Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wichtig

Geräte, die nur für IPv6-Datenverkehr konfiguriert sind, werden nicht unterstützt.

Der Defender für Endpunkt-Sensor benötigt Microsoft Windows HTTP (WinHTTP), um Sensordaten zu melden und mit dem Defender für Endpunkt-Dienst zu kommunizieren. Der eingebettete Defender für Endpunkt-Sensor wird im Systemkontext unter dem Konto LocalSystem ausgeführt.

Tipp

Organisationen, die Weiterleitungsproxys als Gateway zum Internet verwenden, können mithilfe des Netzwerkschutzes Untersuchungen hinter einem Proxy durchführen.

Die WinHTTP-Konfigurationseinstellung ist unabhängig von den Browserproxyeinstellungen für Windows Internet (WinINet) (siehe WinINet und WinHTTP). Ein Proxyserver kann nur mithilfe der folgenden Ermittlungsmethoden ermittelt werden:

  • Autodiscovery-Methoden:

    • Transparenter Proxy

    • Web Proxy Auto-Discovery Protocol (WPAD)

      Hinweis

      Wenn Sie in Ihrem Netzwerk einen transparenten Proxy oder WPAD verwenden, benötigen Sie keine besonderen Konfigurationseinstellungen. Weitere Informationen zum Ausschluss von Defender für Endpunkt-URLs im Proxy finden Sie unter Aktivieren des Zugriffs auf Defender für Endpunkt-URLs im Proxy-Server

  • Manuelle Konfiguration von statischen Proxys:

    • Registrierungsbasierte Konfiguration

    • WinHTTP wird mit dem Befehl netsh konfiguriert: Nur für Desktops in einer stabilen Topologie geeignet (z. B.: ein Desktop in einem Firmennetzwerk hinter demselben Proxy)

Hinweis

Defender Antivirus und EDR-Proxys können unabhängig voneinander eingestellt werden. Achten Sie in den folgenden Abschnitten auf diese Unterscheidungen.

Manuelles Konfigurieren des Proxyservers mithilfe eines registrierungsbasierten statischen Proxys

Konfigurieren Sie einen registrierungsbasierten statischen Proxy für den Sensor von Defender für Endpunkt-Erkennung und -Reaktion (EDR), um Diagnosedaten zu melden und mit den Diensten von Defender für Endpunkt zu kommunizieren, wenn ein Computer nicht mit dem Internet verbunden werden darf.

Hinweis

Wenn Sie diese Option unter Windows 10 oder Windows 11 oder Windows Server 2019 oder Windows Server 2022 verwenden, wird empfohlen, dass Sie das folgende (oder spätere) Build und kumulative Update Rollup haben:

Diese Updates verbessern die Konnektivität und Zuverlässigkeit des CnC (Command and Control)-Kanals.

Der statische Proxy kann über die Gruppenrichtlinie (GP) konfiguriert werden. Beide Einstellungen unter den Gruppenrichtlinienwerten sollten für den Proxyserver konfiguriert werden, um EDR zu verwenden. Die Gruppenrichtlinie ist in den Administrativen Vorlagen verfügbar.

  • Administrative Vorlagen > Windows Components Data Collection and Preview Builds Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service.Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service.

    Legen Sie dies auf Aktiviert fest, und wählen Sie Verwendung von authentifiziertem Proxy deaktivieren.

    Der Statusbereich Gruppenrichtlinie Einstellung1

  • Administrative Vorlagen > Windows-Komponenten > – Datensammlung und Vorschaubuilds > Konfigurieren sie verbundene Benutzeroberflächen und Telemetriedaten:

    Konfigurieren Sie den Proxy.

