Configurar las opciones de proxy de dispositivo y de conectividad a Internet

  • Artículo

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Importante

No se admiten los dispositivos configurados para el tráfico solo IPv6.

El sensor de Defender para punto de conexión requiere HTTP de Microsoft Windows (WinHTTP) para informar de los datos del sensor y comunicarse con el servicio Defender para punto de conexión. El sensor incrustado de Defender para punto de conexión se ejecuta en el contexto del sistema mediante la cuenta LocalSystem.

Sugerencia

En el caso de las organizaciones que usan servidores proxy de reenvío como puerta de enlace a Internet, puede usar la protección de red para investigar los eventos de conexión que se producen detrás de servidores proxy directos.

La configuración de WinHTTP es independiente de la configuración del proxy de exploración de Windows Internet (WinINet) (vea WinINet frente a WinHTTP). Solo puede detectar un servidor proxy mediante los métodos de detección siguientes:

  • Métodos de detección automática:

  • Configuración del proxy estático manual:

    • Configuración basada en el registro

    • WinHTTP configurado mediante el comando netsh: solo es adecuado para escritorios en una topología estable (por ejemplo, un escritorio en una red corporativa detrás del mismo proxy)

Nota:

Los servidores proxy EDR y antivirus de Defender se pueden establecer de forma independiente. En las secciones siguientes, tenga en cuenta esas distinciones.

Configurar manualmente el servidor proxy mediante un proxy estático basado en el registro

Configure un proxy estático basado en el Registro para el sensor de detección y respuesta de Defender para punto de conexión (EDR) para informar de los datos de diagnóstico y comunicarse con los servicios de Defender para punto de conexión si un equipo no tiene permiso para conectarse a Internet.

Nota:

Al usar esta opción en Windows 10, o Windows 11, o Windows Server 2019 o Windows Server 2022, se recomienda tener el siguiente paquete acumulativo de actualizaciones acumulativas y compilación (o posterior):

Estas actualizaciones mejoran la conectividad y confiabilidad del canal CnC (comando y control).

El proxy estático se puede configurar a través de la directiva de grupo (GP), ambos valores de directiva de grupo deben configurarse en el servidor proxy para usar EDR. La directiva de grupo está disponible en Plantillas administrativas.

  • Plantillas > administrativas Recopilación de datos de componentes > de Windows y compilaciones > en versión preliminar Configure el uso del proxy autenticado para el servicio de telemetría y experiencia del usuario conectado.

    Establézcalo en Habilitado y seleccione Deshabilitar el uso del proxy autenticado.

    Panel de estado directiva de grupo setting1

  • Plantillas > administrativas Recopilación de datos de componentes > de Windows y compilaciones > en versión preliminar Configure connected user experiences and telemetry ::

    Configure el proxy.

    Panel de estado directiva de grupo setting2

Directiva de grupo Clave del Registro Entrada del Registro Valor
Configuración del uso de proxy autenticado para la experiencia del usuario conectado y el servicio de telemetría HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Configuración de telemetría y experiencias de usuario conectadas HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Por ejemplo: 10.0.0.6:8080 (REG_SZ)

Nota:

Si usa la opción "TelemetryProxyServer" en dispositivos que, de lo contrario, están completamente sin conexión, lo que significa que el sistema operativo no puede conectarse para la lista de revocación de certificados en línea o Windows Update, es necesario agregar la configuración PreferStaticProxyForHttpRequest adicional del Registro con un valor de 1.
La ubicación de la ruta de acceso del Registro principal para "PreferStaticProxyForHttpRequest" es "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
El siguiente comando se puede usar para insertar el valor del Registro en la ubicación correcta:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
El valor anterior del Registro solo se aplica a partir de MsSense.exe versión 10.8210.* y posteriores, o la versión 10.8049.* y posteriores.

Configuración de un proxy estático para Microsoft Defender Antivirus

Microsoft Defender protección antivirus entregada en la nube proporciona protección casi instantánea y automatizada contra amenazas nuevas y emergentes. Tenga en cuenta que la conectividad es necesaria para los indicadores personalizados cuando Antivirus de Defender es la solución antimalware activa. Para EDR en modo de bloque tiene una solución antimalware principal cuando se usa una solución que no es de Microsoft.

