Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen für Ihren Microsoft Defender for Identity Sensor

Jeder Microsoft Defender for Identity Sensor erfordert eine Internetverbindung mit dem Defender for Identity-Clouddienst, um Sensordaten zu melden und erfolgreich zu arbeiten. In einigen Organisationen sind die Domänencontroller nicht direkt mit dem Internet verbunden, sondern über eine Webproxyverbindung. DIE SSL-Überprüfung und das Abfangen von Proxys werden aus Sicherheitsgründen nicht unterstützt. Ihr Proxyserver sollte es ermöglichen, dass die Daten direkt von den Defender for Identity-Sensoren an die relevanten URLs übergeben werden, ohne abfangen zu müssen.

Es wird empfohlen, den Proxyserver über die Befehlszeile zu konfigurieren, da dadurch sichergestellt wird, dass nur die Defender for Identity-Sensordienste über den Proxy kommunizieren.

Hinweis

Microsoft stellt keinen Proxyserver bereit. Auf die URLs kann über den von Ihnen konfigurierten Proxyserver zugegriffen werden.

Konfigurieren des Proxyservers über die Befehlszeile

Sie können Ihren Proxyserver während der Sensorinstallation mit den folgenden Befehlszeilenoptionen konfigurieren.

Syntax

"Azure ATP-Sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

Beschreibungen der Befehlszeilenoptionen

Name Syntax Erforderlich für die unbeaufsichtigte Installation? Beschreibung
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" Nein Gibt die ProxyUrl- und Portnummer für den Defender for Identity-Sensor an.
ProxyUserName ProxyUserName="Contoso\ProxyUser" Nein Wenn Ihr Proxydienst eine Authentifizierung erfordert, geben Sie einen Benutzernamen im Format „DOMÄNE\Benutzer“ an.
ProxyUserPassword ProxyUserPassword="P@ssw0rd" Nein Gibt das Kennwort für den Proxybenutzernamen an. *Anmeldeinformationen werden vom Defender for Identity-Sensor lokal verschlüsselt und gespeichert.

Hinweis

Da das Ändern der Proxykonfiguration des Sensors (sofern sie wie oben beschrieben über die Befehlszeile installiert wird) das Entfernen und erneute Installieren des Sensors erfordert, wird empfohlen, einen benutzerdefinierten DNS-A-Eintrag für den Proxyserver zu erstellen und zu verwenden. Mit einem benutzerdefinierten DNS-A-Eintrag können Sie bei Bedarf die Adresse des Proxyservers ändern und auch die Hostdatei zum Testen verwenden.

Alternative Methoden zum Konfigurieren des Proxyservers

Sie können eine der folgenden alternativen Methoden verwenden, um den Proxyserver zu konfigurieren. Beim Konfigurieren der Proxyeinstellungen mithilfe dieser Methoden leiten andere Dienste, die im Kontext als lokales System oder lokaler Dienst ausgeführt werden, den Datenverkehr auch über den Proxy weiter.

Konfigurieren des Proxyservers mithilfe von WinINet

Sie können Ihren Proxyserver mithilfe der WinINet-Proxykonfiguration (Microsoft Windows Internet) konfigurieren, damit der Defender for Identity-Sensor Diagnosedaten melden und mit dem Defender for Identity-Clouddienst kommunizieren kann, wenn ein Computer keine Verbindung mit dem Internet herstellen darf. Wenn Sie WinHTTP für die Proxykonfiguration verwenden, müssen Sie weiterhin Die Windows Internet -Browserproxyeinstellungen (WinINet) für die Kommunikation zwischen dem Sensor und dem Defender for Identity-Clouddienst konfigurieren.

Denken Sie beim Konfigurieren des Proxys daran, dass der eingebettete Defender for Identity-Sensordienst mit dem LocalService-Konto im Systemkontext ausgeführt wird und dass der Defender for Identity Sensor Updater-Dienst im Systemkontext mit dem LocalSystem-Konto ausgeführt wird.

Hinweis

Wenn Sie in Ihrer Netzwerktopologie einen transparenten Proxy oder WPAD verwenden, müssen Sie WinINet nicht für den Proxy konfigurieren.

Konfigurieren des Proxyservers mithilfe der Registrierung

Sie können Ihren Proxyserver auch manuell mithilfe eines registrierungsbasierten statischen Proxys konfigurieren, damit der Defender for Identity-Sensor Diagnosedaten melden und mit dem Defender for Identity-Clouddienst kommunizieren kann, wenn ein Computer keine Verbindung mit dem Internet herstellen darf.

Hinweis

Die Änderungen an der Registrierung sollten nur auf „LocalService“ und „LocalSystem“ angewendet werden.

Der statische Proxy kann über die Registrierung konfiguriert werden. Sie müssen die Proxykonfiguration, die Sie im Benutzerkontext verwenden, in localSystem und LocalService kopieren. So kopieren Sie Ihre Benutzerkontext-Proxyeinstellungen

  1. Stellen Sie sicher, dass Sie diese Registrierungsschlüssel sichern, bevor Sie sie bearbeiten.

  2. Suchen Sie in der Registrierung den Wert DefaultConnectionSettings als REG_BINARY unter dem Registrierungsschlüssel HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings, und kopieren Sie ihn.