    Der Statusbereich Gruppenrichtlinie Einstellung2

Gruppenrichtlinien Registrierungsschlüssel Registrierungseintrag Wert
Konfigurieren Sie die Verwendung eines authentifizierten Proxys für die verbundene Benutzererfahrung und den Telemetriedienst HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Konfigurieren Sie verbundene Benutzererfahrungen und Telemetrie HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Beispiel: 10.0.0.6:8080 (REG_SZ)

Hinweis

Wenn Sie die Einstellung "TelemetryProxyServer" auf Geräten verwenden, die ansonsten vollständig offline sind, was bedeutet, dass das Betriebssystem keine Verbindung für die Onlinesperrliste für Zertifikate oder Windows Update herstellen kann, muss die zusätzliche Registrierungseinstellung PreferStaticProxyForHttpRequest mit dem Wert 1hinzugefügt werden.
Pfad des übergeordneten Registrierungspfads für "PreferStaticProxyForHttpRequest" ist "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Der folgende Befehl kann verwendet werden, um den Registrierungswert am richtigen Speicherort einzufügen:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Der oben genannte Registrierungswert gilt nur ab MsSense.exe Version 10.8210.* und höher oder ab Version 10.8049.* .

Konfigurieren Sie einen statischen Proxy für Microsoft Defender Antivirus

Microsoft Defender Antivirus aus der Cloud liefert einen nahezu sofortigen, automatisierten Schutz vor neuen und aufkommenden Bedrohungen. Beachten Sie, dass die Konnektivität für benutzerdefinierte Indikatoren erforderlich ist, wenn Defender Antivirus Ihre aktive Antischadsoftwarelösung ist. Denn EDR im Blockmodus hat eine primäre Antischadsoftwarelösung, wenn Sie eine Nicht-Microsoft-Lösung verwenden.

Konfigurieren Sie den statischen Proxy mit der Gruppenrichtlinie, die unter Administrative Vorlagen verfügbar ist:

  1. Administrative Vorlagen > Windows-Komponenten > Microsoft Defender Antivirus-Proxyserver > definieren, um eine Verbindung mit dem Netzwerk herzustellen.

  2. Legen Sie ihn auf Aktiviert fest, und definieren Sie den Proxyserver. Beachten Sie, dass die URL entweder http:// oder https:// haben muss. Unterstützte Versionen für https:// finden Sie unter Microsoft Defender Antivirus Updates verwalten.

    Der Proxyserver für Microsoft Defender Antivirus

  3. Unter dem Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows Defenderlegt die Richtlinie den Registrierungswert ProxyServer als REG_SZ fest.

    Der Registrierungswert ProxyServer hat das folgende Zeichenfolgenformat:

    <server name or ip>:<port>

For example: http://10.0.0.6:8080

Hinweis

Wenn Sie statische Proxyeinstellungen auf Geräten verwenden, die ansonsten vollständig offline sind, d. h. das Betriebssystem kann keine Verbindung für die Onlinesperrliste für Zertifikate oder Windows Update herstellen, müssen Sie die zusätzliche Registrierungseinstellung SSLOptions mit dem dword-Wert 0 hinzufügen. Übergeordneter Registrierungspfad für "SSLOptions" ist "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"

Aus Gründen der Ausfallsicherheit und der Echtzeit-Natur des aus der Cloud gelieferten Schutzes speichert Microsoft Defender Antivirus den letzten bekannten funktionierenden Proxy. Stellen Sie sicher, dass Ihre Proxylösung keine SSL-Überprüfung durchführt. Dadurch wird die sichere Cloudverbindung aufgehoben.

Microsoft Defender Antivirus verwendet nicht den statischen Proxy, um eine Verbindung mit Windows Update oder Microsoft Update zum Herunterladen von Updates herzustellen. Stattdessen wird ein systemweiter Proxy verwendet, wenn Windows Update konfiguriert ist, oder die konfigurierte interne Updatequelle gemäß der konfigurierten Fallbackreihenfolge.

Bei Bedarf können Sie administrative Vorlagen > windows Components > Microsoft Defender Antivirus > Define proxy auto-config (.pac) verwenden, um eine Verbindung mit dem Netzwerk herzustellen. Wenn Sie erweiterte Konfigurationen mit mehreren Proxys einrichten müssen, verwenden Sie Administrative Vorlagen > Windows-Komponenten > Microsoft Defender AntivirusAdressen > definieren, um den Proxyserver zu umgehen und zu verhindern, dass Microsoft Defender Antivirus einen Proxyserver für diese Ziele verwendet.

