Retirer ou désinstaller des Microsoft Defender pour point de terminaison sur Linux

Cet article est destiné aux administrateurs informatiques et aux professionnels de la sécurité qui doivent retirer ou désinstaller Microsoft Defender pour point de terminaison des serveurs Linux. Il explique la différence entre la désintégration et la désinstallation, vous aide à déterminer l’option appropriée pour votre scénario et fournit des instructions pas à pas pour chaque méthode. Il décrit également comment les appareils non intégrés et désinstallés apparaissent dans le portail Microsoft Defender.

Vue d’ensemble

Lorsque vous désactivez un appareil de Defender pour point de terminaison ou désinstallez l’application Defender, aucune nouvelle détection, vulnérabilité ou nouvelle donnée de sécurité n’est envoyée au portail Microsoft Defender. Sept jours après l’arrêt de l’intégration d’un appareil, l’état d’intégrité de son capteur passe à inactif. Les données passées, telles que les alertes, les vulnérabilités et le chronologie de l’appareil, pour un appareil désactivé ou désinstallé restent visibles dans le portail Microsoft Defender jusqu’à l’expiration de la période de rétention configurée. Vous voyez également le profil d’appareil (sans données) dans l’inventaire des appareils pendant jusqu’à 180 jours. Les appareils qui n’étaient pas actifs au cours des 30 derniers jours ne sont pas pris en compte dans le score d’exposition de votre organization.

Pour afficher les données des appareils actifs uniquement, vous pouvez utiliser des filtres, tels que l’état d’intégrité du capteur, les étiquettes d’appareil ou les groupes d’appareils.

Quelle est la différence entre la désintégration et la désinstallation ?

Il existe des différences importantes entre la désactivation et la désinstallation :

• La désintégance déconnecte un appareil du service Defender afin qu’il cesse d’envoyer des données de sécurité tout en laissant l’agent installé.
• La désinstallation supprime entièrement les logiciels et services Defender pour point de terminaison de l’appareil et arrête l’envoi de données de sécurité.

Comment choisir entre la désintégrage et la désinstallation

• Désactivez-vous lorsque vous souhaitez empêcher temporairement Defender de communiquer avec le service Defender tout en conservant l’application Defender installée sur le serveur Linux. Cette option est recommandée si vous envisagez de réactiver Defender ultérieurement sans réinstaller l’agent. Par exemple, vous pouvez désactiver l’intégration si vous avez besoin de résoudre un problème avec l’application Defender, ou si vous souhaitez arrêter temporairement Defender lors de la maintenance sur le serveur.

• Désinstallez lorsque vous souhaitez supprimer complètement l’application Defender du serveur Linux, par exemple, lors de la modification de l’anneau d’installation (Prod/Insider Slow/Insider Fast), ou lorsque vous n’envisagez plus d’utiliser Microsoft Defender sur l’appareil.

Comment les appareils désactivés et désinstallés se comportent-ils ?

Une fois qu’un appareil a été désactivé ou désinstallé, l’application Defender se comporte comme suit :

• Il cesse d’envoyer des données de télémétrie (telles que des alertes et des vulnérabilités) au portail Microsoft Defender.
• Il devient sans licence et non fonctionnel.
• Les stratégies de sécurité appliquées via Microsoft Defender sont supprimées.

Comment les appareils désactivés et désinstallés apparaissent-ils dans le portail Defender ?

• L’état d’intégrité du capteur de l’appareil désactivé ou désinstallé devient Inactif après sept jours sans télémétrie.
• Les appareils désactivés et désinstallés restent visibles pendant 180 jours maximum. Pour plus d’informations sur la conservation des données, consultez Microsoft Defender pour point de terminaison stockage et confidentialité des données.
• Les données historiques (alertes, chronologie, inventaire logiciel) restent accessibles pendant la période de rétention.
• Aucune étiquette désactivée ou désinstallée explicite n’est affichée dans le portail. Pour faire la distinction entre les appareils désactivés ou désinstallés et ceux qui sont simplement déconnectés ou inactifs, nous vous recommandons d’ajouter une étiquette à l’appareil avant de le désactiver ou de le désinstaller. Cela facilite l’identification et le filtrage de ces appareils ultérieurement.

Annuler l’intégration d’un appareil

Deux méthodes sont disponibles pour désactiver un serveur Linux à partir de Microsoft Defender pour point de terminaison :

• Désintégrer à l’aide d’un script
• Désintégrer à l’aide d’un fichier JSON de désintéglage.

