Konfigurieren der Einstellungen für den Endpunktproxy und die Internetkonnektivität für Ihren Microsoft Defender for Identity-Sensor

Jeder Microsoft Defender for Identity Sensor erfordert eine Internetkonnektivität mit dem Defender for Identity-Clouddienst, um Sensordaten zu melden und erfolgreich zu betreiben. In einigen Organisationen sind die Domänencontroller nicht direkt mit dem Internet verbunden, sondern über eine Webproxyverbindung.

Es wird empfohlen, die Befehlszeile zu verwenden, um Ihren Proxyserver so zu konfigurieren, dass nur die Defender for Identity-Sensordienste über den Proxy kommunizieren.

Hinweis

Microsoft stellt keinen Proxyserver bereit. Auf die URLs kann über den Proxyserver zugegriffen werden, den Sie konfigurieren.

Konfigurieren des Proxyservers über die Befehlszeile

Sie können Ihren Proxyserver während der Sensorinstallation mithilfe der folgenden Befehlszeilenschalter konfigurieren.

Syntax

"Azure ATP Sensor Setup.exe" [/quiet] [/Help] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

Beschreibungen der Befehlszeilenoptionen

Name Syntax Erforderlich für die unbeaufsichtigte Installation? Beschreibung
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" Nein Gibt die ProxyUrl- und Portnummer für den Defender for Identity-Sensor an.
ProxyUserName ProxyUserName="Contoso\ProxyUser" Nein Wenn Ihr Proxydienst eine Authentifizierung erfordert, geben Sie einen Benutzernamen im Format „DOMÄNE\Benutzer“ an.
ProxyUserPassword ProxyUserPassword="P@ssw0rd" Nein Gibt das Kennwort für den Proxybenutzernamen an. *Anmeldeinformationen werden von dem Defender for Identity-Sensor verschlüsselt und lokal gespeichert.

Alternative Methoden zum Konfigurieren des Proxyservers

Sie können eine der folgenden alternativen Methoden verwenden, um den Proxyserver zu konfigurieren. Beim Konfigurieren der Proxyeinstellungen mithilfe dieser Methoden leiten andere Dienste, die im Kontext als lokales System oder lokaler Dienst ausgeführt werden, den Datenverkehr auch über den Proxy weiter.

Konfigurieren des Proxyservers mithilfe von WinINet

Sie können Ihren Proxyserver mithilfe von Microsoft Windows Internet (WinINet)-Proxykonfiguration konfigurieren, damit Defender for Identity Sensor Diagnosedaten melden und mit Defender for Identity-Clouddienst kommunizieren kann, wenn ein Computer keine Verbindung mit dem Internet herstellen darf. Wenn Sie WinHTTP für die Proxykonfiguration verwenden, müssen Sie weiterhin Windows Internet-Proxyeinstellungen (WinINet) für die Kommunikation zwischen dem Sensor und dem Defender for Identity-Clouddienst konfigurieren.

Denken Sie beim Konfigurieren des Proxys daran, dass der eingebettete Defender for Identity-Sensordienst im Systemkontext mit dem LocalService-Konto ausgeführt wird und dass der Defender for Identity Sensor Updater-Dienst im Systemkontext mithilfe des LocalSystem-Kontos ausgeführt wird.

Hinweis

Wenn Sie in Ihrer Netzwerktopologie einen transparenten Proxy oder WPAD verwenden, müssen Sie WinINet nicht für den Proxy konfigurieren.

Konfigurieren des Proxyservers mithilfe der Registrierung

Sie können Ihren Proxyserver auch manuell mithilfe eines registrierungsbasierten statischen Proxys konfigurieren, damit Defender for Identity-Sensor Diagnosedaten melden und mit Defender for Identity-Clouddienst kommunizieren kann, wenn ein Computer keine Verbindung mit dem Internet herstellen darf.

Hinweis

Die Änderungen an der Registrierung sollten nur auf „LocalService“ und „LocalSystem“ angewendet werden.

Der statische Proxy kann über die Registrierung konfiguriert werden. Sie müssen die Proxykonfiguration kopieren, die Sie im Benutzerkontext verwenden, in das LocalSystem und LocalService. So kopieren Sie Ihre Benutzerkontext-Proxyeinstellungen

  1. Stellen Sie sicher, dass Sie diese Registrierungsschlüssel sichern, bevor Sie sie bearbeiten.

  2. Suchen Sie in der Registrierung den Wert DefaultConnectionSettings als REG_BINARY unter dem Registrierungsschlüssel HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings, und kopieren Sie ihn.

  3. Wenn das LocalSystem nicht über die richtigen Proxyeinstellungen verfügt (entweder nicht konfiguriert oder von der Current_User unterscheidet), kopieren Sie die Proxyeinstellung aus dem Current_User in das LocalSystem. Unter dem Registrierungsschlüssel HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

  4. Fügen Sie den Wert DefaultConnectionSettings von „Current_User“ als REG_BINARY ein.

  5. Wenn der LocalService nicht über die richtigen Proxyeinstellungen verfügt, kopieren Sie die Proxyeinstellung aus dem Current_User in den LocalService. Unter dem Registrierungsschlüssel HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

  6. Fügen Sie den Wert DefaultConnectionSettings von „Current_User“ als REG_BINARY ein.

Hinweis

Dies wirkt sich auf alle Anwendungen aus, einschließlich der Windows-Dienste, die WinINET mit „LocalService“- und „LocalSystem“-Kontext verwenden.