Sie können PowerShell mit dem Set-MpPreference Cmdlet verwenden, um diese Optionen zu konfigurieren:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Hinweis

Um den Proxy ordnungsgemäß zu verwenden, konfigurieren Sie diese drei verschiedenen Proxyeinstellungen:

  • Microsoft Defender für Endpunkt (MDE)

  • AV (Antivirus)

  • Endpunkterkennung und -reaktion (EDR)

  • Netzwerkschutz und Microsoft Defender SmartScreen-Features funktionieren in dieser Konfiguration nicht. Diese Features erfordern eine systemweite Proxykonfiguration.

Konfigurieren Sie den Proxyserver manuell mit dem Befehl netsh

Verwenden Sie den netsh-Befehl, um einen systemweiten statischen Proxy zu konfigurieren.

Hinweis

  • Dies wirkt sich auf alle Anwendungen aus, einschließlich Windows-Diensten, die WinHTTP mit Standardproxy verwenden.

  1. Öffnen Sie eine Befehlszeile mit erhöhten Rechten:

    1. Wechseln Sie zu Start, und geben Sie cmd ein.
    2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

    netsh winhttp set proxy <proxy>:<port>

    Beispiel: netsh winhttp set proxy 10.0.0.6:8080

Wenn Sie den WinHTTP-Proxy zurücksetzen möchten, geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

netsh winhttp reset proxy

Weitere Informationen hierzu finden Sie unter netsh-Befehl: Syntax, Kontexte und Formatierung.

Aktivieren Sie den Zugriff auf die URLs des Microsoft Defender für Endpunkt-Dienstes im Proxy-Server

Wenn ein Proxy oder eine Firewall standardmäßig den gesamten Datenverkehr blockieren kann und nur bestimmte Domänen zulässt, dann fügen Sie die in dem herunterladbaren Blatt aufgeführten Domänen der Liste der zulässigen Domänen hinzu.

Diese herunterladbare Kalkulationstabelle enthält die Dienste und die zugehörigen URLs, mit denen Ihr Netzwerk sich verbinden können muss. Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, um den Zugriff für diese URLs zu verweigern. Optional müssen Sie möglicherweise eine Zulassungsregel speziell für sie erstellen.


Kalkulationstabelle der Domänenliste Beschreibung
Microsoft Defender für Endpunkt URL-Liste für kommerzielle Kunden Tabellenkalkulation mit spezifischen DNS-Einträgen für Dienststandorte, geografische Standorte und Betriebssysteme für gewerbliche Kunden.

Laden Sie das Arbeitsblatt hier herunter.

Beachten Sie, dass Microsoft Defender for Endpoint Plan 1 und Plan 2 dieselben Proxydienst-URLs verwenden.
Microsoft Defender für Endpunkt URL-Liste für Gov/GCC/DoD Tabelle mit bestimmten DNS-Einträgen für Dienststandorte, geografische Standorte und Das Betriebssystem für Gov/GCC/DoD-Kunden.

Laden Sie das Arbeitsblatt hier herunter.

Wenn bei einem Proxy oder einer Firewall die HTTPS-Überprüfung aktiviert ist (SSL-Inspektion), schließen Sie die in der obigen Tabelle aufgeführten Domänen von der HTTPS-Überprüfung aus. Öffnen Sie in Ihrer Firewall alle URLs, bei denen die Geografiespalte WW ist. Öffnen Sie für Zeilen, in denen die Geografiespalte nicht WW ist, die URLs für Ihren spezifischen Datenspeicherort. Um Ihre Einstellung für den Speicherplatz der Daten zu überprüfen, siehe Überprüfen des Speicherplatzes der Daten und Aktualisieren der Einstellungen für die Datenaufbewahrung für Microsoft Defender für Endpunkt .

Hinweis

Windows Geräte mit Version 1803 oder früheren Versionen benötigen settings-win.data.microsoft.com.

URLs, die v20 enthalten, werden nur benötigt, wenn Sie Windows-Geräte mit Version 1803 oder höher haben. us-v20.events.data.microsoft.com wird z.B. für ein Windows-Gerät benötigt, das unter Version 1803 oder höher läuft und in der Region US-Speicherplatz eingebunden ist.

