Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Der Defender für Endpunkt-Sensor benötigt Microsoft Windows HTTP (WinHTTP), um Sensordaten zu melden und mit dem Defender für Endpunkt-Dienst zu kommunizieren. Der eingebettete Defender für Endpunkt-Sensor wird im Systemkontext unter dem Konto LocalSystem ausgeführt. Der Sensor verwendet Microsoft Windows HTTP Services (WinHTTP), um die Kommunikation mit dem Cloud-Dienst Defender für Endpunkt zu aktivieren.

Tipp

Organisationen, die Weiterleitungsproxys als Gateway zum Internet verwenden, können mithilfe des Netzwerkschutzes Untersuchungen hinter einem Proxy durchführen.

Die WinHTTP-Konfigurationseinstellung ist unabhängig von den Proxy-Einstellungen des Windows Internet (WinINet) Browsing (siehe WinINet vs. WinHTTP). Sie kann einen Proxyserver nur über die folgenden Erkennungsmethoden ermitteln:

  • Autodiscovery-Methoden:

    • Transparenter Proxy

    • Web Proxy Auto-Discovery Protocol (WPAD)

      Hinweis

      Wenn Sie in Ihrem Netzwerk einen transparenten Proxy oder WPAD verwenden, benötigen Sie keine besonderen Konfigurationseinstellungen. Weitere Informationen zum Ausschluss von Defender für Endpunkt-URLs im Proxy finden Sie unter Aktivieren des Zugriffs auf Defender für Endpunkt-URLs im Proxy-Server

  • Manuelle Konfiguration von statischen Proxys:

    • Registrierungsbasierte Konfiguration

    • WinHTTP wird mit dem Befehl netsh konfiguriert: Nur für Desktops in einer stabilen Topologie geeignet (z. B.: ein Desktop in einem Firmennetzwerk hinter demselben Proxy)

Hinweis

Defender Antivirus und EDR-Proxys können unabhängig voneinander eingestellt werden. Achten Sie in den folgenden Abschnitten auf diese Unterscheidungen.

Manuelles Konfigurieren des Proxyservers mithilfe eines registrierungsbasierten statischen Proxys

Konfigurieren Sie einen registrierungsbasierten statischen Proxy für den Sensor von Defender für Endpunkt-Erkennung und -Reaktion (EDR), um Diagnosedaten zu melden und mit den Diensten von Defender für Endpunkt zu kommunizieren, wenn ein Computer nicht mit dem Internet verbunden werden darf.

Hinweis

Wenn Sie diese Option unter Windows 10 oder Windows 11 oder Windows Server 2019 oder Windows Server 2022 verwenden, wird empfohlen, dass Sie das folgende (oder spätere) Build und kumulative Update Rollup haben:

Diese Updates verbessern die Konnektivität und Zuverlässigkeit des CnC (Command and Control)-Kanals.

Der statische Proxy kann über die Gruppenrichtlinie (GP) konfiguriert werden. Beide Einstellungen unter den Gruppenrichtlinienwerten sollten für den Proxyserver konfiguriert werden, um EDR zu verwenden. Die Gruppenrichtlinie ist in den Administrativen Vorlagen verfügbar.

  • Administrative Vorlagen > Windows-Komponenten > Datenerfassung und Vorschaubilder > Authentifizierte Proxy-Nutzung für den Dienst "Benutzererfahrung und Telemetrie im verbundenen Modus" konfigurieren.

    Legen Sie dies auf Aktiviert fest, und wählen Sie Verwendung von authentifiziertem Proxy deaktivieren.

    Der Statusbereich Gruppenrichtlinie Einstellung1

  • Administrative Vorlagen > Windows-Komponenten > Datensammlung und Vorabversionen > Benutzererfahrung und Telemetrie im verbundenen Modus konfigurieren:

    Konfigurieren Sie den Proxy.

