Remover ou desinstalar Microsoft Defender para Ponto de Extremidade no Linux

Este artigo destina-se a administradores de TI e profissionais de segurança que precisam de remover ou desinstalar Microsoft Defender para Ponto de Extremidade de servidores Linux. Explica a diferença entre a exclusão e a desinstalação, ajuda-o a decidir qual a opção mais adequada para o seu cenário e fornece instruções passo a passo para cada método. Também descreve como os dispositivos offboarded e desinstalados aparecem no portal do Microsoft Defender.

Visão Geral

Ao remover um dispositivo do Defender para Endpoint ou desinstalar a aplicação Defender, não são enviadas novas deteções, vulnerabilidades ou dados de segurança para o portal Microsoft Defender. Sete dias após a exclusão de um dispositivo, o estado de funcionamento do sensor muda para inativo. Os dados anteriores, como alertas, vulnerabilidades e linha do tempo do dispositivo, para um dispositivo offboarded ou desinstalado permanecem visíveis no portal do Microsoft Defender até que o período de retenção configurado expire. Também verá o perfil do dispositivo (sem dados) no inventário de dispositivos durante um máximo de 180 dias. Os dispositivos que não estavam ativos nos últimos 30 dias não são considerados na classificação de exposição da sua organização.

Para ver dados apenas para dispositivos ativos, pode utilizar filtros, como o estado de funcionamento do sensor, etiquetas de dispositivos ou grupos de dispositivos.

Qual é a diferença entre a exclusão e a desinstalação?

Existem diferenças importantes entre a exclusão e a desinstalação:

• A exclusão desliga um dispositivo do serviço Defender para que deixe de enviar dados de segurança enquanto deixa o agente instalado.
• A desinstalação remove totalmente o software e os serviços do Defender para Endpoint do dispositivo e deixa de enviar dados de segurança.

Como escolher entre a exclusão e a desinstalação

• Desative quando pretender impedir temporariamente o Defender de comunicar com o serviço Defender, mantendo a aplicação defender instalada no servidor Linux. Esta opção é recomendada se planear reativar o Defender mais tarde sem reinstalar o agente. Por exemplo, poderá querer remover se precisar de resolver um problema com a aplicação Defender ou se quiser parar temporariamente o Defender durante a manutenção no servidor.

• Desinstale quando quiser remover completamente a aplicação Defender do servidor Linux, por exemplo, quando alterar a cadência de instalação (Prod/Insider Slow/Insider Fast) ou quando já não planear utilizar Microsoft Defender no dispositivo.

Como se comportam os dispositivos offboarded e desinstalados?

Depois de um dispositivo ter sido desligado ou desinstalado com êxito, a aplicação Defender comporta-se da seguinte forma:

• Deixa de enviar telemetria (como alertas e vulnerabilidades) para o portal Microsoft Defender.
• Torna-se não licenciado e não funciona.
• As políticas de segurança aplicadas através de Microsoft Defender são removidas.

Como é que os dispositivos offboarded e desinstalados aparecem no portal do Defender?

• O estado de funcionamento do sensor do dispositivo offboarded ou desinstalado muda para Inativo após sete dias sem telemetria.
• Os dispositivos offboarded e desinstalados permanecem visíveis até 180 dias. Para obter mais informações sobre a retenção de dados, veja Microsoft Defender para Ponto de Extremidade armazenamento de dados e privacidade.
• Os dados históricos (alertas, linha do tempo, inventário de software) permanecem acessíveis durante o período de retenção.
• Não é apresentada nenhuma etiqueta explícita Offboarded ou Desinstalada no portal. Para distinguir entre dispositivos offboarded ou desinstalados e os que estão apenas desligados ou inativos, recomendamos que adicione uma etiqueta ao dispositivo antes de o remover ou desinstalar. Isto torna mais fácil identificar e filtrar esses dispositivos mais tarde.

Remover um dispositivo

Estão disponíveis dois métodos para integrar um servidor Linux do Microsoft Defender para Ponto de Extremidade:

• Exclusão com um script
• Exclusão com um ficheiro JSON de exclusão.

