Offboarden oder Deinstallieren von Microsoft Defender for Endpoint auf Linux

Dieser Artikel richtet sich an IT-Administratoren und Sicherheitsexperten, die Microsoft Defender for Endpoint von Linux Servern offboarden oder deinstallieren müssen. Es erläutert den Unterschied zwischen Offboarding und Deinstallation, hilft Ihnen bei der Entscheidung, welche Option für Ihr Szenario geeignet ist, und enthält schrittweise Anweisungen für die einzelnen Methoden. Außerdem wird beschrieben, wie offboardete und deinstallierte Geräte im Microsoft Defender-Portal angezeigt werden.

Übersicht

Wenn Sie ein Gerät von Defender für Endpunkt aus offboarden oder die Defender-Anwendung deinstallieren, werden keine neuen Erkennungen, Sicherheitsrisiken oder Sicherheitsdaten an das Microsoft Defender-Portal gesendet. Sieben Tage nach dem Offboarding eines Geräts ändert sich der Integritätszustand des Sensors in inaktiv. Frühere Daten wie Warnungen, Sicherheitsrisiken und das Zeitleiste des Geräts für ein offboardes oder deinstalliertes Gerät bleiben im Microsoft Defender-Portal sichtbar, bis der konfigurierte Aufbewahrungszeitraum abläuft. Außerdem wird das Geräteprofil (ohne Daten) im Gerätebestand für bis zu 180 Tage angezeigt. Geräte, die in den letzten 30 Tagen nicht aktiv waren, werden nicht in die Expositionsbewertung Ihres organization einbezahlt.

Zum Anzeigen von Daten nur für aktive Geräte können Sie Filter verwenden, z. B. den Sensorintegritätszustand, Gerätetags oder Gerätegruppen.

Was ist der Unterschied zwischen Offboarding und Deinstallation?

Es gibt wichtige Unterschiede zwischen Offboarding und Deinstallation:

• Durch das Offboarding wird ein Gerät vom Defender-Dienst getrennt, sodass keine Sicherheitsdaten mehr gesendet werden, während der Agent installiert bleibt.
• Durch die Deinstallation werden die Defender für Endpunkt-Software und -Dienste vollständig vom Gerät entfernt, und das Senden von Sicherheitsdaten wird beendet.

So wählen Sie zwischen Offboarding und Deinstallation

• Offboarden Sie, wenn Sie die Kommunikation von Defender mit dem Defender-Dienst vorübergehend beenden möchten, während die Defender-Anwendung auf dem Linux Server installiert bleibt. Diese Option wird empfohlen, wenn Sie Defender später erneut aktivieren möchten, ohne den Agent neu zu installieren. Sie können z. B. offboarden, wenn Sie ein Problem mit der Defender-Anwendung beheben müssen oder Wenn Sie Defender vorübergehend beenden möchten, während Sie die Wartung auf dem Server durchführen.

• Deinstallieren Sie, wenn Sie die Defender-Anwendung vollständig vom Linux Server entfernen möchten, z. B. beim Ändern des Installationsrings (Prod/Insider Slow/Insider Fast) oder wenn Sie nicht mehr planen, Microsoft Defender auf dem Gerät zu verwenden.

Wie verhalten sich offboardete und deinstallierte Geräte?

Nachdem ein Gerät erfolgreich ausgelagert oder deinstalliert wurde, verhält sich die Defender-Anwendung wie folgt:

• Das Senden von Telemetriedaten (z. B. Warnungen und Sicherheitsrisiken) an das Microsoft Defender-Portal wird beendet.
• Es wird nicht lizenziert und nicht funktionsfähig.
• Sicherheitsrichtlinien, die über Microsoft Defender angewendet werden, werden entfernt.

Wie werden offboardete und deinstallierte Geräte im Defender-Portal angezeigt?

• Der Sensorintegritätsstatus des offboardeten oder deinstallierten Geräts ändert sich nach sieben Tagen ohne Telemetrie in Inaktiv .
• Offboards und deinstallierte Geräte bleiben bis zu 180 Tage lang sichtbar. Weitere Informationen zur Datenaufbewahrung finden Sie unter Microsoft Defender for Endpoint Datenspeicherung und Datenschutz.
• Verlaufsdaten (Warnungen, Zeitleiste, Softwareinventur) bleiben während des Aufbewahrungszeitraums verfügbar.
• Im Portal wird keine explizite Offboarded - oder Uninstalled-Bezeichnung angezeigt. Um zwischen offboarding oder deinstallierten Geräten und Geräten zu unterscheiden, die nur getrennt oder inaktiv sind, empfehlen wir, dem Gerät vor dem Offboarding oder der Deinstallation ein Tag hinzuzufügen. Dies erleichtert die spätere Identifizierung und Filterung dieser Geräte.