Aktivieren des Zugriffs auf Dienst-URLs von Defender for Identity im Proxyserver

Um den Zugriff auf Defender for Identity zu aktivieren, empfehlen wir, den Datenverkehr auf die folgenden URLs zuzulassen. Die URLs werden automatisch dem richtigen Dienstspeicherort für Ihre Defender for Identity-Instanz zugeordnet.

  • <your-instance-name>.atp.azure.com: für Konsolenkonnektivität. Beispiel: contoso-corp.atp.azure.com

  • <your-instance-name>sensorapi.atp.azure.com: für die Sensorkonnektivität. Beispiel: contoso-corpsensorapi.atp.azure.com

Sie können auch die IP-Adressbereiche im Azure-Diensttag (AzureAdvancedThreatProtection) verwenden, um den Zugriff auf Defender for Identity zu ermöglichen. Weitere Informationen zu Diensttags finden Sie unter Virtual Network Service Tags.

Wenn Sie die Datei "Azure IP-Bereiche und Servicetags - Public Cloud" herunterladen möchten, können Sie dies hier tun. Informationen zu US-Regierungsangeboten finden Sie unter Erste Schritte mit US-Regierungsangeboten.

Hinweis

  • Um maximale Sicherheit und Datenschutz zu gewährleisten, verwendet Defender for Identity zertifikatbasierte gegenseitige Authentifizierung zwischen jedem Defender for Identity-Sensor und dem Defender for Identity-Cloud-Back-End. Wenn in Ihrer Umgebung eine SSL-Überprüfung verwendet wird, stellen Sie sicher, dass diese Überprüfung für die gegenseitige Authentifizierung konfiguriert ist, sodass der Authentifizierungsprozess nicht beeinträchtigt wird.
  • Gelegentlich kann sich die IP-Adressen des Defender for Identity-Diensts ändern. Wenn Sie IP-Adressen manuell konfigurieren oder Ihr Proxy automatisch DNS-Namen in ihre IP-Adresse auflöst und so verwendet, sollten Sie in regelmäßigen Abständen überprüfen, ob die konfigurierten IP-Adressen weiterhin auf dem neuesten Stand sind.

Testen der Proxykonnektivität

Der Defender for Identity-Sensor erfordert die Netzwerkkonnektivität des Defender for Identity-Diensts, der in Azure ausgeführt wird. Die meisten Organisationen steuern den Zugriff auf das Internet über Firewall oder Proxies. Wenn Sie einen Proxy verwenden, können Sie den Zugriff auf Port 443 über eine einzelne URL zulassen. Weitere Informationen zu den Ports, die der Defender for Identity erfordert, finden Sie unter "Erforderliche Ports".

Nachdem der Proxy konfiguriert wurde, um den Sensorzugriff auf den MDI-Dienst zu ermöglichen, führen Sie die folgenden Schritte aus, um zu bestätigen, dass alles wie erwartet funktioniert. Dies kann zu folgenden Zwecken geschehen:

  • bevor Sie den Sensor bereitstellen
  • wenn nach der Installation des Sensors Konnektivitätsprobleme auftreten
  1. Öffnen Sie einen Browser mit den gleichen Proxyeinstellungen, die vom Sensor verwendet werden.

    Hinweis

    Wenn die Proxyeinstellungen für lokales System definiert sind, müssen Sie PSExec verwenden, um eine Sitzung als lokales System zu öffnen und den Browser aus dieser Sitzung zu öffnen.

  2. Navigieren Sie zu der folgenden URL: https://<your_workspace_name>sensorapi.atp.azure.com. Ersetzen Sie <your_workspace_name> den Namen Ihres MDI-Arbeitsbereichs.

    Wichtig

    Sie müssen HTTPS angeben, nicht HTTP, um die Konnektivität ordnungsgemäß zu testen.

  3. Ergebnis: Sie sollten einen Fehler 503 abrufen Der Dienst ist nicht verfügbar, was angibt, dass Sie erfolgreich an den MDI HTTPS-Endpunkt weitergeleitet wurden. Dies ist das gewünschte Ergebnis.

    Error 503 result.

  4. Wenn Fehler 503 Der Dienst nicht verfügbar ist, haben Sie möglicherweise ein Problem mit Ihrer Proxykonfiguration. Überprüfen Sie Ihre Netzwerk- und Proxyeinstellungen.

  5. Wenn Sie einen Zertifikatfehler erhalten, stellen Sie sicher, dass die erforderlichen vertrauenswürdigen Stammzertifikate installiert sind, bevor Sie fortfahren. Weitere Informationen finden Sie unter Proxyauthentifizierungsproblem als Verbindungsfehler. Die Zertifikatdetails sollten wie folgt aussehen:

    Certificate path.

Weitere Informationen