PASO 2: Configurar los dispositivos para conectarse al servicio Defender para punto de conexión mediante un proxy
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Importante
No se admiten los dispositivos configurados para el tráfico solo IPv6.
El sensor de Defender para punto de conexión requiere HTTP de Microsoft Windows (WinHTTP) para informar de los datos del sensor y comunicarse con el servicio Defender para punto de conexión. El sensor incrustado de Defender para punto de conexión se ejecuta en el contexto del sistema mediante la cuenta LocalSystem.
Sugerencia
En el caso de las organizaciones que usan servidores proxy de reenvío como puerta de enlace a Internet, puede usar la protección de red para investigar los eventos de conexión que se producen detrás de servidores proxy directos.
La configuración de WinHTTP es independiente de la configuración del proxy de exploración de Windows Internet (WinINet) (vea WinINet frente a WinHTTP). Solo puede detectar un servidor proxy mediante los siguientes métodos de detección:
Métodos de detección automática:
Proxy transparente
Protocolo de detección automática de proxy web (WPAD)
Nota:
Si usa el proxy transparente o WPAD en la topología de red, no necesita valores de configuración especiales.
Configuración del proxy estático manual:
Configuración basada en el registro
WinHTTP configurado mediante el comando netsh: solo es adecuado para escritorios en una topología estable (por ejemplo, un escritorio en una red corporativa detrás del mismo proxy)
Nota:
Los servidores proxy EDR y antivirus de Defender se pueden establecer de forma independiente. En las secciones siguientes, tenga en cuenta esas distinciones.
Configurar manualmente el servidor proxy mediante un proxy estático basado en el registro
Configure un proxy estático basado en el Registro para el sensor de detección y respuesta de Defender para punto de conexión (EDR) para informar de los datos de diagnóstico y comunicarse con los servicios de Defender para punto de conexión si un equipo no tiene permiso para conectarse a Internet.
Nota:
Al usar esta opción en Windows 10, o Windows 11, o Windows Server 2019 o Windows Server 2022, se recomienda tener el siguiente paquete acumulativo de actualizaciones acumulativas y compilación (o posterior):
- Windows 11
- Windows 10, versión 1809 o Windows Server 2019 o Windows Server 2022:https://support.microsoft.com/kb/5001384
- Windows 10, versión 1909:https://support.microsoft.com/kb/4601380
- Windows 10, versión 2004:https://support.microsoft.com/kb/4601382
- Windows 10, versión 20H2:https://support.microsoft.com/kb/4601382
Estas actualizaciones mejoran la conectividad y confiabilidad del canal CnC (comando y control).
El proxy estático se puede configurar a través de la directiva de grupo (GP), ambos valores de directiva de grupo deben configurarse en el servidor proxy para usar EDR. La directiva de grupo está disponible en Plantillas administrativas.
Plantillas > administrativas Recopilación de datos de componentes > de Windows y compilaciones > en versión preliminar Configure el uso del proxy autenticado para el servicio de telemetría y experiencia del usuario conectado.
Establézcalo en Habilitado y seleccione Deshabilitar el uso del proxy autenticado.
Plantillas > administrativas Recopilación de datos de componentes > de Windows y compilaciones > en versión preliminar Configure connected user experiences and telemetry ::
Configure el proxy.
| Directiva de grupo | Clave del Registro | Entrada del Registro | Valor |
|---|---|---|---|
| Configuración del uso de proxy autenticado para la experiencia del usuario conectado y el servicio de telemetría | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| Configuración de telemetría y experiencias de usuario conectadas | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Por ejemplo: 10.0.0.6:8080 (REG_SZ) |
Nota:
Si usa la opción "TelemetryProxyServer" en dispositivos que, de lo contrario, están completamente sin conexión, lo que significa que el sistema operativo no puede conectarse para la lista de revocación de certificados en línea o Windows Update, es necesario agregar la configuración PreferStaticProxyForHttpRequest adicional del Registro con un valor de 1.
La ubicación de la ruta de acceso del Registro principal para "PreferStaticProxyForHttpRequest" es "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
El siguiente comando se puede usar para insertar el valor del Registro en la ubicación correcta:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
El valor anterior del Registro solo se aplica a partir de MsSense.exe versión 10.8210.* y posteriores, o la versión 10.8049.* y posteriores.