Les deux méthodes obtiennent le même résultat, ce qui vous permet de choisir celle qui correspond le mieux à votre scénario.

Désintégrer à l’aide d’un script

1. Accédez au portail Microsoft Defender (https://security.microsoft.com), puis connectez-vous.

2. Dans le volet de navigation, sous Système, choisissez Paramètres>Points de terminaison, puis, sous Gestion des appareils, choisissez Désintégrer.

3. Sélectionnez Linux Server comme système d’exploitation, puis dans la section Méthode de déploiement, choisissez Script local.

4. Sélectionnez Télécharger le package , puis Télécharger. Le dossier compressé téléchargé est nommé WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (où AAAA-MM-JJ est la date d’expiration du package).

5. Sur votre serveur Linux, extrayez le contenu du fichier ZIP dans un répertoire local.

6. Ouvrez un terminal et accédez au répertoire où se trouve le fichier MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD .

7. Tapez sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py dans le terminal. Cette opération exécute le script de désintéglage, qui désintégrante l’appareil de Microsoft Defender pour point de terminaison.

Désintégrer à l’aide d’un fichier JSON de désintéglage

1. Accédez au portail Microsoft Defender (https://security.microsoft.com), puis connectez-vous.
2. Dans le volet de navigation, sous Système, choisissez Paramètres>Points de terminaison, puis, sous Gestion des appareils, choisissez Désintégrer.
3. Sélectionnez Linux Server comme système d’exploitation, puis, dans la section Méthode de déploiement, choisissez votre outil de gestion de configuration Linux préféré.
4. Sélectionnez Télécharger le package , puis Télécharger. Le dossier compressé est nommé WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (où AAAA-MM-JJ est la date d’expiration du package).
5. Extrayez le contenu du fichier ZIP et recherchez le fichier mdatp_offboard.json .
6. Copiez mdatp_offboard.json à l’emplacement suivant sur le serveur Linux :/etc/opt/microsoft/mdatp/mdatp_offboard.json

Désinstaller l’application Defender d’un serveur Linux

Deux méthodes sont disponibles pour désinstaller l’application Defender d’un serveur Linux : Désinstaller à l’aide de l’outil de déploiement Defender (recommandé) ou désinstallation manuelle. Les deux méthodes obtiennent le même résultat, ce qui vous permet de choisir celle qui correspond le mieux à votre scénario.

Désinstaller à l’aide de l’outil de déploiement Defender (recommandé)

Il s’agit de la méthode recommandée, car elle vous permet de désinstaller l’application Defender en une seule étape.

1. Accédez au portail Microsoft Defender (https://security.microsoft.com), puis connectez-vous.

2. Dans le volet de navigation, sous Système, choisissez Paramètres>Points de terminaison, puis, sous Gestion des appareils, choisissez Intégration.

3. Sélectionnez Linux Server comme système d’exploitation.

4. Accédez à l’outil de déploiement Defender comme méthode de déploiement, puis sélectionnez Télécharger le package (un fichier ZIP est téléchargé).

5. Extrayez le package et exécutez la commande suivante. Cela supprime l’application Defender et nettoie le dépôt :

   ./defender_deployment_tool.sh --remove --clean 
   

Désinstallation manuelle

Pour supprimer manuellement l’application Defender et propre le référentiel, exécutez l’une des commandes suivantes (selon ce qui est approprié, en fonction de votre distribution Linux) :

Red Hat Enterprise Linux (RHEL) et variantes (CentOS et Oracle Linux)

sudo yum remove mdatp

ou

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) et variantes

sudo zypper remove mdatp

Ubuntu et Debian

sudo apt-get purge mdatp

Mariner

sudo dnf remove mdatp

Comment vérifier l’état de désintégrage d’un appareil

Pour vérifier l’état de désintégrage d’un appareil, exécutez la commande suivante :

mdatp health --field health_issues

Sortie attendue

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

L’application Defender reste installée sur l’appareil, sauf si elle est désinstallée manuellement.

Contenu connexe

• Désintégrer les appareils de Microsoft Defender pour point de terminaison
• Déployer Microsoft Defender pour point de terminaison sur Linux
• Configurer Microsoft Defender pour point de terminaison sur Linux
• Résoudre les problèmes de Microsoft Defender pour point de terminaison sur Linux