Avinstallere eller avinstallere Microsoft Defender for endepunkt på Linux

Denne artikkelen er ment for IT-administratorer og sikkerhetsteknikere som trenger å avinstallere eller avinstallere Microsoft Defender for endepunkt fra Linux servere. Den forklarer forskjellen mellom avlasting og avinstallasjon, hjelper deg med å bestemme hvilket alternativ som er riktig for scenarioet ditt, og gir trinnvise instruksjoner for hver metode. Den beskriver også hvordan innebygde og avinstallerte enheter vises i Microsoft Defender-portalen.

Oversikt

Når du kobler fra en enhet fra Defender for Endpoint eller avinstallerer Defender-programmet, sendes ingen nye gjenkjenninger, sikkerhetsdata eller sikkerhetsdata til Microsoft Defender-portalen. Syv dager etter offboarding en enhet, endres sensortilstanden til inaktiv. Tidligere data, for eksempel varsler, sikkerhetsproblemer og enhetens tidslinje, for en innebygd eller avinstallert enhet forblir synlig i Microsoft Defender-portalen til den konfigurerte oppbevaringsperioden utløper. Du ser også enhetsprofilen (uten data) i enhetsbeholdningen i opptil 180 dager. Enheter som ikke var aktive i løpet av de siste 30 dagene, er ikke tatt med i organisasjonens eksponeringspoengsum.

Hvis du vil vise data bare for aktive enheter, kan du bruke filtre, for eksempel sensortilstand, enhetskoder eller enhetsgrupper.

Hva er forskjellen mellom avlasting og avinstallasjon?

Det er viktige forskjeller mellom avlasting og avinstallasjon:

• Offboarding kobler en enhet fra Defender-tjenesten, slik at den slutter å sende sikkerhetsdata mens du forlater agenten installert.
• Når du avinstallerer, fjernes Defender for Endpoint-programvaren og -tjenestene helt fra enheten og sender ikke sikkerhetsdata.

Slik velger du mellom avlasting og avinstallasjon

• Hvis du vil stoppe Defender midlertidig fra å kommunisere med Defender-tjenesten mens du holder Defender-programmet installert på Linux-serveren. Dette alternativet anbefales hvis du planlegger å sende Defender på nytt senere uten å installere agenten på nytt. Det kan for eksempel hende at du ønsker å gå om bord hvis du trenger å feilsøke et problem med Defender-programmet, eller hvis du vil stoppe Defender midlertidig mens du utfører vedlikehold på serveren.

• Avinstaller når du vil fjerne Defender-programmet fullstendig fra Linux-serveren, for eksempel når du endrer installasjonsringen (Prod/Insider Slow/Insider Fast), eller når du ikke lenger har tenkt å bruke Microsoft Defender på enheten.

Hvordan fungerer innebygde og avinstallerte enheter?

Når en enhet er avlastet eller avinstallert, oppfører Defender-programmet seg som følger:

• Den slutter å sende telemetri (for eksempel varsler og sårbarheter) til Microsoft Defender-portalen.
• Det blir ulisensiert og ikke-funksjonell.
• Sikkerhetspolicyer som brukes gjennom Microsoft Defender, fjernes.

Hvordan vises innebygde og avinstallerte enheter i Defender-portalen?

• Sensortilstanden til den avlastede eller avinstallerte enheten endres til Inaktiv etter sju dager uten telemetri.
• Innebygde og avinstallerte enheter forblir synlige i opptil 180 dager. Hvis du vil ha mer informasjon om dataoppbevaring, kan du se Microsoft Defender for endepunkt datalagring og personvern.
• Historiske data (varsler, tidslinje, programvarebeholdning) forblir tilgjengelige i løpet av oppbevaringsperioden.
• Ingen eksplisitt avlastet eller avinstallert etikett vises i portalen. Hvis du vil skille mellom innebygde eller avinstallerte enheter og enheter som bare er frakoblet eller inaktive, anbefaler vi at du legger til en kode på enheten før du avlaster den eller avinstallerer den. Dette gjør det enklere å identifisere og filtrere disse enhetene senere.

