Offboard eller fjern Microsoft Defender for Endpoint på Linux

Denne artikel er beregnet til it-administratorer og sikkerhedseksperter, der har brug for at fjerne Microsoft Defender for Endpoint fra Linux servere. Den forklarer forskellen mellem offboarding og fjernelse, hjælper dig med at beslutte, hvilken indstilling der passer til dit scenarie, og den indeholder en trinvis vejledning til hver metode. Den indeholder også en beskrivelse af, hvordan offboardede og fjernede enheder vises på Microsoft Defender-portalen.

Oversigt

Når du kommer væk fra en enhed fra Defender for Endpoint eller fjerner Defender-programmet, sendes der ingen nye registreringer, sårbarheder eller sikkerhedsdata til Microsoft Defender-portalen. Syv dage efter offboarding af en enhed ændres dens sensortilstand til inaktiv. Tidligere data, f.eks. beskeder, sikkerhedsrisici og enhedens tidslinje for en enhed, der ikke er om bord eller fjernet, forbliver synlige på portalen Microsoft Defender, indtil den konfigurerede opbevaringsperiode udløber. Du kan også se enhedsprofilen (uden data) på enhedens lager i op til 180 dage. Enheder, der ikke var aktive inden for de seneste 30 dage, indregnes ikke i organisationens eksponeringsscore.

Hvis du kun vil have vist data for aktive enheder, kan du bruge filtre, f.eks . sensortilstandstilstand, enhedstags eller enhedsgrupper.

Hvad er forskellen mellem offboarding og fjernelse?

Der er vigtige forskelle mellem offboarding og fjernelse:

  • Offboarding afbryder forbindelsen mellem en enhed og Defender-tjenesten, så den holder op med at sende sikkerhedsdata, mens agenten er installeret.
  • Hvis du fjerner installationen, fjernes Defender for Endpoint-softwaren og -tjenesterne helt fra enheden, og der sendes ikke længere sikkerhedsdata.

Sådan vælger du mellem offboarding og fjernelse

  • Offboard, når du midlertidigt vil forhindre Defender i at kommunikere med Defender-tjenesten, samtidig med at Defender-programmet er installeret på Linux-serveren. Denne indstilling anbefales, hvis du planlægger at gennable Defender senere uden at geninstallere agenten. Det kan f.eks. være, at du vil offboarde, hvis du har brug for at foretage fejlfinding af et problem med Defender-programmet, eller hvis du vil stoppe Defender midlertidigt, mens du udfører vedligeholdelse på serveren.

  • Fjern, når du vil fjerne Defender-programmet helt fra Linux-serveren, f.eks. når du ændrer installationsringen (Prod/Insider Slow/Insider Fast), eller når du ikke længere planlægger at bruge Microsoft Defender på enheden.

Hvordan fungerer offboardede og fjernede enheder?

Når en enhed er blevet offboardet eller fjernet, fungerer Defender-programmet på følgende måde:

  • Den stopper med at sende telemetri (f.eks. beskeder og sikkerhedsrisici) til Microsoft Defender-portalen.
  • Det bliver uden licens og ikke-funktionsfri.
  • Sikkerhedspolitikker, der anvendes via Microsoft Defender, fjernes.

Hvordan vises offboardede og fjernede enheder på Defender-portalen?

  • Sensortilstanden for den offboardede eller fjernede enhed ændres til Inactive efter syv dage uden telemetri.
  • Offboardede og fjernede enheder forbliver synlige i op til 180 dage. Du kan få flere oplysninger om dataopbevaring under Microsoft Defender for Endpoint datalager og beskyttelse af personlige oplysninger.
  • Historiske data (beskeder, tidslinje, softwareoversigt) forbliver tilgængelige i opbevaringsperioden.
  • Der vises ingen eksplicit mærkat af typen Offboarded eller Uninstalled på portalen. Hvis du vil skelne mellem offboardede eller fjernede enheder og enheder, der blot er afbrudt eller inaktive, anbefaler vi, at du føjer et mærke til enheden, før du offboarder eller fjerner det. Det gør det nemmere at identificere og filtrere disse enheder senere.

