Quitar o desinstalar Microsoft Defender para punto de conexión en Linux

Este artículo está pensado para administradores de TI y profesionales de seguridad que necesitan desconectar o desinstalar Microsoft Defender para punto de conexión de Linux servidores. Explica la diferencia entre la eliminación y la desinstalación, le ayuda a decidir qué opción es adecuada para su escenario y proporciona instrucciones paso a paso para cada método. También describe cómo aparecen los dispositivos desconectados y desinstalados en el portal de Microsoft Defender.

Información general

Al desconectar un dispositivo de Defender para punto de conexión o desinstalar la aplicación Defender, no se envían nuevas detecciones, vulnerabilidades o datos de seguridad al portal de Microsoft Defender. Siete días después de desconectar un dispositivo, su estado de mantenimiento del sensor cambia a inactivo. Los datos anteriores, como alertas, vulnerabilidades y la escala de tiempo del dispositivo, de un dispositivo desconectado o desinstalado permanecen visibles en el portal de Microsoft Defender hasta que expire el período de retención configurado. También verá el perfil de dispositivo (sin datos) en el inventario de dispositivos durante un máximo de 180 días. Los dispositivos que no estaban activos en los últimos 30 días no se tienen en cuenta en la puntuación de exposición de la organización.

Para ver solo los datos de los dispositivos activos, puede usar filtros, como el estado de mantenimiento del sensor, las etiquetas de dispositivo o los grupos de dispositivos.

¿Cuál es la diferencia entre la eliminación y la desinstalación?

Hay diferencias importantes entre la eliminación y la desinstalación:

• La eliminación desconecta un dispositivo del servicio Defender para que deje de enviar datos de seguridad mientras deja el agente instalado.
• La desinstalación quita completamente el software y los servicios de Defender para punto de conexión del dispositivo y deja de enviar datos de seguridad.

Cómo elegir entre la eliminación y la desinstalación

• Cuando quiera impedir temporalmente que Defender se comunique con el servicio Defender mientras mantiene instalada la aplicación de Defender en el servidor Linux. Esta opción se recomienda si planea volver a habilitar Defender más adelante sin volver a instalar el agente. Por ejemplo, es posible que desee desconectarse si necesita solucionar un problema con la aplicación Defender o si desea detener Temporalmente Defender mientras realiza mantenimiento en el servidor.

• Desinstale cuando quiera quitar completamente la aplicación Defender del servidor de Linux, por ejemplo, al cambiar el anillo de instalación (Prod/Insider Slow/Insider Fast) o cuando ya no tenga previsto usar Microsoft Defender en el dispositivo.

¿Cómo se comportan los dispositivos desconectados y desinstalados?

Una vez que un dispositivo se ha quitado o desinstalado correctamente, la aplicación Defender se comporta de la siguiente manera:

• Deja de enviar telemetría (como alertas y vulnerabilidades) al portal de Microsoft Defender.
• Se convierte en sin licencia y no funcional.
• Se quitan las directivas de seguridad aplicadas a través de Microsoft Defender.

¿Cómo aparecen los dispositivos desconectados y desinstalados en el portal de Defender?

• El estado de mantenimiento del sensor del dispositivo desconectado o desinstalado cambia a Inactivo después de siete días sin telemetría.
• Los dispositivos desconectados y desinstalados permanecen visibles durante un máximo de 180 días. Para obtener más información sobre la retención de datos, consulte Microsoft Defender para punto de conexión almacenamiento de datos y privacidad.
• Los datos históricos (alertas, escala de tiempo, inventario de software) permanecen accesibles durante el período de retención.
• No se muestra ninguna etiqueta explícita offboarded o uninstalled en el portal. Para distinguir entre dispositivos desconectados o desinstalados y los que simplemente están desconectados o inactivos, se recomienda agregar una etiqueta al dispositivo antes de desconectarlo o desinstalarlo. Esto facilita la identificación y el filtrado de esos dispositivos más adelante.

