania. Profil urządzenia (bez danych) jest również widoczny w spisie urządzeń przez maksymalnie 180 dni. Urządzenia, które nie były aktywne w ciągu ostatnich 30 dni, nie są uwzględniane w wskaźniku narażenia organizacji.

Aby wyświetlić dane tylko dla aktywnych urządzeń, można użyć filtrów, takich jak stan kondycji czujnika, tagi urządzeń lub grupy urządzeń.

Jaka jest różnica między odłączaniem a odinstalowywaniem?

Istnieją istotne różnice między odłączaniem i odinstalowywaniem:

  • Odłączanie odłącza urządzenie od usługi Defender, dzięki czemu przestaje wysyłać dane zabezpieczeń podczas opuszczania zainstalowanego agenta.
  • Odinstalowywanie powoduje całkowite usunięcie oprogramowania i usług usługi Defender for Endpoint z urządzenia i zatrzymanie wysyłania danych zabezpieczeń.

Jak wybrać między odłączaniem a odinstalowywaniem

  • Odłączanie, gdy chcesz tymczasowo uniemożliwić usłudze Defender komunikowanie się z usługą Defender przy jednoczesnym zachowaniu zainstalowanej aplikacji Defender na serwerze Linux. Ta opcja jest zalecana, jeśli planujesz później ponownie zainstalować usługę Defender bez ponownej instalacji agenta. Na przykład możesz chcieć odłączyć usługę Defender, jeśli chcesz rozwiązać problem z aplikacją Defender lub jeśli chcesz tymczasowo zatrzymać usługę Defender podczas wykonywania konserwacji na serwerze.

  • Odinstaluj, jeśli chcesz całkowicie usunąć aplikację defender z serwera Linux, na przykład podczas zmiany pierścienia instalacji (Prod/Insider Slow/Insider Fast) lub gdy nie planujesz już używać Microsoft Defender na urządzeniu.

Jak działają odłączone i odinstalowane urządzenia?

Po pomyślnym odłączeniu lub odinstalowaniu urządzenia aplikacja Defender działa w następujący sposób:

  • Przestaje wysyłać dane telemetryczne (takie jak alerty i luki w zabezpieczeniach) do portalu Microsoft Defender.
  • Staje się nielicencjonowany i niefunkcjonalny.
  • Zasady zabezpieczeń stosowane za pośrednictwem Microsoft Defender są usuwane.

Jak w portalu usługi Defender są wyświetlane odłączone i odinstalowane urządzenia?

  • Stan kondycji czujnika odłączonych lub odinstalowanych urządzeń zmienia się na Nieaktywne po siedmiu dniach braku telemetrii.
  • Odłączone i odinstalowane urządzenia pozostają widoczne przez maksymalnie 180 dni. Aby uzyskać więcej informacji na temat przechowywania danych, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender magazyn danych i prywatność.
  • Dane historyczne (alerty, oś czasu, spis oprogramowania) pozostają dostępne w okresie przechowywania.
  • W portalu nie jest wyświetlana żadna jawna etykieta odłączona ani odinstalowana. Aby odróżnić urządzenia odłączone lub odinstalowane od urządzeń, które są po prostu odłączone lub nieaktywne, zalecamy dodanie tagu do urządzenia przed jego odłączeniem lub odinstalowaniem. Ułatwia to późniejsze identyfikowanie i filtrowanie tych urządzeń.

Odłączanie urządzenia

Dostępne są dwie metody odłączenia serwera Linux od Ochrona punktu końcowego w usłudze Microsoft Defender:

  • Odłączanie przy użyciu skryptu
  • Odłączanie przy użyciu pliku JSON odłączania.

Obie metody osiągają ten sam wynik, dzięki czemu można wybrać tę, która najlepiej pasuje do Twojego scenariusza.

Odłączanie przy użyciu skryptu

  1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

  2. W okienku nawigacji w obszarze System wybierz pozycję Ustawienia>Punkty końcowe, a następnie w obszarze Zarządzanie urządzeniami wybierz pozycję Odłączanie.