Wenn ein Proxy oder eine Firewall anonymen Datenverkehr vom Defender für Endpunkt-Sensor blockiert und eine Verbindung aus dem Systemkontext hergestellt wird, ist es wichtig, sicherzustellen, dass anonymer Datenverkehr in Ihrem Proxy oder ihrer Firewall für die zuvor aufgeführten URLs zulässig ist.

Hinweis

Microsoft stellt keinen Proxyserver bereit. Auf diese URLs kann über den von Ihnen konfigurierten Proxyserver zugegriffen werden.

Microsoft Monitoring Agent (MMA) – Proxy- und Firewallanforderungen für ältere Versionen von Windows Client oder Windows Server

Die Informationen in der Liste der Proxy- und Firewallkonfigurationsinformationen sind für die Kommunikation mit dem Log Analytics-Agent (häufig als Microsoft Monitoring Agent bezeichnet) für frühere Versionen von Windows erforderlich, z. B. Windows 7 SP1, Windows 8.1 und Windows Server 2008 R2*.


Agent-Ressource Ports Richtung HTTPS-Inspektion umgehen
*.ods.opinsights.azure.com Port 443 Ausgehend Ja
*.oms.opinsights.azure.com Port 443 Ausgehend Ja
*.blob.core.windows.net Port 443 Ausgehend Ja
*.azure-automation.net Port 443 Ausgehend Ja

Hinweis

*Diese Konnektivitätsanforderungen gelten für die vorherige Microsoft Defender für Endpunkt von Windows Server 2016 und Windows Server 2012 R2, die MMA erfordert. Anweisungen zum Onboarding dieser Betriebssysteme mit der neuen einheitlichen Lösung finden Sie unter Onboarding Windows Server oder Migrieren zur neuen einheitlichen Lösung bei Servermigrationsszenarien in Microsoft Defender für Endpunkt.

Hinweis

Als cloudbasierte Lösung kann sich der IP-Bereich ändern. Es wird empfohlen, zur DNS-Auflösungseinstellung zu wechseln.

Bestätigen Sie die URL-Anforderungen für den Microsoft Monitoring Agent (MMA) Service

Lesen Sie die folgenden Anleitungen, um die Platzhalter (*)-Anforderung für Ihre spezifische Umgebung zu vermeiden, wenn Sie den Microsoft Monitoring Agent (MMA) für frühere Versionen von Windows verwenden.

  1. Onboarding eines vorherigen Betriebssystems mit dem Microsoft Monitoring Agent (MMA) in Defender für Endpunkt (weitere Informationen finden Sie unter Onboarding früherer Versionen von Windows auf Defender für Endpunkt und Onboarding Windows Server).

  2. Stellen Sie sicher, dass der Computer erfolgreich im Microsoft 365 Defender-Portal Meldung macht.

  3. Führen Sie das TestCloudConnection.exe-Tool unter "C:\Programme\Microsoft Monitoring Agent\Agent" aus, um die Konnektivität zu überprüfen und die erforderlichen URLs für Ihren spezifischen Arbeitsbereich abzurufen.

  4. Die vollständige Liste der Anforderungen für Ihre Region finden Sie in der Liste der Microsoft Defender für Endpunkt-URLs (siehe die Tabelle der Dienst-URLs).

    Dies ist PowerShell für Administratoren.

Die Platzhalter (*) in *.ods.opinsights.azure.com-, *.oms.opinsights.azure.com- und *.agentsvc.azure-automation.net-URL-Endpunkten können durch Ihre spezifische Arbeitsbereichs-ID ersetzt werden. Die Arbeitsbereichs-ID ist spezifisch für Ihre Umgebung und Ihren Arbeitsbereich. Sie finden sie im Abschnitt Onboarding Ihres Mandanten im Microsoft 365 Defender-Portal.

Der *.blob.core.windows.net URL-Endpunkt kann durch die URLs ersetzt werden, die im Abschnitt "Firewallregel: *.blob.core.windows.net" der Testergebnisse angezeigt werden.