Retirar un dispositivo

Hay dos métodos disponibles para desconectar un servidor de Linux desde Microsoft Defender para punto de conexión:

• Offboard mediante un script
• Offboard mediante un archivo JSON de offboarding.

Ambos métodos logran el mismo resultado, por lo que puede elegir el que mejor se adapte a su escenario.

Offboard mediante un script

1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

2. En el panel de navegación, en Sistema, elija Puntosde conexión de configuración> y, a continuación, en Administración de dispositivos, elija Offboarding.

3. Seleccione Linux Server como sistema operativo y, a continuación, en la sección Método de implementación, elija Script local.

4. Seleccione Descargar paquete y, a continuación, seleccione Descargar. La carpeta comprimida que se descarga se denomina WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (donde AAAA-MM-DD es la fecha de expiración del paquete).

5. En el servidor Linux, extraiga el contenido del archivo ZIP en un directorio local.

6. Abra un terminal y vaya al directorio donde se encuentra el archivo MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD .

7. Escriba sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py en el terminal. Esto ejecuta el script de offboarding, que extrae el dispositivo de Microsoft Defender para punto de conexión.

Offboard mediante un archivo JSON de offboarding

1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.
2. En el panel de navegación, en Sistema, elija Puntosde conexión de configuración> y, a continuación, en Administración de dispositivos, elija Offboarding.
3. Seleccione Linux Server como sistema operativo y, a continuación, en la sección Método de implementación, elija la herramienta de administración de configuración Linux preferida.
4. Seleccione Descargar paquete y, a continuación, seleccione Descargar. La carpeta comprimida se denomina WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (donde AAAA-MM-DD es la fecha de expiración del paquete).
5. Extraiga el contenido del archivo ZIP y busque el archivo mdatp_offboard.json .
6. Copie mdatp_offboard.json en la siguiente ubicación en el servidor de Linux:/etc/opt/microsoft/mdatp/mdatp_offboard.json

Desinstalación de la aplicación Defender de un servidor de Linux

Hay dos métodos disponibles para desinstalar la aplicación Defender de un servidor de Linux: desinstalar mediante la herramienta de implementación de Defender (recomendado) o la desinstalación manual. Ambos métodos logran el mismo resultado, por lo que puede elegir el que mejor se adapte a su escenario.

Desinstalación mediante la herramienta de implementación de Defender (recomendado)

Este es el método recomendado, ya que permite desinstalar la aplicación defender en un solo paso.

1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

2. En el panel de navegación, en Sistema, elija Puntosde conexión de configuración> y, a continuación, en Administración de dispositivos, elija Incorporación.

3. Seleccione Linux Server como sistema operativo.

4. Vaya a la herramienta de implementación de Defender como método de implementación y seleccione Descargar paquete (se descarga un archivo ZIP).

5. Extraiga el paquete y ejecute el siguiente comando. Esto quita la aplicación Defender y limpia el repositorio:

   ./defender_deployment_tool.sh --remove --clean 
   

Desinstalación manual

Para quitar manualmente la aplicación Defender y limpiar el repositorio, ejecute uno de los siguientes comandos (lo que sea adecuado, en función de la distribución de Linux):

Red Hat Enterprise Linux (RHEL) y variantes (CentOS y Oracle Linux)

sudo yum remove mdatp

Otra posibilidad:

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) y variantes

sudo zypper remove mdatp

Ubuntu y Debian

sudo apt-get purge mdatp

Mariner

sudo dnf remove mdatp

Comprobación del estado de retirada de un dispositivo

Para comprobar el estado de retirada de un dispositivo, ejecute el siguiente comando:

mdatp health --field health_issues

Salida esperada

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

La aplicación Defender permanece instalada en el dispositivo a menos que se desinstale manualmente.

Contenido relacionado

• Dispositivos fuera de la placa de Microsoft Defender para punto de conexión
• Implementación de Microsoft Defender para punto de conexión en Linux
• Configuración de Microsoft Defender para punto de conexión en Linux
• Solución de problemas de Microsoft Defender para punto de conexión en Linux