    Der Statusbereich Gruppenrichtlinie Einstellung2

Gruppenrichtlinien Registrierungsschlüssel Registrierungseintrag Wert
Konfigurieren Sie die Verwendung eines authentifizierten Proxys für die verbundene Benutzererfahrung und den Telemetriedienst HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Konfigurieren Sie verbundene Benutzererfahrungen und Telemetrie HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Beispiel: 10.0.0.6:8080 (REG_SZ)

Hinweis

Wenn Sie die Einstellung "TelemetryProxyServer" auf Geräten verwenden, die ansonsten vollständig offline sind, wird empfohlen, die zusätzliche Registrierungseinstellung PreferStaticProxyForHttpRequest mit dem Wert " 1hinzuzufügen.
Der Speicherort des übergeordneten Registrierungspfads für "PreferStaticProxyForHttpRequest" lautet "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Der folgende Befehl kann verwendet werden, um den Registrierungswert an der richtigen Position einzufügen:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Der oben genannte Registrierungswert gilt nur ab MsSense.exe Version 10.8210.* und höher oder Version 10.8049.* und höher (unter Windows Server 2012R2/2016 mit dem einheitlichen Agent)

Konfigurieren Sie einen statischen Proxy für Microsoft Defender Antivirus

Microsoft Defender Antivirus aus der Cloud liefert einen nahezu sofortigen, automatisierten Schutz vor neuen und aufkommenden Bedrohungen. Beachten Sie, dass die Konnektivität für benutzerdefinierte Indikatoren erforderlich ist, wenn Defender Antivirus Ihre aktive Antischadsoftwarelösung ist. Denn EDR im Blockmodus hat eine primäre Antischadsoftwarelösung, wenn Sie eine Nicht-Microsoft-Lösung verwenden.

Konfigurieren Sie den statischen Proxy mit der Gruppenrichtlinie, die unter Administrative Vorlagen verfügbar ist:

  1. Administrative Vorlagen > Windows Komponenten > Microsoft Defender Antivirus > Definieren des Proxyservers für die Verbindung mit dem Netzwerk.

  2. Legen Sie ihn auf Aktiviert fest, und definieren Sie den Proxyserver. Beachten Sie, dass die URL entweder http:// oder https:// haben muss. Unterstützte Versionen für https:// finden Sie unter Microsoft Defender Antivirus Updates verwalten.

    Der Proxyserver für Microsoft Defender Antivirus

  3. Unter dem Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows Defenderlegt die Richtlinie den Registrierungswert ProxyServer als REG_SZ fest.

    Der Registrierungswert ProxyServer hat das folgende Zeichenfolgenformat:

    <server name or ip>:<port>
    
    For example: http://10.0.0.6:8080
    

Hinweis

Aus Gründen der Ausfallsicherheit und der Echtzeit-Natur des aus der Cloud gelieferten Schutzes speichert Microsoft Defender Antivirus den letzten bekannten funktionierenden Proxy. Stellen Sie sicher, dass Ihre Proxylösung keine SSL-Überprüfung durchführt. Dadurch wird die sichere Cloudverbindung aufgehoben.

Microsoft Defender Antivirus verwendet nicht den statischen Proxy, um eine Verbindung mit Windows Update oder Microsoft Update zum Herunterladen von Updates herzustellen. Stattdessen wird ein systemweiter Proxy verwendet, wenn Windows Update konfiguriert ist, oder die konfigurierte interne Updatequelle gemäß der konfigurierten Fallbackreihenfolge.

Bei Bedarf können Sie über Administrative Vorlagen > Windows Komponenten > Microsoft Defender Antivirus > Proxy-Autokonfiguration (.pac) die Verbindung zum Netzwerk herstellen. Wenn Sie erweiterte Konfigurationen mit mehreren Proxys einrichten müssen, verwenden Sie Administrative Vorlagen > Windows Komponenten > Microsoft Defender Antivirus > Definieren von Adressen, um Proxyserver zu umgehen und zu verhindern, dass Microsoft Defender Antivirus einen Proxyserver für diese Ziele verwenden.