Offboarding eines Geräts

Es stehen zwei Methoden zum Offboarden eines Linux-Servers aus Microsoft Defender for Endpoint zur Verfügung:

• Offboarding mithilfe eines Skripts
• Offboarding mithilfe einer OFFBOARDING-JSON-Datei.

Beide Methoden erzielen das gleiche Ergebnis, sodass Sie die Methode auswählen können, die am besten zu Ihrem Szenario passt.

Offboarding mithilfe eines Skripts

1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

2. Wählen Sie im Navigationsbereich unter System die Option Einstellungen>Endpunkte und dann unter Geräteverwaltung die Option Offboarding aus.

3. Wählen Sie Linux Server als Betriebssystem aus, und wählen Sie dann im Abschnitt Bereitstellungsmethodedie Option Lokales Skript aus.

4. Wählen Sie Paket herunterladen und dann Herunterladen aus. Der gezippte Ordner, der heruntergeladen wird, heißt WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (wobei JJJJ-MM-TT das Ablaufdatum des Pakets ist).

5. Extrahieren Sie auf Ihrem Linux Server den Inhalt der ZIP-Datei in ein lokales Verzeichnis.

6. Öffnen Sie ein Terminal, und navigieren Sie zu dem Verzeichnis, in dem sich die Datei MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD befindet.

7. Geben Sie sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py im Terminal ein. Dadurch wird das Offboardingskript ausgeführt, das das Gerät von Microsoft Defender for Endpoint offboardet.

Offboarding mithilfe einer OFFBOARDING-JSON-Datei

1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
2. Wählen Sie im Navigationsbereich unter System die Option Einstellungen>Endpunkte und dann unter Geräteverwaltung die Option Offboarding aus.
3. Wählen Sie Linux Server als Betriebssystem aus, und wählen Sie dann im Abschnitt Bereitstellungsmethode Ihr bevorzugtes Linux Konfigurationsverwaltungstool aus.
4. Wählen Sie Paket herunterladen und dann Herunterladen aus. Der gezippte Ordner hat den NamenWindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (wobei JJJJ-MM-TT das Ablaufdatum des Pakets ist).
5. Extrahieren Sie den Inhalt der ZIP-Datei, und suchen Sie die mdatp_offboard.json Datei.
6. Kopieren Sie mdatp_offboard.json an den folgenden Speicherort auf dem Linux Server:/etc/opt/microsoft/mdatp/mdatp_offboard.json

Deinstallieren der Defender-Anwendung von einem Linux Server

Es stehen zwei Methoden zur Verfügung, um die Defender-Anwendung von einem Linux Server zu deinstallieren: Deinstallieren mit dem Defender-Bereitstellungstool (empfohlen) oder manuelle Deinstallation. Beide Methoden erzielen das gleiche Ergebnis, sodass Sie die Methode auswählen können, die am besten zu Ihrem Szenario passt.

Deinstallieren mit dem Defender-Bereitstellungstool (empfohlen)

Dies ist die empfohlene Methode, da Sie die Defender-Anwendung in einem einzigen Schritt deinstallieren können.

1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

2. Wählen Sie im Navigationsbereich unter System die Option Einstellungen>Endpunkte und dann unter Geräteverwaltungdie Option Onboarding aus.

3. Wählen Sie Linux Server als Betriebssystem aus.

4. Wechseln Sie als Bereitstellungsmethode zum Defender-Bereitstellungstool, und wählen Sie Paket herunterladen aus (eine ZIP-Datei wird heruntergeladen).

5. Extrahieren Sie das Paket, und führen Sie den folgenden Befehl aus. Dadurch wird die Defender-Anwendung entfernt und das Repository bereinigt:

   ./defender_deployment_tool.sh --remove --clean 
   

Manuelle Deinstallation

Um die Defender-Anwendung manuell zu entfernen und das Repository zu sauber, führen Sie einen der folgenden Befehle aus (je nachdem, was je nach Linux Distribution geeignet ist):

Red Hat Enterprise Linux (RHEL) und Varianten (CentOS und Oracle Linux)

sudo yum remove mdatp

oder

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) und Varianten

sudo zypper remove mdatp

Ubuntu und Debian

sudo apt-get purge mdatp

Mariner

sudo dnf remove mdatp

Überprüfen des Offboardingzustands eines Geräts

Führen Sie den folgenden Befehl aus, um den Offboardingstatus eines Geräts zu überprüfen:

mdatp health --field health_issues

Erwartete Ausgabe

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

Die Defender-Anwendung bleibt auf dem Gerät installiert, es sei denn, sie wird manuell deinstalliert.

Verwandte Inhalte

• Offboarden von Geräten aus Microsoft Defender for Endpoint
• Bereitstellen von Microsoft Defender for Endpoint auf Linux
• Konfigurieren von Microsoft Defender for Endpoint auf Linux
• Problembehandlung bei Microsoft Defender for Endpoint auf Linux