Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tämä artikkeli on tarkoitettu IT-järjestelmänvalvojille ja suojausammattilaisille, joiden on poistettava Microsoft Defender for Endpoint Linux palvelimista tai poistettava niiden asennus. Se selittää käytöstä poistamisen ja asennuksen poistamisen välisen eron, auttaa sinua päättämään, mikä vaihtoehto sopii skenaarioosi, ja antaa vaiheittaiset ohjeet kullekin menetelmälle. Siinä kuvataan myös, miten käytöstä poistettuja ja poistettuja laitteita näytetään Microsoft Defender portaalissa.
Yleiskatsaus
Kun poistat laitteen käytöstä Defender for Endpointista tai poistat Defender-sovelluksen asennuksen, Microsoft Defender portaaliin ei lähetetä uusia tunnistus-, haavoittuvuus- tai suojaustietoja. Seitsemän päivää laitteen käytöstä poistamisen jälkeen sen tunnistimen kuntotila muuttuu passiiviseksi. Käytöstä poistetun tai asennuksen poistaneen laitteen aiemmat tiedot, kuten hälytykset, haavoittuvuudet ja laitteen aikajana, näkyvät edelleen Microsoft Defender portaalissa, kunnes määritetty säilytysaika päättyy. Näet myös laiteprofiilin (ilman tietoja) laitteen varastossa enintään 180 päivän ajan. Laitteita, jotka eivät olleet aktiivisia viimeisten 30 päivän aikana, ei lasketa mukaan organisaatiosi altistumispisteisiin.
Voit tarkastella vain aktiivisten laitteiden tietoja käyttämällä suodattimia, kuten tunnistimen kuntotilaa, laitetunnisteita tai laiteryhmiä.
Mitä eroa on käytöstä poistamisen ja asennuksen poistamisen välillä?
Käytöstä poistamisen ja asennuksen poistamisen välillä on merkittäviä eroja:
- Käytöstä poistaminen katkaisee laitteen yhteyden Defender-palveluun, joten se lopettaa suojaustietojen lähettämisen jättäessään agentin asennettavaksi.
- Asennuksen poistaminen poistaa Defender for Endpoint -ohjelmiston ja -palvelut laitteesta kokonaan ja lopettaa suojaustietojen lähettämisen.
Miten valita käytöstä poistamisen ja asennuksen poistamisen välillä
Pois käytöstä, kun haluat tilapäisesti estää Defenderiä kommunikoimasta Defender-palvelun kanssa ja pitää Defender-sovelluksen asennettuna Linux palvelimessa. Tätä vaihtoehtoa suositellaan, jos aiot ottaa Defenderin uudelleen käyttöön myöhemmin asentamatta agenttia uudelleen. Saatat esimerkiksi haluta poistua käytöstä, jos sinun on tehtävä Defender-sovelluksen vianmääritys tai jos haluat tilapäisesti pysäyttää Defenderin palvelimessa ylläpidon aikana.
Poista asennus, jos haluat poistaa Defender-sovelluksen kokonaan Linux palvelimesta esimerkiksi muutettaessa asennusrengasta (Prod/Insider Hidas/Insider-versio nopeasti) tai kun et enää aio käyttää Microsoft Defender laitteessa.
Miten käytöstä poistettavat ja asennuksen poistaneet laitteet toimivat?
Kun laitteen käyttöönotto tai asennus on poistettu, Defender-sovellus toimii seuraavasti:
- Se lopettaa telemetriatietojen (kuten ilmoitusten ja heikkouksien) lähettämisen Microsoft Defender portaaliin.
- Se muuttuu käyttökelvottomaksi ja toimimattomaksi.
- Microsoft Defender kautta käyttöönotetut suojauskäytännöt poistetaan.
Miten käytöstä poistettavat ja asennuksen poistaneet laitteet näkyvät Defender-portaalissa?
- Käytöstä poistettujen tai poistettujen laitteiden tunnistimen kuntotila muuttuu Passiiviseksi, kun telemetriatietoja ei ole ollut seitsemän päivää.
- Käytöstä poistettavat ja asennuksen poistaneet laitteet ovat näkyvissä enintään 180 päivää. Lisätietoja tietojen säilyttämisestä on kohdassa Microsoft Defender for Endpoint tietojen tallennus ja tietosuoja.
- Historialliset tiedot (hälytykset, aikajana, ohjelmistovarasto) ovat edelleen käytettävissä säilytysjakson aikana.
- Portaalissa ei näy eksplisiittistä Offboarded - tai Uninstalled-tunnistetta . Jos haluat erottaa käytöstä poistettujen tai poistettujen laitteiden ja laitteiden, joiden yhteys on vain katkaistu tai passiivinen, on suositeltavaa lisätä tunniste laitteeseen ennen sen poistamista käytöstä tai asennuksen poistamista. Tämä helpottaa kyseisten laitteiden tunnistamista ja suodattamista myöhemmin.