Configure el proxy estático mediante el directiva de grupo disponible en Plantillas administrativas:

  1. Plantillas > administrativas Componentes de > Windows Microsoft Defender Antivirus > Definir servidor proxy para conectarse a la red.

  2. Establézcalo en Habilitado y defina el servidor proxy. Tenga en cuenta que la dirección URL debe tener http:// o https://. Para ver las versiones admitidas para https://, consulte Administrar actualizaciones de antivirus de Microsoft Defender.

    Servidor proxy para Microsoft Defender Antivirus

  3. En la clave HKLM\Software\Policies\Microsoft\Windows Defenderdel Registro , la directiva establece el valor ProxyServer del Registro como REG_SZ.

    El valor ProxyServer del Registro tiene el siguiente formato de cadena:

    <server name or ip>:<port>

For example: http://10.0.0.6:8080

Nota:

Si usa la configuración de proxy estático en dispositivos que, de lo contrario, están completamente sin conexión, lo que significa que el sistema operativo no puede conectarse para la lista de revocación de certificados en línea o Windows Update, es necesario agregar la configuración adicional del Registro SSLOptions con un valor dword de 0. La ubicación de la ruta de acceso del Registro principal para "SSLOptions" es "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"

Para fines de resistencia y la naturaleza en tiempo real de la protección entregada en la nube, Microsoft Defender Antivirus almacenará en caché el último proxy de trabajo conocido. Asegúrese de que la solución de proxy no realiza la inspección SSL. Esto interrumpirá la conexión segura a la nube.

Microsoft Defender Antivirus no usará el proxy estático para conectarse a Windows Update o Microsoft Update para descargar actualizaciones. En su lugar, usará un proxy de todo el sistema si está configurado para usar Windows Update o el origen de actualización interno configurado según el orden de reserva configurado.

Si es necesario, puede usar plantillas > administrativas Componentes > de Windows Microsoft Defender Antivirus > Definir configuración automática de proxy (.pac) para conectarse a la red. Si necesita configurar configuraciones avanzadas con varios servidores proxy, use Plantillas > administrativas Componentes > de Windows Microsoft Defender Antivirus > Definir direcciones para omitir el servidor proxy e impedir que Microsoft Defender Antivirus use un servidor proxy para esos destinos.

Puede usar PowerShell con el Set-MpPreference cmdlet para configurar estas opciones:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Nota:

Para usar el proxy correctamente, configure estos tres valores de proxy diferentes:

  • Microsoft Defender para punto de conexión (MDE)
  • AV (Antivirus)
  • Detección y respuesta de puntos de conexión (EDR)

Configuración manual del servidor proxy mediante el comando netsh

Use netsh para configurar un proxy estático en todo el sistema.

Nota:

  • Esto afectará a todas las aplicaciones, incluidos los servicios de Windows que utilicen WinHTTP con el proxy predeterminado.

  1. Abra un símbolo del sistema con privilegios elevados:

    1. Vaya a Inicio y escriba cmd.
    2. Haga clic derecho en Símbolo del sistema y seleccione Ejecutar como administrador.

  2. Escriba el siguiente comando y presione Entrar:

    netsh winhttp set proxy <proxy>:<port>

    Por ejemplo: netsh winhttp set proxy 10.0.0.6:8080

Para restablecer el servidor proxy winhttp, escriba el siguiente comando y presione Entrar:

netsh winhttp reset proxy

Para obtener más información, vea Sintaxis de comando Netsh, contextos y formatos.

Habilitación del acceso a direcciones URL de servicio de Microsoft Defender para punto de conexión en el servidor proxy

De forma predeterminada, si un proxy o firewall bloquea todo el tráfico de forma predeterminada y solo permite dominios específicos, agregue los dominios enumerados en la hoja descargable a la lista de dominios permitidos.

En la siguiente hoja de cálculo descargable se enumeran los servicios y sus direcciones URL asociadas que la red debe poder conectarse. Asegúrese de que no hay reglas de filtrado de red ni de firewall para denegar el acceso a estas direcciones URL. Opcional, es posible que tenga que crear una regla de permiso específicamente para ellos.