Sie können PowerShell mit dem Set-MpPreference Cmdlet verwenden, um diese Optionen zu konfigurieren:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Hinweis

Um den Proxy ordnungsgemäß zu verwenden, konfigurieren Sie diese drei verschiedenen Proxyeinstellungen:

  • Microsoft Defender für Endpunkt (MDE)
  • AV (Antivirus)
  • Endpunkterkennung und -reaktion (EDR)

Konfigurieren Sie den Proxyserver manuell mit dem Befehl netsh

Verwenden Sie den netsh-Befehl, um einen systemweiten statischen Proxy zu konfigurieren.

Hinweis

  • Dies wirkt sich auf alle Anwendungen aus, einschließlich Windows-Diensten, die WinHTTP mit Standardproxy verwenden.
  1. Öffnen Sie eine Befehlszeile mit erhöhten Rechten:

    1. Wechseln Sie zu Start, und geben Sie cmd ein.
    2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

    netsh winhttp set proxy <proxy>:<port>
    

    Beispiel: netsh winhttp set proxy 10.0.0.6:8080

Wenn Sie den WinHTTP-Proxy zurücksetzen möchten, geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

netsh winhttp reset proxy

Weitere Informationen hierzu finden Sie unter netsh-Befehl: Syntax, Kontexte und Formatierung.

Aktivieren Sie den Zugriff auf die URLs des Microsoft Defender für Endpunkt-Dienstes im Proxy-Server

Wenn ein Proxy oder eine Firewall standardmäßig den gesamten Datenverkehr blockieren kann und nur bestimmte Domänen zulässt, dann fügen Sie die in dem herunterladbaren Blatt aufgeführten Domänen der Liste der zulässigen Domänen hinzu.

Diese herunterladbare Kalkulationstabelle enthält die Dienste und die zugehörigen URLs, mit denen Ihr Netzwerk sich verbinden können muss. Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, um den Zugriff für diese URLs zu verweigern. Optional müssen Sie möglicherweise eine Zulassungsregel speziell für sie erstellen.


Kalkulationstabelle der Domänenliste Beschreibung
Microsoft Defender für Endpunkt URL-Liste für kommerzielle Kunden Tabellenkalkulation mit spezifischen DNS-Einträgen für Dienststandorte, geografische Standorte und Betriebssysteme für gewerbliche Kunden.

Laden Sie das Arbeitsblatt hier herunter.

Beachten Sie, dass Microsoft Defender for Endpoint Plan 1 und Plan 2 dieselben Proxydienst-URLs verwenden.

Microsoft Defender für Endpunkt URL-Liste für Gov/GCC/DoD Tabelle mit bestimmten DNS-Einträgen für Dienststandorte, geografische Standorte und Das Betriebssystem für Gov/GCC/DoD-Kunden.

Laden Sie das Arbeitsblatt hier herunter.

Wenn bei einem Proxy oder einer Firewall die HTTPS-Überprüfung aktiviert ist (SSL-Inspektion), schließen Sie die in der obigen Tabelle aufgeführten Domänen von der HTTPS-Überprüfung aus. Öffnen Sie in Ihrer Firewall alle URLs, bei denen die Geografiespalte WW ist. Öffnen Sie für Zeilen, in denen die Geografiespalte nicht WW ist, die URLs für Ihren spezifischen Datenspeicherort. Um Ihre Einstellung für den Speicherplatz der Daten zu überprüfen, siehe Überprüfen des Speicherplatzes der Daten und Aktualisieren der Einstellungen für die Datenaufbewahrung für Microsoft Defender für Endpunkt .

Hinweis

Windows Geräte mit Version 1803 oder früheren Versionen benötigen settings-win.data.microsoft.com.

URLs, die v20 enthalten, werden nur benötigt, wenn Sie Windows-Geräte mit Version 1803 oder höher haben. us-v20.events.data.microsoft.com wird z.B. für ein Windows-Gerät benötigt, das unter Version 1803 oder höher läuft und in der Region US-Speicherplatz eingebunden ist.