Laitteen käytöstä poistaminen
Linux-palvelimesta voidaan poistaa Microsoft Defender for Endpoint kahdella tavalla:
- Luonnoslehtiö komentosarjan avulla
- Offboard, jossa käytetään käytöstä poiston JSON-tiedostoa.
Molemmilla menetelmillä saadaan sama tulos, joten voit valita sen, joka sopii parhaiten skenaarioosi.
Luonnoslehtiö komentosarjan avulla
Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
Valitse siirtymisruudun Järjestelmä-kohdassa Asetukset>Päätepisteet ja valitse sitten Laitteen hallinta -kohdassa Offboarding.
Valitse käyttöjärjestelmäksi Linux Palvelin ja valitse sitten Käyttöönottomenetelmä-osiostaPaikallinen komentosarja.
Valitse Lataa paketti ja valitse sitten Lataa. Ladatun zip-kansion nimi on WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (jossa VVVV-KK-PP on paketin vanhentumispäivämäärä).
Pura zip Linux palvelimen sisältö paikalliseen hakemistoon.
Avaa pääte ja siirry hakemistoon, jossa MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD-tiedosto sijaitsee.
Kirjoita
sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.pypäätteeseen. Tämä suorittaa käytöstä poistamisen komentosarjan, joka poistaa laitteen käytöstä Microsoft Defender for Endpoint.
Luonnoslehtiöstä poistuvan JSON-tiedoston käyttäminen
Huomautus
Tämä menetelmä voidaan suorittaa joko manuaalisesti tai automaattisesti käyttämällä haluamaasi Linux määritysten hallintatyökalua.
- Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
- Valitse siirtymisruudun Järjestelmä-kohdassa Asetukset>Päätepisteet ja valitse sitten Laitteen hallinta -kohdassa Offboarding.
- Valitse käyttöjärjestelmäksi Linux Palvelin ja valitse sitten Käyttöönottomenetelmä-osassa haluamasi Linux määritystenhallintatyökalu.
- Valitse Lataa paketti ja valitse sitten Lataa. Zip-kansion nimi on WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (jossa VVVV-KK-PP on paketin vanhentumispäivämäärä).
- Pura ZIP-tiedoston sisältö ja etsi mdatp_offboard.json tiedosto.
- Kopioi mdatp_offboard.json seuraavaan sijaintiin Linux palvelimessa:
/etc/opt/microsoft/mdatp/mdatp_offboard.json
Poista Defender-sovelluksen asennus Linux palvelimesta
Defender-sovelluksen asennuksen poistamiseen Linux palvelimesta on kaksi tapaa: Poista asennus Defenderin käyttöönottotyökalun (Suositus) tai manuaalisen asennuksen poistamisen avulla. Molemmilla menetelmillä saadaan sama tulos, joten voit valita sen, joka sopii parhaiten skenaarioosi.
Poista asennus Defenderin käyttöönottotyökalun avulla (suositus)
Tämä on suositeltu menetelmä, koska sen avulla voit poistaa Defender-sovelluksen asennuksen yhdessä vaiheessa.
Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
Valitse siirtymisruudun Järjestelmä-kohdassa Asetukset>Päätepisteet ja valitse sitten Laitehallinta-kohdassaPerehdytys.
Valitse käyttöjärjestelmäksi Linux Server.
Siirry käyttöönottomenetelmäksi Defenderin käyttöönottotyökaluun ja valitse Lataa paketti (ZIP-tiedosto ladataan).
Pura paketti ja suorita seuraava komento. Tämä poistaa Defender-sovelluksen ja puhdistaa säilön:
./defender_deployment_tool.sh --remove --clean
Manuaalinen asennuksen poistaminen
Jos haluat poistaa Defender-sovelluksen manuaalisesti ja puhdistaa säilön, suorita jokin seuraavista komennoista (sen mukaan, mikä on asianmukaista Linux jakelun mukaan):
Red Hat Enterprise Linux (RHEL) ja versiot (CentOS ja Oracle Linux)
sudo yum remove mdatp
TAI
sudo dnf remove mdatp
SUSE Linux Enterprise Server (SLES) ja versiot
sudo zypper remove mdatp
Ubuntu ja Debian
sudo apt-get purge mdatp
Mariner
sudo dnf remove mdatp
Laitteen käyttöönottotilan tarkistaminen
Voit tarkistaa laitteen käytöstä poistamisen tilan suorittamalla seuraavan komennon:
mdatp health --field health_issues
Odotettu tulos
ATTENTION: No license found. Contact your administrator for help. ["missing license"]
Defender-sovellus pysyy asennettuna laitteeseen, ellei sen asennusta ole poistettu manuaalisesti.