  3. Wybierz pozycję Linux Server jako system operacyjny, a następnie w sekcji Metoda wdrażania wybierz pozycję Skrypt lokalny.

  4. Wybierz pozycję Pobierz pakiet , a następnie wybierz pozycję Pobierz. Pobrany folder spakowany ma nazwę WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (gdzie RRRR-MM-DD jest datą wygaśnięcia pakietu).

  5. Na serwerze Linux wyodrębnij zawartość pliku ZIP do katalogu lokalnego.

  6. Otwórz terminal i przejdź do katalogu, w którym znajduje się plik MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD .

  7. Wpisz sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py w terminalu. Spowoduje to wykonanie skryptu odłączania, który wyłącza urządzenie z Ochrona punktu końcowego w usłudze Microsoft Defender.

Odłączanie przy użyciu pliku JSON odłączania

Uwaga

Tę metodę można wykonać ręcznie lub automatycznie przy użyciu preferowanego narzędzia do zarządzania konfiguracją Linux.

  1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
  2. W okienku nawigacji w obszarze System wybierz pozycję Ustawienia>Punkty końcowe, a następnie w obszarze Zarządzanie urządzeniami wybierz pozycję Odłączanie.
  3. Wybierz pozycję Linux Server jako system operacyjny, a następnie w sekcji Metoda wdrażania wybierz preferowane narzędzie do zarządzania konfiguracją Linux.
  4. Wybierz pozycję Pobierz pakiet , a następnie wybierz pozycję Pobierz. Folder spakowany ma nazwę WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (gdzie RRRR-MM-DD jest datą wygaśnięcia pakietu).
  5. Wyodrębnij zawartość pliku ZIP i znajdź plik mdatp_offboard.json .
  6. Skopiuj mdatp_offboard.json do następującej lokalizacji na serwerze Linux:/etc/opt/microsoft/mdatp/mdatp_offboard.json

Odinstalowywanie aplikacji usługi Defender z serwera Linux

Dostępne są dwie metody odinstalowywania aplikacji Defender z serwera Linux: odinstalowywanie przy użyciu narzędzia wdrażania usługi Defender (zalecane) lub ręczne odinstalowywanie. Obie metody osiągają ten sam wynik, dzięki czemu można wybrać tę, która najlepiej pasuje do Twojego scenariusza.

Jest to zalecana metoda, ponieważ umożliwia odinstalowanie aplikacji Defender w jednym kroku.

  1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

  2. W okienku nawigacji w obszarze System wybierz pozycję Ustawienia>Punkty końcowe, a następnie w obszarze Zarządzanie urządzeniami wybierz pozycję Dołączanie.

  3. Wybierz pozycję Linux Server jako system operacyjny.

  4. Przejdź do narzędzia wdrażania usługi Defender jako metody wdrażania i wybierz pozycję Pobierz pakiet (plik ZIP jest pobierany).

  5. Wyodrębnij pakiet i uruchom następujące polecenie. Spowoduje to usunięcie aplikacji Defender i wyczyszczenie repozytorium:

    ./defender_deployment_tool.sh --remove --clean

Ręczne odinstalowywanie

Aby ręcznie usunąć aplikację usługi Defender i wyczyścić repozytorium, uruchom jedno z następujących poleceń (w zależności od tego, co jest odpowiednie, w zależności od dystrybucji Linux):

Red Hat Enterprise Linux (RHEL) i warianty (CentOS i Oracle Linux)

sudo yum remove mdatp

lub

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) i warianty

sudo zypper remove mdatp

Ubuntu i Debian

sudo apt-get purge mdatp

Mariner

sudo dnf remove mdatp

Jak sprawdzić stan odłączania urządzenia

Aby sprawdzić stan odłączania urządzenia, uruchom następujące polecenie:

mdatp health --field health_issues

Oczekiwane dane wyjściowe

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

Aplikacja Defender pozostaje zainstalowana na urządzeniu, chyba że zostanie ręcznie odinstalowana.

Zawartość pokrewna

  • Last updated on