当Guardian来到MacOSAS和Windows时，微软宣布该软件的名称正在改变，从Windows Guardian改为微软Guardian。演示中隐藏着一个关于未来的提示：一台带有企鹅贴纸的Linux笔记本电脑。现在，Linuxin的Micros of tDefenderATP正在公开预览Red HatEnterpriseLinux7、CentOSLinux7、Ubuntu16LTS或更高版本、SLES12、Debian9和OracleEnterpriseLinux7。但是它到底保护了这些操作系统什么呢？

微软已经在Windows和Mac上的Defender代理中检测到了Linux恶意软件，因为文件会从一个设备移动到另一个设备，你想在任何地方捕获恶意软件——理想情况下，在它进入脆弱的系统之前。如果你使用的是WSL，维护者已经保护你免受威胁，比如感染NPM包，试图安装密码。

微软365安全公司副总裁RobLefferts表示，Mac之所以排名第一，是因为这是微软企业客户要求的订单。“我们正在努力解决所有与客户有问题的终端，从Mac开始，转向Linux，尤其是服务器上的Linux，这是目前的重点，然后再考虑iOS和Android，以及我们如何保护这些移动终端。”

Lefferts表示，长期的结果是全面的端点安全：“这包括下一代保护，如防病毒和行为[保护]以及EDR[端点检测和补救]。我们为维权者所做的一切，都是为了确保这种做法能够在所有平台最脆弱的地方发挥作用。

对于智能手机来说，微软似乎很可能会专注于网络钓鱼，不仅是在电子邮件领域，还包括消息应用领域。勒弗茨说：“我们在发现恶意活动和网站方面拥有大量非常广泛的资产，我们正在利用这些资产来帮助转移。”

问题是，当您更好地保护像电子邮件这样的区域时，攻击者会转移到其他区域(这就是Office365ATP现在覆盖共享点的原因)。

“在移动设备上还有许多其他的沟通和协作渠道，因为这是一个自然的地方。这与我们如何更全面地考虑安全性是一致的。安全性从您关心的所有端点开始。”但是，让我们通过终点——。让我们在一个充满威胁的环境中谈谈你的全部财产，你的所有用户，你的所有数据和你的所有通讯工具。"

去年7月，微软首次拿Linux版的Defender开玩笑。

Lefferts表示，当DefenderATP通常在2020年底可用于Linux时，这种全面的端点保护将包括“许多与Windows上看到的完全相同的检测工具”。“最初的版本没有包括我们在Windows中的所有补救措施，但随着时间的推移，这是我们渴望增加的。

拉弗茨指出，现在反病毒是一个棘手的术语，他说的是“即时保护措施”，因为威胁比病毒多，尤其是脚本和无文件攻击。“我们设想它是产品的一部分，但它开始更多地关注可执行对象。”

预览可以发现并阻止恶意软件和可能不需要的应用程序(PUAS)。Linux没有太多的广告软件，但是硬币矿工可能是你安装的东西，或者是你被骗安装的东西，甚至合法的远程管理工具也是一个问题，如果攻击者把它们放在系统上。同样重要的是，它把这个信息发送到了后卫安全中心。

防守者真的是两件事。在端点上运行的代理：扫描文件、跟踪操作系统中发生的情况、检测设备上的恶意软件并阻止或删除它(并为您提供控制应用程序运行的选项)，以及向Defender高级威胁防护云服务发送信号，来自多个系统的信息在该云服务中是相关的。

攻击者不考虑单个设备和系统，甚至不考虑目标列表：他们考虑系统如何相互连接，如何在同一环境中从一个受感染的设备移动到另一个设备，以便获得控制，提取最多的数据，并防止安全团队将。一台感染病毒的笔记本电脑、一台服务器上的十几次密码尝试失败以及另一台服务器上的异常文件访问不是三个独立的问题：它们是一个攻击者，通过网络移动并获得对更多系统的访问权限。

见：如何建立一个成功的开发人员职业生涯(免费PD F)(技术共和国)

防守者需要同样类型的系统图形视图，而防守者ATP可以从更多的系统获得信号，你将不得不攻击更清晰的视图。这就是微软安全地图背后的理念。它可以添加一些事件，例如用户单击Outlook中设备上的网络钓鱼邮件或Word文档中的链接，这将下载宏，然后下载密码。勒弗茨解释说，Linux系统现在可以输入图形了。

