Huom. tässä blogitekstissä oletetaan että Intune, Defender portaali ja WSL ovat lukijalle jollain tasolla tuttuja käsitteitä.
Defender & WSL
Intune ja läjä policyja käytössä. Defender enrollattu joka Windows-koneelle. Defender huomaa mikäli käyttäjä ajelee vaarallisia asioita, eikö? Melkein.
Käyttäjä enabloi Windows Subsystem for Linuxin, eli WSL:n, ja yhtäkkiä Defender ei enää näekään käyttäjän toimia kyseisellä Windows-koneella. (Toki käyttäjä voi rajoituksista riippuen pyöräyttää mitä tahansa virtuaalialustaa ja touhuta siellä, mutta ei keskitytä nyt niihin… pysytään WSL:ssä.)
But wait… there’s Microsoft Defender for Endpoint plug-in for Windows Subsystem for Linux (WSL). Suomeksi Defender WSL-plugari. Jatkossa plugari.
Alussa oli tyhjyys - elämä ilman plugaria
Et näe juuri mitään. Tai no ehkä päivästä ja säästä riippuen saatat nähdä WSL:n DeviceNetworkEventsejä host-koneen Timelinella.
Tulkoon valoa - elämä plugarin kanssa
WSL ilmestyy assetiksi Defender portaaliin (security.microsoft.com), WSL:n eventit ovat nähtävissä sen assetin Timelinella ja pystyt tekemään myös Advanced huntingia.
Näkymä: Assets → Devices (tag: WSL2)
Näkymä: Device → Timeline
Näkymä: Hunting → Advanced hunting
Ei täydellinen
Plugari ei ole täydellinen, mutta se on parempi kuin ei mitään. Se tuo näkyvyyttä WSL:ään, mutta et pysty suorittamaan esim. response komentoja. Toki jos klikkaat host-koneelle ”Isolate Device” niin se vaikuttaa myös WSL:ään.
Tilapäiset WSL assetit eivät ilmesty Defender portaaliin – WSL:n täytyy olla ”käynnissä” noin 30 minuuttia. Lisäksi plugari tukee ainoastaan WSL v2 – WSL v1 ja custom kernelit ehkä toimii, ehkä ei. Näitä pystyy toki rajoittamaan, lue eteenpäin.
Defender WSL-plugarin asennus
Lyhykäisyydessään asennus tapahtuu lataamalla ja asentamalla MSI paketti security.microsoft.comista → https://security.microsoft.com/securitysettings/endpoints/onboarding.
Valitse käyttöjärjestelmäksi ”Windows Subsystem for Linux 2 (plug-in)” ja klikkaa Download. Huomiona, että Download napin alla on myös ohjeet testihälytyksien generointiin.
MSI paketti on myös mahdollista jakaa kaikille organisaation käyttäjäille/koneille Intunen kautta line of business appina.
- Tarkemmat asennusohjeet: https://learn.microsoft.com/en-us/defender-endpoint/mde-plugin-wsl#installation-steps
- Intunen kautta jakaminen: https://learn.microsoft.com/en-us/mem/intune/apps/lob-apps-windows
Intune & WSL
Kun Intune WSL plugin ja policy ovat valuneet koneille ja käyttäjä yrittää käynnistää WSL v1, se enää onnistu
Intune WSL-plugarin asennus
Tämän plugarin asennus tapahtuu jotakuinkin samalla tavalla kuin Defender WSL-plugarin asennus. Paitsi että tämän plugarin MSI paketti haetaan Microsoftin Githubista, ja se pitää kääntää ensiksi win32 applikaatioksi, viedä sitten vasta Intuneen, luoda configuration policy, jakaa sekä win32 applikaatio että policy halutuille koneille… ja odottaa 5:stä minuutista 5 vuorokauteen, jotta Intune ehtii tekemään taikansa… eli same same but different.
Tarkemmat stepit suoraan Microsoftilta: https://learn.microsoft.com/en-us/mem/intune/protect/compliance-wsl#add-intune-wsl-plugin-as-a-win32-app
Loppusanat
Aikaa ennen plugareita, elettiin täydessä epätietoisuudessa. Jälkeen plugareiden, ei olla enää täysin sokeita. Näiden plugareiden ansiosta nähdään WSL:ssä tapahtuvia asioita (rajoitetusti) ja pystytään jopa vaikuttamaankin WSL:ään.
- https://learn.microsoft.com/en-us/defender-endpoint/mde-plugin-wsl
- https://learn.microsoft.com/en-us/mem/intune/protect/compliance-wsl
