在 Linux 上卸载或卸载Microsoft Defender for Endpoint

本文适用于需要从Linux服务器中卸载或卸载Microsoft Defender for Endpoint的 IT 管理员和安全专业人员。 它解释了卸载和卸载之间的区别，可帮助你确定哪个选项适合你的方案，并为每个方法提供分步说明。 它还介绍了卸载和卸载的设备在Microsoft Defender门户中的显示方式。

概述

从 Defender for Endpoint 卸载设备或卸载 Defender 应用程序时，不会将新的检测、漏洞或安全数据发送到 Microsoft Defender 门户。 设备卸载七天后，其传感器运行状况状态将变为 非活动状态。 已卸载或卸载设备的过去数据（例如警报、漏洞和设备时间线）在Microsoft Defender门户中保持可见，直到配置的保留期到期为止。 还会在设备清单中看到设备配置文件 (，且设备清单中没有数据) 长达 180 天。 过去 30 天内未处于活动状态的设备不会计入组织的 曝光分数。

若要仅查看活动设备的数据，可以使用筛选器，例如 传感器运行状况状态、 设备标记或 设备组。

卸载和卸载之间有什么区别？

卸载和卸载之间存在重要区别：

• 卸载会断开设备与 Defender 服务的连接，以便在安装代理时停止发送安全数据。
• 卸载会完全从设备中删除 Defender for Endpoint 软件和服务，并停止发送安全数据。

如何在卸载和卸载之间进行选择

• 如果要暂时阻止 Defender 与 Defender 服务通信，同时将 Defender 应用程序安装在 Linux 服务器上，则退出。 如果计划稍后在不重新安装代理的情况下重新启用 Defender，则建议使用此选项。 例如，如果需要排查 Defender 应用程序的问题，或者想要在服务器上执行维护时暂时停止 Defender，则可能需要退出。

• 如果想要从Linux服务器中完全删除 Defender 应用程序，例如，更改安装通道 (Prod/Insider Slow/Insider Fast) ，或者不再计划在设备上使用Microsoft Defender时，请卸载。

卸载和卸载的设备的行为如何？

成功卸载或卸载设备后，Defender 应用程序的行为如下所示：

• 它会停止将遥测 (（例如警报和漏洞）) 发送到Microsoft Defender门户。
• 它变为未授权且无法正常工作。
• 删除通过Microsoft Defender应用的安全策略。

卸载和卸载的设备如何显示在 Defender 门户中？

• 在七天没有遥测后，已卸载或卸载设备的传感器运行状况状态将更改为“非活动”。
• 卸载和卸载的设备在最长 180 天内保持可见状态。 有关数据保留的详细信息，请参阅Microsoft Defender for Endpoint数据存储和隐私。
• 历史数据 (警报、时间线、软件清单) 在保留期内仍可访问。
• 门户中未显示显式 “已卸载 ”或“ 已卸载 ”标签。 若要区分已卸载或卸载的设备与仅断开连接或处于非活动状态的设备，我们建议在卸载或卸载设备之前向设备添加标记。 这样，以后可以更轻松地识别和筛选这些设备。

登出设备

有两种方法可用于从 Microsoft Defender for Endpoint 卸载 Linux 服务器：

• 使用脚本卸载
• 使用卸载 JSON 文件卸载。

这两种方法的结果相同，因此你可以选择最适合你的方案的方法。

使用脚本卸载

1. 转到Microsoft Defender门户 (https://security.microsoft.com) ，然后登录。

2. 在导航窗格中的“系统”下，选择“设置终结点”>，然后在“设备管理”下，选择“卸载”。

3. 选择“Linux服务器”作为操作系统，然后在“部署方法”部分中，选择“本地脚本”。

4. 选择 “下载包 ”，然后选择“ 下载”。 下载的压缩文件夹名为 WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (其中 YYYY-MM-DD 是包) 的到期日期。

5. 在Linux服务器上，将 ZIP 文件的内容提取到本地目录。

6. 打开终端，导航到 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD 文件所在的目录。

7. 在终端中键入 sudo python3 MicrosoftDefenderATPOffboardingLinuxServer_valid_until_YYYY-MM-DD.py 。 这将运行卸载脚本，该脚本从Microsoft Defender for Endpoint卸载设备。

使用卸载 JSON 文件卸载

1. 转到Microsoft Defender门户 (https://security.microsoft.com) ，然后登录。
2. 在导航窗格中的“系统”下，选择“设置终结点”>，然后在“设备管理”下，选择“卸载”。
3. 选择“Linux服务器”作为操作系统，然后在“部署方法”部分中，选择首选Linux配置管理工具。
4. 选择 “下载包 ”，然后选择“ 下载”。 压缩文件夹名为 WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip (其中 YYYY-MM-DD 是包) 的到期日期。
5. 提取 ZIP 文件的内容并找到 mdatp_offboard.json 文件。
6. 将mdatp_offboard.json复制到Linux服务器上的以下位置：/etc/opt/microsoft/mdatp/mdatp_offboard.json

从 Linux 服务器卸载 Defender 应用程序

可通过两种方法从Linux服务器卸载 Defender 应用程序：使用 Defender 部署工具卸载 (建议) 或手动卸载。 这两种方法的结果相同，因此你可以选择最适合你的方案的方法。

使用 Defender 部署工具卸载 (建议)

这是建议的方法，因为它允许你通过一个步骤卸载 Defender 应用程序。

1. 转到Microsoft Defender门户 (https://security.microsoft.com) ，然后登录。

2. 在导航窗格中的“系统”下，选择“设置终结点”>，然后在“设备管理”下，选择“载入”。

3. 选择“Linux服务器”作为操作系统。

4. 转到 Defender 部署工具作为部署方法，然后选择 下载包 (下载 zip 文件) 。

5. 提取包并运行以下命令。 这会删除 Defender 应用程序并清理存储库：

   ./defender_deployment_tool.sh --remove --clean 
   

手动卸载

若要手动删除 Defender 应用程序并清理存储库，请 (下列命令之一，具体取决于Linux分发) ：

Red Hat Enterprise Linux (RHEL) 和变体 (CentOS 和 Oracle Linux)

sudo yum remove mdatp

或

sudo dnf remove mdatp

SUSE Linux Enterprise Server (SLES) 和变体

sudo zypper remove mdatp

Ubuntu 和 Debian

sudo apt-get purge mdatp

水手

sudo dnf remove mdatp

如何验证设备的卸载状态

若要验证设备的卸载状态，请运行以下命令：

mdatp health --field health_issues

预期输出

ATTENTION: No license found. Contact your administrator for help. ["missing license"]

除非手动卸载 Defender 应用程序，否则仍安装在设备上。

相关内容

• 从Microsoft Defender for Endpoint登出设备
• 在 Linux 上部署Microsoft Defender for Endpoint
• 在 Linux 上配置Microsoft Defender for Endpoint
• 排查Linux上的Microsoft Defender for Endpoint问题