TRIN 2: Konfigurer dine enheder til at oprette forbindelse til Defender for Endpoint-tjenesten ved hjælp af en proxy
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Vigtigt!
Enheder, der er konfigureret til IPv6-trafik, understøttes ikke.
Defender for Endpoint-sensoren kræver Microsoft Windows HTTP (WinHTTP) for at rapportere sensordata og kommunikere med Defender for Endpoint-tjenesten. Den integrerede Defender for Endpoint-sensor kører i systemkontekst ved hjælp af LocalSystem-kontoen.
Tip
For organisationer, der bruger videresendelsesproxyer som en gateway til internettet, kan du bruge netværksbeskyttelse til at undersøge forbindelseshændelser, der opstår bag fremadrettede proxyer.
Konfigurationsindstillingen WinHTTP er uafhængig af proxyindstillingerne for Windows Internet-browsing (WinINet) (se WinINet vs. WinHTTP). Den kan kun finde en proxyserver ved hjælp af følgende registreringsmetoder:
Metoder til automatisk søgning:
Gennemsigtig proxy
WPAD (Web Proxy Auto-Discovery Protocol)
Bemærk!
Hvis du bruger gennemsigtig proxy eller WPAD i din netværkstopologi, behøver du ikke særlige konfigurationsindstillinger.
Manuel statisk proxykonfiguration:
Registreringsdatabasebaseret konfiguration
WinHTTP konfigureret ved hjælp af netsh-kommando: Egner sig kun til stationære computere i en stabil topologi (f.eks. en stationær computer i et virksomhedsnetværk bag den samme proxy)
Bemærk!
Defender antivirus- og EDR-proxyer kan angives uafhængigt af hinanden. I de efterfølgende afsnit skal du være opmærksom på disse forskelle.
Konfigurer proxyserveren manuelt ved hjælp af en registreringsdatabasebaseret statisk proxy
Konfigurer en registreringsbaseret statisk proxy for EDR-sensor (Defender for Endpoint Detection and Response) til at rapportere diagnosticeringsdata og kommunikere med Defender for Endpoint-tjenester, hvis en computer ikke har tilladelse til at oprette forbindelse til internettet.
Bemærk!
Når du bruger denne indstilling på Windows 10, Windows 11 eller Windows Server 2019 eller Windows Server 2022, anbefales det at have følgende (eller nyere) build og kumulativ opdateringspakke:
- Windows 11
- Windows 10, version 1809 eller Windows Server 2019 eller Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10, version 1909 -https://support.microsoft.com/kb/4601380
- Windows 10, version 2004 –https://support.microsoft.com/kb/4601382
- Windows 10, version 20H2 –https://support.microsoft.com/kb/4601382
Disse opdateringer forbedrer forbindelsen til og pålideligheden af CnC-kanalen (Command and Control).
Den statiske proxy kan konfigureres via gruppepolitik (GP). Begge indstillinger under gruppepolitikværdier skal konfigureres til proxyserveren til brug af EDR. Gruppepolitikken er tilgængelig i Administrative skabeloner.
Administrative skabeloner > Windows-komponenter > Dataindsamling og eksempelbuilds > Konfigurer godkendt proxyanvendelse for tjenesten Tilsluttet brugeroplevelse og telemetri.
Angiv den til Aktiveret , og vælg Deaktiver godkendt proxyanvendelse.
Administrative skabeloner > Windows-komponenter > Dataindsamling og eksempelbuilds > Konfigurer forbundne brugeroplevelser og telemetri:
Konfigurer proxyen.
| Gruppepolitik | Registreringsdatabasenøgle | Registreringsdatabasen | Værdi |
|---|---|---|---|
| Konfigurer godkendt proxyforbrug for den tilsluttede brugeroplevelse og telemetritjenesten | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| Konfigurer forbundne brugeroplevelser og telemetri | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Eksempel: 10.0.0.6:8080 (REG_SZ) |
Bemærk!
Hvis du bruger indstillingen 'TelemetryProxyServer' på enheder, der ellers er helt offline, hvilket betyder, at operativsystemet ikke kan oprette forbindelse til listen over tilbagekaldte onlinecertifikater eller Windows Update, skal du tilføje den ekstra indstilling i PreferStaticProxyForHttpRequest registreringsdatabasen med værdien 1.
Placering af den overordnede sti til registreringsdatabasen for "PreferStaticProxyForHttpRequest" er "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Følgende kommando kan bruges til at indsætte registreringsdatabaseværdien på den korrekte placering:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Ovenstående registreringsdatabaseværdi gælder kun fra og med MsSense.exe version 10.8210.* og nyere eller version 10.8049.* og nyere.