Configuración de un proxy estático para Microsoft Defender Antivirus
Microsoft Defender protección antivirus entregada en la nube proporciona protección casi instantánea y automatizada contra amenazas nuevas y emergentes. Tenga en cuenta que la conectividad es necesaria para los indicadores personalizados cuando Antivirus de Defender es la solución antimalware activa. Para EDR en modo de bloque tiene una solución antimalware principal cuando se usa una solución que no es de Microsoft.
Configure el proxy estático mediante el directiva de grupo disponible en Plantillas administrativas:
Plantillas > administrativas Componentes de > Windows Microsoft Defender Antivirus > Definir servidor proxy para conectarse a la red.
Establézcalo en Habilitado y defina el servidor proxy. Tenga en cuenta que la dirección URL debe tener http:// o https://. Para ver las versiones admitidas para https://, consulte Administración de actualizaciones Microsoft Defender Antivirus.
En la clave
HKLM\Software\Policies\Microsoft\Windows Defenderdel Registro , la directiva establece el valorProxyServerdel Registro como REG_SZ.El valor
ProxyServerdel Registro tiene el siguiente formato de cadena:<server name or ip>:<port>Por ejemplo: http://10.0.0.6:8080
Nota:
Si usa la configuración de proxy estático en dispositivos que, de lo contrario, están completamente sin conexión, lo que significa que el sistema operativo no puede conectarse para la lista de revocación de certificados en línea o Windows Update, es necesario agregar la configuración adicional del Registro SSLOptions con un valor dword de 0. La ubicación de la ruta de acceso del Registro principal para "SSLOptions" es "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Para fines de resistencia y la naturaleza en tiempo real de la protección entregada en la nube, Microsoft Defender Antivirus almacenará en caché el último proxy de trabajo conocido. Asegúrese de que la solución de proxy no realiza la inspección SSL. Esto interrumpirá la conexión segura a la nube.
Microsoft Defender Antivirus no usará el proxy estático para conectarse a Windows Update o Microsoft Update para descargar actualizaciones. En su lugar, usará un proxy de todo el sistema si está configurado para usar Windows Update o el origen de actualización interno configurado según el orden de reserva configurado.
Si es necesario, puede usar plantillas > administrativas Componentes > de Windows Microsoft Defender Antivirus > Definir configuración automática de proxy (.pac) para conectarse a la red. Si necesita configurar configuraciones avanzadas con varios servidores proxy, use Plantillas > administrativas Componentes > de Windows Microsoft Defender Antivirus > Definir direcciones para omitir el servidor proxy e impedir que Microsoft Defender Antivirus use un servidor proxy para esos destinos.
Puede usar PowerShell con el Set-MpPreference cmdlet para configurar estas opciones:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Nota:
Para usar el proxy correctamente, configure estos tres valores de proxy diferentes:
- Microsoft Defender para punto de conexión (MDE)
- AV (Antivirus)
- Detección y respuesta de puntos de conexión (EDR)
Configuración manual del servidor proxy mediante el comando netsh
Use netsh para configurar un proxy estático en todo el sistema.
Nota:
- Esto afectará a todas las aplicaciones, incluidos los servicios de Windows que utilicen WinHTTP con el proxy predeterminado.
Abra un símbolo del sistema con privilegios elevados:
- Vaya a Inicio y escriba cmd.
- Haga clic derecho en Símbolo del sistema y seleccione Ejecutar como administrador.
Escriba el siguiente comando y presione Entrar:
netsh winhttp set proxy <proxy>:<port>Por ejemplo:
netsh winhttp set proxy 10.0.0.6:8080
Para restablecer el servidor proxy winhttp, escriba el siguiente comando y presione Entrar:
netsh winhttp reset proxy
Para obtener más información, vea Sintaxis de comando Netsh, contextos y formatos.
Paso siguiente
Artículos relacionados
- Entornos desconectados, servidores proxy y Microsoft Defender para punto de conexión
- Usar directiva de grupo configuración para configurar y administrar Microsoft Defender Antivirus
- incorporar dispositivos Windows
- Solución de problemas de incorporación de Microsoft Defender para punto de conexión
- Incorporación de dispositivos sin acceso a Internet a Microsoft Defender para punto de conexión
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de