Wenn ein Proxy oder eine Firewall anonymen Datenverkehr blockiert, stellen Sie sicher, dass für die zuvor aufgeführten URLs anonymer Datenverkehr zulässig ist (Endpunkt-DLP stellt eine Verbindung vom Systemkontext aus her).

Hinweis

Microsoft stellt keinen Proxyserver bereit. Auf diese URLs kann über den von Ihnen konfigurierten Proxyserver zugegriffen werden.

Microsoft Monitoring Agent (MMA) – Proxy- und Firewallanforderungen für ältere Versionen von Windows Client oder Windows Server

Die Informationen in der Liste der Proxy- und Firewallkonfigurationsinformationen sind für die Kommunikation mit dem Log Analytics-Agent (häufig als Microsoft Monitoring Agent bezeichnet) für frühere Versionen von Windows erforderlich, z. B. Windows 7 SP1, Windows 8.1 und Windows Server 2008 R2*.



Agent-Ressource Ports Richtung HTTPS-Inspektion umgehen
*.ods.opinsights.azure.com Port 443 Ausgehend Ja
*.oms.opinsights.azure.com Port 443 Ausgehend Ja
*.blob.core.windows.net Port 443 Ausgehend Ja
*.azure-automation.net Port 443 Ausgehend Ja

Hinweis

*Diese Konnektivitätsanforderungen gelten für die vorherige Microsoft Defender für Endpunkt von Windows Server 2016 und Windows Server 2012 R2, die MMA erfordert. Anweisungen zum Onboarding dieser Betriebssysteme mit der neuen einheitlichen Lösung finden Sie unter Onboarding Windows Server oder Migrieren zur neuen einheitlichen Lösung bei Servermigrationsszenarien in Microsoft Defender für Endpunkt.

Hinweis

Als cloudbasierte Lösung kann sich der IP-Bereich ändern. Es wird empfohlen, zur DNS-Auflösungseinstellung zu wechseln.

Bestätigen Sie die URL-Anforderungen für den Microsoft Monitoring Agent (MMA) Service

Lesen Sie die folgenden Anleitungen, um die Platzhalter (*)-Anforderung für Ihre spezifische Umgebung zu vermeiden, wenn Sie den Microsoft Monitoring Agent (MMA) für frühere Versionen von Windows verwenden.

  1. Onboarding eines vorherigen Betriebssystems mit dem Microsoft Monitoring Agent (MMA) in Defender für Endpunkt (weitere Informationen finden Sie unter Onboarding früherer Versionen von Windows auf Defender für Endpunkt und Onboarding Windows Server).

  2. Stellen Sie sicher, dass der Computer erfolgreich im Microsoft 365 Defender-Portal Meldung macht.

  3. Führen Sie das TestCloudConnection.exe-Tool unter "C:\Programme\Microsoft Monitoring Agent\Agent" aus, um die Konnektivität zu überprüfen und die erforderlichen URLs für Ihren spezifischen Arbeitsbereich abzurufen.

  4. Die vollständige Liste der Anforderungen für Ihre Region finden Sie in der Liste der Microsoft Defender für Endpunkt-URLs (siehe die Tabelle der Dienst-URLs).

    Der Administrator in Windows PowerShell

Die Platzhalter (*), die in den URL-Endpunkten *.ods.opinsights.azure.com, *.oms.opinsights.azure.com und *.agentsvc.azure-automation.net verwendet werden, können durch Ihre spezifische Workspace-ID ersetzt werden. Die Arbeitsbereichs-ID ist spezifisch für Ihre Umgebung und Ihren Arbeitsbereich. Sie finden sie im Abschnitt Onboarding Ihres Mandanten im Microsoft 365 Defender-Portal.

Der *.blob.core.windows.net-URL-Endpunkt kann durch die URLs ersetzt werden, die im Abschnitt "Firewallregel: *.blob.core.windows.net" der Testergebnisse angezeigt werden.