Konfigurer en statisk proxy for Microsoft Defender Antivirus
Microsoft Defender Antivirus cloud-leveret beskyttelse giver næsten øjeblikkelig, automatiseret beskyttelse mod nye og nye trusler. Bemærk, at der kræves forbindelse til brugerdefinerede indikatorer , når Defender Antivirus er din aktive antimalwareløsning. For EDR i bloktilstand har primær antimalwareløsning, når du bruger en ikke-Microsoft-løsning.
Konfigurer den statiske proxy ved hjælp af de Gruppepolitik, der er tilgængelige i Administrative skabeloner:
Administrative skabeloner > Windows-komponenter > Microsoft Defender Antivirus > Definer proxyserver til oprettelse af forbindelse til netværket.
Angiv den til Aktiveret , og definer proxyserveren. Bemærk, at URL-adressen skal have enten http:// eller https://. Du kan se understøttede versioner til https:// under Administrer Microsoft Defender Antivirus-opdateringer.
Under registreringsdatabasenøglen
HKLM\Software\Policies\Microsoft\Windows Defenderangiver politikken registreringsdatabaseværdienProxyServersom REG_SZ.Registreringsdatabaseværdien
ProxyServerhar følgende strengformat:<server name or ip>:<port>For eksempel: http://10.0.0.6:8080
Bemærk!
Hvis du bruger en statisk proxyindstilling på enheder, der ellers er helt offline, hvilket betyder, at operativsystemet ikke kan oprette forbindelse til listen over tilbagekaldte onlinecertifikater eller Windows Update, er det nødvendigt at tilføje den ekstra indstilling for SSLOptions i registreringsdatabasen med en dword-værdi på 0. Den overordnede placering af stien i registreringsdatabasen til "SSLOptions" er "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Microsoft Defender Antivirus cachelagrer den senest kendte arbejdsproxy for at opnå robusthed og beskyttelse, der leveres i realtid. Sørg for, at proxyløsningen ikke udfører SSL-inspektion. Dette ødelægger den sikre cloudforbindelse.
Microsoft Defender Antivirus bruger ikke den statiske proxy til at oprette forbindelse til Windows Update eller Microsoft Update til download af opdateringer. Den bruger i stedet en proxy for hele systemet, hvis den er konfigureret til at bruge Windows Update, eller den konfigurerede interne opdateringskilde i henhold til den konfigurerede reserveordre.
Hvis det er nødvendigt, kan du bruge Administrative skabeloner > Windows-komponenter > Microsoft Defender Antivirus > Definer proxy automatisk konfiguration (.pac) til at oprette forbindelse til netværket. Hvis du har brug for at konfigurere avancerede konfigurationer med flere proxyer, skal du bruge Administrative skabeloner > Windows-komponenter > Microsoft Defender Antivirus > Define-adresser til at tilsidesætte proxyserveren og forhindre Microsoft Defender Antivirus i at bruge en proxyserver til disse destinationer.
Du kan bruge PowerShell sammen med cmdlet'en Set-MpPreference til at konfigurere disse indstillinger:
- ProxyBypass
- ProxyPacUrl
- Proxyserver
Bemærk!
Hvis du vil bruge proxyen korrekt, skal du konfigurere disse tre forskellige proxyindstillinger:
- Microsoft Defender for Endpoint (MDE)
- AV (Antivirus)
- EDR (Endpoint Detection and Response)
Konfigurer proxyserveren manuelt ved hjælp af kommandoen netsh
Brug netsh til at konfigurere en statisk proxy for hele systemet.
Bemærk!
- Dette påvirker alle programmer, herunder Windows-tjenester, der bruger WinHTTP med standardproxy.
Åbn en kommandolinje med administratorrettigheder:
- Gå til Start, og skriv cmd.
- Højreklik på Kommandoprompt, og vælg Kør som administrator.
Angiv følgende kommando, og tryk på Enter:
netsh winhttp set proxy <proxy>:<port>For eksempel:
netsh winhttp set proxy 10.0.0.6:8080
Hvis du vil nulstille winhttp-proxyen, skal du angive følgende kommando og trykke på Enter:
netsh winhttp reset proxy
Se Netsh-kommandosyntaks, kontekster og formatering for at få mere at vide.
Næste trin
TRIN 3: Kontrollér klientforbindelsen til Microsoft Defender for Endpoint tjeneste-URL-adresser
Relaterede artikler
- Frakoblede miljøer, proxyer og Microsoft Defender for Endpoint
- Brug Gruppepolitik indstillinger til at konfigurere og administrere Microsoft Defender Antivirus
- Indbyggede Windows-enheder
- Fejlfinding af problemer med Microsoft Defender for Endpoint onboarding
- Onboarde enheder uden internetadgang til Microsoft Defender for Endpoint
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om