Résoudre les problèmes d’installation de Microsoft Defender pour point de terminaison sur Linux

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Vérifier que l’installation a réussi

Une erreur lors de l’installation peut ou non entraîner un message d’erreur significatif par le gestionnaire de package. Pour vérifier si l’installation a réussi, obtenez et case activée les journaux d’installation à l’aide de :

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log
 grep 'postinstall end' installation.log
 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Une sortie de la commande précédente avec la date et l’heure d’installation correctes indique la réussite.

En outre, case activée la configuration du client pour vérifier l’intégrité du produit et détecter le fichier texte EICAR.

Vérifiez que vous disposez du package approprié

Vérifiez que le package que vous installez correspond à la distribution et à la version de l’hôte.



package distribution
mdatp-rhel8. Linux.x86_64.rpm Oracle, RHEL et CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm Oracle, RHEL et CentOS 7.x
mdatp. Linux.x86_64.deb Debian et Ubuntu 16.04, 18.04 et 20.04

Pour le déploiement manuel, vérifiez que la distribution et la version appropriées sont sélectionnées.

Remarque

MDE Linux n’envoie plus de solution pour RHEL 6.

Échec de l’installation en raison d’une erreur de dépendance

Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances requises.

Les dépendances de package externes suivantes existent pour le package mdatp :

  • Le package rpm mdatp nécessite glibc >= 2.17, audit, policycoreutils, semanage, , selinux-policy-targetedmde-netfilter
  • Pour DEBIAN, le package mdatp nécessite libc6 >= 2.23, uuid-runtime, auditd, mde-netfilter

Le package mde-netfilter a également les dépendances de package suivantes :

  • Pour DEBIAN, le package mde-netfilter nécessite libnetfilter-queue1, libglib2.0-0
  • Pour rpm, le package mde-netfilter nécessite libmnl, libnfnetlink, libnetfilter_queue, glib2

Échec de l’installation

Vérifiez si le service Defender pour point de terminaison est en cours d’exécution :

service mdatp status
 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Étapes de résolution des problèmes si le service mdatp n’est pas en cours d’exécution

  1. Vérifiez si mdatp l’utilisateur existe :

    id "mdatp"
    

    S’il n’y a pas de sortie, exécutez

    sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
    
  2. Essayez d’activer et de redémarrer le service à l’aide de :

    sudo service mdatp start
    
    sudo service mdatp restart
    
  3. Si mdatp.service est introuvable lors de l’exécution de la commande précédente, exécutez :

    sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
    

    <systemd_path> est /lib/systemd/system pour les distributions Ubuntu et Debian et /usr/lib/systemd/system' pour Rhel, CentOS, Oracle et SLES. Réexécutez ensuite l’étape 2.

  4. Si les étapes ci-dessus ne fonctionnent pas, case activée si SELinux est installé et en mode d’application. Si c’est le cas, essayez de le définir sur le mode permissif (de préférence) ou désactivé. Pour ce faire, définissez le paramètre SELINUXpermissive sur ou disabled dans le /etc/selinux/config fichier, puis redémarrez. Pour plus d’informations, consultez la page man de selinux. Essayez maintenant de redémarrer le service mdatp en suivant l’étape 2. Rétablissez immédiatement la modification de la configuration pour des raisons de sécurité après l’avoir essayée et redémarré.

  5. Si /opt le répertoire est un lien symbolique, créez un montage de liaison pour /opt/microsoft.

  6. Vérifiez que le démon dispose de l’autorisation exécutable.

    ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
    
    -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    Si le démon n’a pas d’autorisations exécutables, rendez-le exécutable à l’aide de :

    sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
    

    et réessayez d’exécuter l’étape 2.

  7. Vérifiez que le système de fichiers contenant wdavdaemon n’est pas monté avec noexec.

Si le service Defender pour point de terminaison est en cours d’exécution, mais que la détection de fichier texte EICAR ne fonctionne pas

  1. Vérifiez le type de système de fichiers à l’aide de :

    findmnt -T <path_of_EICAR_file>
    

    Les systèmes de fichiers actuellement pris en charge pour l’activité à l’accès sont répertoriés ici. Les fichiers en dehors de ces systèmes de fichiers ne sont pas analysés.

L’outil en ligne de commande mdatp ne fonctionne pas

  1. Si l’exécution de l’outil mdatp en ligne de commande génère une erreur command not found, exécutez la commande suivante :

    sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
    

    et réessayez.

    Si aucune des étapes ci-dessus ne vous aide, collectez les journaux de diagnostic :

    sudo mdatp diagnostic create
    
    Diagnostic file created: <path to file>
    

    Le chemin d’accès à un fichier zip qui contient les journaux est affiché sous forme de sortie. Contactez notre support client avec ces journaux.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.