Hinweis

Bei einem Onboarding über Microsoft Defender für Cloud können mehrere Arbeitsbereiche verwendet werden. Sie müssen die Prozedur TestCloudConnection.exe auf dem eingebundenen Computer von jedem Arbeitsbereich aus durchführen (um festzustellen, ob es Änderungen an den *.blob.core.windows.net URLs zwischen den Arbeitsbereichen gibt).

Verbindung des Clients mit den URLs des Dienstes Microsoft Defender für Endpunkt herstellen

Überprüfen Sie, ob die Proxy-Konfiguration erfolgreich abgeschlossen ist. WinHTTP kann dann den Proxyserver in Ihrer Umgebung erkennen und mit ihm kommunizieren. Der Proxyserver erlaubt dann den Datenverkehr zu den URLs der Defender für Endpunkt-Dienste.

  1. Laden Sie das Tool Microsoft Defender für Endpunkt Client Analyzer auf den PC herunter, auf dem der Defender für Endpunkt-Sensor ausgeführt wird. Für Downlevel-Server steht die neueste Preview-Edition zum Herunterladen zur Verfügung: Microsoft Defender für Endpunkt Client Analyzer Tool Beta.

  2. Extrahieren Sie den Inhalt von MDEClientAnalyzer.zip auf dem Gerät.

  3. Öffnen Sie eine Befehlszeile mit erhöhten Rechten:

    1. Wechseln Sie zu Start, und geben Sie cmd ein.
    2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
  4. Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

    HardDrivePath\MDEClientAnalyzer.cmd
    

    Ersetzen Sie HardDrivePath durch den Pfad, wo das MDEClientAnalyzer Tool heruntergeladen wurde. Zum Beispiel:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. Das Tool erstellt und extrahiert die MDEClientAnalyzerResult.zip-Datei im Ordner, die in HardDrivePath verwendet werden soll.

  6. Öffnen Sie MDEClientAnalyzerResult.txt und überprüfen Sie, ob Sie die Proxy-Konfigurationsschritte durchgeführt haben, um die Servererkennung und den Zugriff auf die Service-URLs zu aktivieren.

    Das Tool überprüft die Verbindung von Defender für Endpunkt-URLs. Stellen Sie sicher, dass der Defender für Endpunkt-Client für die Interaktion konfiguriert ist. Das Tool gibt die Ergebnisse in der Datei MDEClientAnalyzerResult.txt für jede URL aus, die potenziell für die Kommunikation mit den Diensten von Defender für Endpunkt verwendet werden kann. Beispiel:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

Wenn mindestens eine der Verbindungsoptionen einen (200)-Status zurückgibt, kann der Defender für Endpunkt-Client über diese Verbindungsmethode ordnungsgemäß mit der getesteten URL kommunizieren.

Wenn die Ergebnisse der Verbindungsüberprüfung hingegen auf einen Fehler hindeuten, wird ein HTTP-Fehler angezeigt (siehe HTTP-Status-Codes). Sie können dann die URLs in der Tabelle unter Zugriff auf Defender für Endpunkt-Dienst-URLs im Proxyserver aktivieren verwenden. Welche URLs zur Verfügung stehen, hängt von der Region ab, die während des Onboarding-Verfahrens ausgewählt wurde.

Hinweis

Die Überprüfungen der Cloud-Konnektivität des Tools Connectivity Analyzer sind nicht mit der Regel zur Verringerung der Angriffsfläche Blockieren von Vorgängen, die von PSExec und WMI-Befehlen stammen, kompatibel. Sie müssen diese Regel vorübergehend deaktivieren, um das Verbindungstool auszuführen. Alternativ können Sie bei der Ausführung des Analysators vorübergehend ASR-Ausschlüsse hinzufügen.

Wenn der TelemetryProxyServer in der Registrierung oder über die Gruppenrichtlinie festgelegt ist, greift Defender für Endpunkt auf den definierten Proxy zurück, da er nicht darauf zugreifen kann.