  3. Wenn das LocalSystem nicht über die richtigen Proxyeinstellungen verfügt (entweder sind sie nicht konfiguriert oder unterscheiden sich von der Current_User), kopieren Sie die Proxyeinstellung aus dem Current_User in das LocalSystem. Unter dem Registrierungsschlüssel HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

  4. Fügen Sie den Wert DefaultConnectionSettings von „Current_User“ als REG_BINARY ein.

  5. Wenn localService nicht über die richtigen Proxyeinstellungen verfügt, kopieren Sie die Proxyeinstellung aus dem Current_User in den LocalService. Unter dem Registrierungsschlüssel HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

  6. Fügen Sie den Wert DefaultConnectionSettings von „Current_User“ als REG_BINARY ein.

Hinweis

Dies wirkt sich auf alle Anwendungen aus, einschließlich der Windows-Dienste, die WinINET mit „LocalService“- und „LocalSystem“-Kontext verwenden.

Aktivieren des Zugriffs auf Dienst-URLs von Defender for Identity im Proxyserver

Um den Zugriff auf Defender for Identity zu ermöglichen, wird empfohlen, Datenverkehr an die folgenden URLs zuzulassen. Die URLs werden automatisch dem richtigen Dienstspeicherort für Ihre Defender for Identity-Instanz zugeordnet.

  • <your-instance-name>.atp.azure.com: für Konsolenkonnektivität. Beispiel: contoso-corp.atp.azure.com

  • <your-instance-name>sensorapi.atp.azure.com: für die Sensorkonnektivität. Beispiel: contoso-corpsensorapi.atp.azure.com

Sie können auch die IP-Adressbereiche im Azure-Diensttag (AzureAdvancedThreatProtection) verwenden, um den Zugriff auf Defender for Identity zu ermöglichen. Weitere Informationen zu Diensttags finden Sie unter Diensttags für virtuelle Netzwerke.

Wenn Sie die Datei "Azure IP Ranges and Service Tags - Public Cloud" herunterladen möchten, können Sie dies hier tun. Informationen zu Us Government-Angeboten finden Sie unter Erste Schritte mit Angeboten der US-Regierung.

Hinweis

  • Um maximale Sicherheit und Datenschutz zu gewährleisten, verwendet Defender for Identity die zertifikatbasierte gegenseitige Authentifizierung zwischen jedem Defender for Identity-Sensor und dem Defender for Identity-Cloud-Back-End. DIE SSL-Überprüfung und -Überwachung werden nicht unterstützt, da sie den Authentifizierungsprozess beeinträchtigen.
  • Gelegentlich können sich die IP-Adressen des Defender for Identity-Diensts ändern. Wenn Sie IP-Adressen manuell konfigurieren oder Ihr Proxy automatisch DNS-Namen in ihre IP-Adresse auflöst und so verwendet, sollten Sie in regelmäßigen Abständen überprüfen, ob die konfigurierten IP-Adressen weiterhin auf dem neuesten Stand sind.

Testen der Proxykonnektivität

Der Defender for Identity-Sensor erfordert Netzwerkkonnektivität mit dem Defender for Identity-Dienst, der in Azure ausgeführt wird. Die meisten Organisationen steuern den Zugriff auf das Internet über Firewall oder Proxys. Wenn Sie einen Proxy verwenden, können Sie den Zugriff auf Port 443 über eine einzelne URL zulassen. Weitere Informationen zu den Ports, die defender for Identity benötigt, finden Sie unter Erforderliche Ports.

Nachdem der Proxy so konfiguriert wurde, dass der Sensor den Zugriff auf den Defender for Identity-Dienst ermöglicht, führen Sie die folgenden Schritte aus, um zu bestätigen, dass alles wie erwartet funktioniert. Dies kann zu folgenden Zwecken geschehen:

  • bevor Sie den Sensor bereitstellen
  • wenn nach der Installation des Sensors Konnektivitätsprobleme auftreten
  1. Öffnen Sie einen Browser mit den gleichen Proxyeinstellungen, die vom Sensor verwendet werden.

    Hinweis

    Wenn die Proxyeinstellungen für lokales System definiert sind, müssen Sie PSExec verwenden, um eine Sitzung als lokales System zu öffnen und den Browser aus dieser Sitzung zu öffnen.

  2. Navigieren Sie zur folgenden URL: https://<your_workspace_name>sensorapi.atp.azure.com. Ersetzen Sie <your_workspace_name> durch den Namen Ihres Defender for Identity-Arbeitsbereichs.

    Wichtig

    Sie müssen HTTPS und nicht HTTP angeben, um die Konnektivität ordnungsgemäß zu testen.

  3. Ergebnis: Fehler 503 Der Dienst ist nicht verfügbar. Dies bedeutet, dass Sie erfolgreich an den HTTPS-Endpunkt von Defender for Identity weitergeleitet werden konnten. Dies ist das gewünschte Ergebnis.

    Fehler 503 Ergebnis.

  4. Wenn Fehler 503 Der Dienst ist nicht verfügbar, tritt möglicherweise ein Problem mit der Proxykonfiguration auf. Überprüfen Sie Ihre Netzwerk- und Proxyeinstellungen.

  5. Wenn Sie einen Zertifikatfehler erhalten, stellen Sie sicher, dass Sie die erforderlichen vertrauenswürdigen Stammzertifikate installiert haben, bevor Sie fortfahren. Weitere Informationen finden Sie unter Proxyauthentifizierungsproblem stellt einen Verbindungsfehler dar. Die Zertifikatdetails sollten wie folgt aussehen:

    Zertifikatpfad.

Nächste Schritte