Uden for en enhed

Der er to metoder tilgængelige til at komme væk fra en Linux server fra Microsoft Defender for Endpoint:

  • Offboard ved hjælp af et script
  • Offboard ved hjælp af en JSON-fil med offboarding.

Begge metoder opnår det samme resultat, så du kan vælge det, der passer bedst til dit scenarie.

Offboard ved hjælp af et script

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

  2. Vælg Indstillinger>Slutpunkter under System i navigationsruden, og vælg derefter Offboarding under Enhedshåndtering.

  3. Vælg Linux Server som operativsystem, og vælg derefter Lokalt script i afsnittet Installationsmetode.

  4. Vælg Download pakke , og vælg derefter Download. Den zippede mappe, der downloades, har navnet WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (hvor ÅÅÅÅ-MM-DD er udløbsdatoen for pakken).

  5. Udpak indholdet af ZIP-filen til en lokal mappe på din Linux-server.

  6. Åbn en terminal, og naviger til den mappe, hvor filen MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD er placeret.

  7. Skriv sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py terminalen. Dette kører offboarding-scriptet, som offboards enheden fra Microsoft Defender for Endpoint.

Offboard ved hjælp af en JSON-fil med offboarding

Bemærk!

Denne metode kan enten udføres manuelt eller automatisk ved hjælp af dit foretrukne Linux konfigurationsstyringsværktøj.

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.
  2. Vælg Indstillinger>Slutpunkter under System i navigationsruden, og vælg derefter Offboarding under Enhedshåndtering.
  3. Vælg Linux Server som operativsystem, og vælg derefter dit foretrukne Linux værktøj til administration af konfiguration i afsnittet Installationsmetode.
  4. Vælg Download pakke , og vælg derefter Download. Zip-mappen hedder WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (hvor ÅÅÅÅ-MM-DD er udløbsdatoen for pakken).
  5. Udpak indholdet af ZIP-filen, og find mdatp_offboard.json-filen .
  6. Kopiér mdatp_offboard.json til følgende placering på Linux-serveren:/etc/opt/microsoft/mdatp/mdatp_offboard.json

Fjern Defender-programmet fra en Linux-server

Der findes to metoder til at fjerne Defender-programmet fra en Linux-server: Fjern ved hjælp af Defender-installationsværktøjet (anbefales) eller manuel fjernelse. Begge metoder opnår det samme resultat, så du kan vælge det, der passer bedst til dit scenarie.

Dette er den anbefalede metode, da den giver dig mulighed for at fjerne Defender-programmet i et enkelt trin.

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

  2. Vælg Indstillinger>Slutpunkter under System i navigationsruden, og vælg derefter Onboarding under Enhedshåndtering.

  3. Vælg Linux Server som operativsystem.

  4. Gå til Defender-installationsværktøjet som installationsmetode, og vælg Download pakke (der downloades en ZIP-fil).

  5. Pak pakken ud, og kør følgende kommando. Dette fjerner Defender-programmet og rydder lageret:

    ./defender_deployment_tool.sh --remove --clean

Manuel fjernelse

Hvis du vil fjerne Defender-programmet manuelt og rydde op i lageret, skal du køre en af følgende kommandoer (alt efter hvad der er relevant, afhængigt af din Linux distribution):

RHEL (Red Hat Enterprise Linux) og varianter (CentOS og Oracle Linux)

sudo yum remove mdatp

Eller

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) og varianter

sudo zypper remove mdatp

Ubuntu og Debian

sudo apt-get purge mdatp

Mariner

sudo dnf remove mdatp

Sådan bekræfter du en enheds offboarding-tilstand

Kør følgende kommando for at bekræfte en enheds offboarding-tilstand:

mdatp health --field health_issues

Forventet output

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

Defender-programmet forbliver installeret på enheden, medmindre det fjernes manuelt.

Relateret indhold

  • Last updated on