Tavle på en enhet

To metoder er tilgjengelige for en Linux server fra Microsoft Defender for endepunkt:

• Offboard ved hjelp av et skript
• Offboard ved hjelp av en offboarding JSON-fil.

Begge metodene oppnår samme resultat, slik at du kan velge det som passer best til scenarioet ditt.

Offboard ved hjelp av et skript

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og logg på.

2. Velg Innstillinger-endepunkter> under System i navigasjonsruten, og velg deretter Avlasting under Enhetsadministrasjon.

3. Velg Linux Server som operativsystem, og velg deretter lokalt skript under Distribusjonsmetode.

4. Velg Last ned pakke , og velg deretter Last ned. Den pakkede mappen som lastes ned, heter WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (der YYYY-MM-DD er utløpsdatoen for pakken).

5. Pakk ut innholdet i ZIP-filen til en lokal mappe på Linux-serveren.

6. Åpne en terminal, og gå til katalogen der MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD-filen er plassert.

7. Skriv inn sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py terminalen. Dette kjører offboarding-skriptet, som avlaster enheten fra Microsoft Defender for endepunkt.

Offboard ved hjelp av en offboarding JSON-fil

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og logg på.
2. Velg Innstillinger-endepunkter> under System i navigasjonsruten, og velg deretter Avlasting under Enhetsadministrasjon.
3. Velg Linux Server som operativsystem, og velg deretter foretrukket Linux konfigurasjonsbehandlingsverktøy under Distribusjonsmetode.
4. Velg Last ned pakke , og velg deretter Last ned. Den pakkede mappen heter WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (der ÅÅÅÅ-MM-DD er utløpsdatoen for pakken).
5. Pakk ut innholdet i ZIP-filen, og finn mdatp_offboard.json-filen .
6. Kopier mdatp_offboard.json til følgende plassering på Linux-serveren:/etc/opt/microsoft/mdatp/mdatp_offboard.json

Avinstallere Defender-programmet fra en Linux-server

To metoder er tilgjengelige for å avinstallere Defender-programmet fra en Linux-server: Avinstaller ved hjelp av Defender-distribusjonsverktøyet (anbefales) eller manuell avinstallasjon. Begge metodene oppnår samme resultat, slik at du kan velge det som passer best til scenarioet ditt.

Avinstallere ved hjelp av Defender-distribusjonsverktøyet (anbefales)

Dette er den anbefalte metoden, da du kan avinstallere Defender-programmet i ett trinn.

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og logg på.

2. Velg Innstillinger-endepunkter> under System i navigasjonsruten, og velg deretter Pålasting under Enhetsbehandling.

3. Velg Linux Server som operativsystem.

4. Gå til Distribusjonsverktøy for Defender som distribusjonsmetode, og velg Last ned pakke (en ZIP-fil lastes ned).

5. Pakk ut pakken, og kjør følgende kommando. Dette fjerner Defender-programmet og rydder opp i repositoriet:

   ./defender_deployment_tool.sh --remove --clean 
   

Manuell avinstallasjon

Hvis du vil fjerne Defender-programmet manuelt og rydde opp i repositoriet, kjører du én av følgende kommandoer (avhengig av hvilken Linux distribusjon):

Red Hat Enterprise Linux (RHEL) og varianter (CentOS og Oracle Linux)

sudo yum remove mdatp

eller

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) og varianter

sudo zypper remove mdatp

Ubuntu og Debian

sudo apt-get purge mdatp

Mariner

sudo dnf remove mdatp

Slik bekrefter du tilstanden til en enhets offboarding

Kjør følgende kommando for å bekrefte tilstanden til en enhets offboarding:

mdatp health --field health_issues

Forventet utdata

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

Defender-programmet forblir installert på enheten med mindre det avinstalleres manuelt.

Beslektet innhold

• Eksterne enheter fra Microsoft Defender for endepunkt
• Distribuer Microsoft Defender for endepunkt på Linux
• Konfigurer Microsoft Defender for endepunkt på Linux
• Feilsøk Microsoft Defender for endepunkt på Linux