Ambos os métodos alcançam o mesmo resultado, para que possa escolher o que melhor se adequa ao seu cenário.

Exclusão com um script

1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.

2. No painel de navegação, em Sistema, selecione Definições>Pontos Finais e, em seguida, em Gestão de dispositivos, selecione Exclusão.

3. Selecione Linux Servidor como o sistema operativo e, em seguida, na secção Método de implementação, selecione Script local.

4. Selecione Transferir pacote e, em seguida, selecione Transferir. A pasta zipada transferida tem o nome WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (em que AAAA-MM-DD é a data de expiração do pacote).

5. No servidor Linux, extraia os conteúdos do ficheiro ZIP para um diretório local.

6. Abra um terminal e navegue para o diretório onde se encontra o ficheiro MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY MM-DD .

7. Escreva sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py no terminal. Esta ação executa o script de exclusão, que integra o dispositivo a partir de Microsoft Defender para Ponto de Extremidade.

Exclusão com um ficheiro JSON de exclusão

1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.
2. No painel de navegação, em Sistema, selecione Definições>Pontos Finais e, em seguida, em Gestão de dispositivos, selecione Exclusão.
3. Selecione Linux Servidor como o sistema operativo e, em seguida, na secção Método de implementação, selecione a sua ferramenta de gestão de configuração de Linux preferida.
4. Selecione Transferir pacote e, em seguida, selecione Transferir. A pasta zipada tem o nome WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (em que AAAA-MM-DD é a data de expiração do pacote).
5. Extraia o conteúdo do ficheiro ZIP e localize o ficheiro mdatp_offboard.json .
6. Copie mdatp_offboard.json para a seguinte localização no servidor Linux:/etc/opt/microsoft/mdatp/mdatp_offboard.json

Desinstalar a aplicação Defender de um servidor Linux

Estão disponíveis dois métodos para desinstalar a aplicação Defender de um servidor Linux: Desinstalar com a ferramenta de implementação do Defender (Recomendado) ou a desinstalação manual. Ambos os métodos alcançam o mesmo resultado, para que possa escolher o que melhor se adequa ao seu cenário.

Desinstalar com a ferramenta de implementação do Defender (Recomendado)

Este é o método recomendado, pois permite-lhe desinstalar a aplicação Defender num único passo.

1. Aceda ao portal Microsoft Defender (https://security.microsoft.com) e inicie sessão.

2. No painel de navegação, em Sistema, selecione Definições>Pontos Finais e, em seguida, em Gestão de dispositivos, selecione Inclusão.

3. Selecione Linux Servidor como o sistema operativo.

4. Aceda à ferramenta de implementação do Defender como método de implementação e selecione Transferir pacote (é transferido um ficheiro ZIP).

5. Extraia o pacote e execute o seguinte comando. Esta ação remove a aplicação Defender e limpa o repositório:

   ./defender_deployment_tool.sh --remove --clean 
   

Desinstalação manual

Para remover manualmente a aplicação Defender e limpo o repositório, execute um dos seguintes comandos (consoante o adequado, consoante a distribuição Linux):

Red Hat Enterprise Linux (RHEL) e variantes (CentOS e Oracle Linux)

sudo yum remove mdatp

ou

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) e variantes

sudo zypper remove mdatp

Ubuntu e Debian

sudo apt-get purge mdatp

Mariner

sudo dnf remove mdatp

Como verificar o estado de exclusão de um dispositivo

Para verificar o estado de exclusão de um dispositivo, execute o seguinte comando:

mdatp health --field health_issues

Resultado esperado

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

A aplicação Defender permanece instalada no dispositivo, a menos que seja desinstalada manualmente.

Conteúdo relacionado

• Exclusão de dispositivos de Microsoft Defender para Ponto de Extremidade
• Implementar Microsoft Defender para Ponto de Extremidade no Linux
• Configurar Microsoft Defender para Ponto de Extremidade no Linux
• Resolver problemas de Microsoft Defender para Ponto de Extremidade no Linux