“这样做的主要原因之一是将这种保护与您的企业系统相连接。他说：“Defender指的是对环境中端点设备的端到端保护。——它作为EDR系统插入到后卫ATP，信号显示在一致的仪表盘上。它可以检测事件和攻击，并为安全团队和SOC分析师提供他们需要的工具来了解更多情况。

“最后，攻击者以一种或另一种形式跟踪客户的数据，不管是删除、加密、doxx、偷窃等等。 但这条道路上的关键目标之一是在公司的服务器骨干环境中获得持久性。 这是一个中心点，他们可以抓住其他一切，并相处，因为最终用户总是回到这些。 有时这就是ActiveDirectory，有时这只是一个应用服务器，从那里我现在可以攻击环境中的终端用户。

目前，Linux的Defender完全由命令行驱动。

这就是为什么Linux上的维护者最初专注于服务器和DNS，Lefferts说：“Linux机器，整个机器，正在被用作应用程序的平台”。 这包括在云中运行的VM，而且由于它是针对服务器的，Defender在Linux上没有用户界面-它都是从命令行运行的，它与通常的Linux管理工具一起工作，如Ansible、Chef和Puppet，配置选项都在JSON文件中。 您还需要确保在Micros of tDefender安全中心打开预览功能，以查看受保护的Linux系统的详细信息。

保持安全工具的更新是重要的，但与WSL发行版一样，微软正在避免自动更新，而是让Linux用户管理自己的维护者代理的更新计划。 公司可能已经有了这样的流程，使用脚本，工具，如景观或标准无人值守升级选项。 签名和威胁定义将自动推送给维护者代理(在Windows上，每天发生几次)。

如果您想保护Linux，没有什么可以阻止您在运行Linux的开发人员笔记本上运行Defender。 “我们还没有将Linux定位为桌面或用户端点——这也是因为GUI问题，尽管它确实有效。 因此，如果你说的是像编码器这样的人，他们可能能够在这种环境中生存，但这不是我们会对普通用户放松的东西，“莱弗茨警告说。

如果您使用Linux作为开发平台，并基于开源项目构建自己的自定义应用程序，那么这些应用程序可能会带来漏洞，企业希望有助于捕捉这些漏洞。 开发工具在部署之前可能会对此有所帮助，但是当它们受到威胁时，Micros of tDefender已经检测到开源工具包，在服务器上也是如此。 莱弗茨说：“这不仅仅是这些比特出现在磁盘上，而是它们实际上正在被使用并加载到内存中。”

Linux的真正意义在于，组织中的所有系统都向同一个威胁监测工具发送有关可能安全问题的信号。

有一些Linux系统的维护者不适合在这个阶段。 Lefferts说：“当涉及到Linux使用的更广泛的方式，即嵌入到物联网设备或手机中，或者它最终可能出现的所有地方时，我们现在绝对没有针对这些场景。” 例如，IoT的Azure安全中心是管理IoT安全的更好选择。 在您的环境中查看所有最终用户端点和服务器基础设施的能力将是许多企业向前迈出的一步。 但是，将Defender引入Linux是更大的安全策略的一部分，从检测攻击到通过强化环境来防止攻击-以及优先处理问题。

莱弗茨指出：“如果防守者要想取得更大的成功，他们确实需要能够像进攻者那样看到风景，这就是所有的事情都在一个故事中联系在一起。” “这不仅包括拉入服务器，还包括拉入电子邮件和身份重用，以及这种方式如何连接到云应用程序，将所有这些域切割成一个一致的事件，这是我们用来为维护者讲述这一故事的对象。”

他说：“我们不仅可以在攻击发生时告诉证券交易委员会的行动小组，还可以告诉安全管理员和更广泛的信息技术小组关注的漏洞在哪里，并能够根据环境中的威胁动态重新排序。 这将帮助该组织了解他们需要解决的最大安全态势问题是什么。

如果你还没有准备好这种大图，Linux的防御器仍然是有用的，Lefferts坚持说。 如果你今天没有使用任何东西来保护你的Linux遗产，你可以在它是GA的时候立即从Defender开始。或者如果你使用一个单独的工具，你就不用再这样做了：你实际上会通过部署与DefenderATP集成的东西来获得更好的保护。