Hinweis

Bei einem Onboarding über Microsoft Defender für Cloud können mehrere Arbeitsbereiche verwendet werden. Sie müssen die Prozedur TestCloudConnection.exe auf dem eingebundenen Computer von jedem Arbeitsbereich aus durchführen (um festzustellen, ob es Änderungen an den *.blob.core.windows.net URLs zwischen den Arbeitsbereichen gibt).

Verbindung des Clients mit den URLs des Dienstes Microsoft Defender für Endpunkt herstellen

Überprüfen Sie, ob die Proxykonfiguration erfolgreich abgeschlossen wurde. WinHTTP kann dann den Proxyserver in Ihrer Umgebung ermitteln und über diesen kommunizieren, und der Proxyserver lässt dann Datenverkehr zu den Defender für Endpunkt-Dienst-URLs zu.

  1. Laden Sie das Tool Microsoft Defender für Endpunkt Client Analyzer auf den PC herunter, auf dem der Defender für Endpunkt-Sensor ausgeführt wird. Für Downlevel-Server steht die neueste Preview-Edition zum Herunterladen zur Verfügung: Microsoft Defender für Endpunkt Client Analyzer Tool Beta.

  2. Extrahieren Sie den Inhalt von MDEClientAnalyzer.zip auf dem Gerät.

  3. Öffnen Sie eine Befehlszeile mit erhöhten Rechten:

    1. Wechseln Sie zu Start, und geben Sie cmd ein.
    2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

  4. Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

    HardDrivePath\MDEClientAnalyzer.cmd

    Ersetzen Sie HardDrivePath durch den Pfad, in den das Tool MDEClientAnalyzer heruntergeladen wurde. Zum Beispiel: 

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

  5. Das Tool erstellt und extrahiert die MDEClientAnalyzerResult.zip-Datei im Ordner, die in HardDrivePath verwendet werden soll.

  6. Öffnen Sie MDEClientAnalyzerResult.txt und überprüfen Sie, ob Sie die Proxy-Konfigurationsschritte durchgeführt haben, um die Servererkennung und den Zugriff auf die Service-URLs zu aktivieren.

    Das Tool überprüft die Verbindung von Defender für Endpunkt-URLs. Stellen Sie sicher, dass der Defender für Endpunkt-Client für die Interaktion konfiguriert ist. Das Tool gibt die Ergebnisse in der Datei MDEClientAnalyzerResult.txt für jede URL aus, die potenziell für die Kommunikation mit den Diensten von Defender für Endpunkt verwendet werden kann. Beispiel:

    Testing URL : https://xxx.microsoft.com/xxx
1 - Default proxy: Succeeded (200)
2 - Proxy auto discovery (WPAD): Succeeded (200)
3 - Proxy disabled: Succeeded (200)
4 - Named proxy: Doesn't exist
5 - Command line proxy: Doesn't exist

Wenn mindestens eine der Verbindungsoptionen einen (200)-Status zurückgibt, kann der Defender für Endpunkt-Client über diese Verbindungsmethode ordnungsgemäß mit der getesteten URL kommunizieren.

Wenn die Ergebnisse der Verbindungsüberprüfung hingegen auf einen Fehler hindeuten, wird ein HTTP-Fehler angezeigt (siehe HTTP-Status-Codes). Sie können dann die URLs in der Tabelle unter Zugriff auf Defender für Endpunkt-Dienst-URLs im Proxyserver aktivieren verwenden. Welche URLs zur Verfügung stehen, hängt von der Region ab, die während des Onboarding-Verfahrens ausgewählt wurde.

Hinweis

Die Überprüfungen der Cloud-Konnektivität des Tools Connectivity Analyzer sind nicht mit der Regel zur Verringerung der Angriffsfläche Blockieren von Vorgängen, die von PSExec und WMI-Befehlen stammen, kompatibel. Sie müssen diese Regel vorübergehend deaktivieren, um das Verbindungstool auszuführen. Alternativ können Sie bei der Ausführung des Analysators vorübergehend ASR-Ausschlüsse hinzufügen.

Wenn der TelemetryProxyServer in der Registrierung oder über die Gruppenrichtlinie festgelegt ist, greift Defender für Endpunkt auf den definierten Proxy zurück, da er nicht darauf zugreifen kann.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.