Hoja de cálculo de la lista de dominios Descripción
Microsoft Defender para punto de conexión lista de direcciones URL para clientes comerciales Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes comerciales.

Descargue la hoja de cálculo aquí.

Tenga en cuenta que Microsoft Defender para punto de conexión Plan 1 y Plan 2 comparten las mismas direcciones URL del servicio proxy.
Microsoft Defender para punto de conexión lista de direcciones URL de Gov/GCC/DoD Hoja de cálculo de registros DNS específicos para ubicaciones de servicio, ubicaciones geográficas y sistema operativo para clientes de Gov/GCC/DoD.

Descargue la hoja de cálculo aquí.

Si un servidor proxy o firewall tiene habilitada la detección HTTPS (inspección SSL), excluya los dominios que aparecen en la tabla anterior de la detección HTTPS. En el firewall, abra todas las direcciones URL donde la columna geography es WW. Para las filas en las que la columna geography no es WW, abra las direcciones URL a la ubicación de datos específica. Para comprobar la configuración de ubicación de datos, consulte Comprobación de la ubicación del almacenamiento de datos y actualización de la configuración de retención de datos para Microsoft Defender para punto de conexión. No excluya la dirección URL *.blob.core.windows.net de ningún tipo de inspección de red.

Nota:

Los dispositivos Windows que se ejecutan con la versión 1803 o versiones anteriores necesitan settings-win.data.microsoft.com.

Las direcciones URL que incluyen v20 en ellas solo son necesarias si tiene dispositivos Windows que ejecutan la versión 1803 o posterior. Por ejemplo, us-v20.events.data.microsoft.com es necesario para un dispositivo Windows que ejecute la versión 1803 o posterior y se incorpore a la región DE ALMACENAMIENTO DE DATOS DE EE. UU.

Si un proxy o firewall bloquea el tráfico anónimo desde el sensor de Defender para punto de conexión y se conecta desde el contexto del sistema, es importante asegurarse de que se permite el tráfico anónimo en el proxy o firewall para las direcciones URL enumeradas anteriormente.

Nota:

Microsoft no proporciona un servidor proxy. Estas direcciones URL son accesibles a través del servidor proxy que configure.

Microsoft Monitoring Agent (MMA): requisitos de proxy y firewall para versiones anteriores del cliente Windows o Windows Server

La información de la lista de información de configuración de proxy y firewall es necesaria para comunicarse con el agente de Log Analytics (a menudo denominado Microsoft Monitoring Agent) para versiones anteriores de Windows, como Windows 7 SP1, Windows 8.1 y Windows Server 2008 R2*.


Recurso del agente Puertos Dirección Omitir la inspección HTTP
*.ods.opinsights.azure.com Puerto 443 Salida Yes
*.oms.opinsights.azure.com Puerto 443 Salida Yes
*.blob.core.windows.net Puerto 443 Salida Yes
*.azure-automation.net Puerto 443 Salida Yes

Nota:

*Estos requisitos de conectividad se aplican a la Microsoft Defender para punto de conexión anterior de Windows Server 2016 y Windows Server 2012 R2 que requiere MMA. Las instrucciones para incorporar estos sistemas operativos con la nueva solución unificada se encuentran en Incorporación de servidores Windows o migración a la nueva solución unificada en escenarios de migración del servidor en Microsoft Defender para punto de conexión.

Nota:

Como solución basada en la nube, el intervalo IP puede cambiar. Se recomienda pasar a la configuración de resolución de DNS.

Confirmación de los requisitos de dirección URL del servicio Microsoft Monitoring Agent (MMA)

Consulte las instrucciones siguientes para eliminar el requisito de caracteres comodín (*) para su entorno específico al usar Microsoft Monitoring Agent (MMA) para versiones anteriores de Windows.

  1. Incorporación de un sistema operativo anterior con Microsoft Monitoring Agent (MMA) a Defender para punto de conexión (para obtener más información, consulte Incorporación de versiones anteriores de Windows on Defender para punto de conexión e Incorporación de servidores Windows).

  2. Asegúrese de que la máquina informa correctamente en el portal de Microsoft 365 Defender.

  3. Ejecute la herramienta TestCloudConnection.exe desde "C:\Archivos de programa\Microsoft Monitoring Agent\Agent" para validar la conectividad y obtener las direcciones URL necesarias para el área de trabajo específica.

  4. Compruebe la lista de direcciones URL de Microsoft Defender para punto de conexión para obtener la lista completa de requisitos de su región (consulte la hoja de cálculo direcciones URL del servicio).

    Se trata de PowerShell de administración.

Los caracteres comodín (*) usados en los puntos de conexión de dirección URL *.ods.opinsights.azure.com, *.oms.opinsights.azure.com y *.agentsvc.azure-automation.net se pueden reemplazar por el identificador de área de trabajo específico. El identificador del área de trabajo es específico del entorno y del área de trabajo. Se puede encontrar en la sección Incorporación del inquilino en el portal de Microsoft 365 Defender.

El punto de conexión de dirección URL *.blob.core.windows.net se puede reemplazar por las direcciones URL que se muestran en la sección "Regla de firewall: *.blob.core.windows.net" de los resultados de la prueba.

Nota:

En el caso de la incorporación a través de Microsoft Defender for Cloud, se pueden usar varias áreas de trabajo. Tendrá que realizar el procedimiento de TestCloudConnection.exe en la máquina incorporada desde cada área de trabajo (para determinar si hay cambios en las direcciones URL *.blob.core.windows.net entre las áreas de trabajo).

Comprobación de la conectividad de cliente con direcciones URL de servicio de Microsoft Defender para punto de conexión

Compruebe que la configuración del proxy se ha completado correctamente. A continuación, WinHTTP puede detectar y comunicarse a través del servidor proxy del entorno y, a continuación, el servidor proxy permitirá el tráfico a las direcciones URL del servicio Defender para punto de conexión.

  1. Descargue la herramienta Microsoft Defender para punto de conexión Client Analyzer en el equipo, donde se ejecuta el sensor de Defender para punto de conexión. En el caso de los servidores de nivel inferior, use la edición de versión preliminar más reciente disponible para descargar Microsoft Defender para punto de conexión herramienta Del analizador de cliente beta.

  2. Extraiga el contenido de MDEClientAnalyzer.zip en el dispositivo.

  3. Abra un símbolo del sistema con privilegios elevados:

    1. Vaya a Inicio y escriba cmd.
    2. Haga clic derecho en Símbolo del sistema y seleccione Ejecutar como administrador.

  4. Escriba el siguiente comando y presione Entrar:

    HardDrivePath\MDEClientAnalyzer.cmd

    Reemplace HardDrivePath por la ruta de acceso donde se descargó la herramienta MDEClientAnalyzer. Por ejemplo:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

  5. La herramienta crea y extrae el archivo MDEClientAnalyzerResult.zip de la carpeta que se va a usar en HardDrivePath.

  6. Abra MDEClientAnalyzerResult.txt y compruebe que ha realizado los pasos de configuración del proxy para habilitar la detección de servidores y el acceso a las direcciones URL del servicio.

    La herramienta comprueba la conectividad de las direcciones URL de servicio de Defender para punto de conexión. Asegúrese de que el cliente de Defender para punto de conexión está configurado para interactuar. La herramienta imprimirá los resultados en el archivo deMDEClientAnalyzerResult.txt para cada dirección URL que se pueda usar potencialmente para comunicarse con los servicios de Defender para punto de conexión. Por ejemplo:

    Testing URL : https://xxx.microsoft.com/xxx
1 - Default proxy: Succeeded (200)
2 - Proxy auto discovery (WPAD): Succeeded (200)
3 - Proxy disabled: Succeeded (200)
4 - Named proxy: Doesn't exist
5 - Command line proxy: Doesn't exist

Si alguna de las opciones de conectividad devuelve un estado (200), el cliente de Defender para punto de conexión puede comunicarse con la dirección URL probada correctamente mediante este método de conectividad.

Pero si los resultados de la comprobación de conectividad indican un error, se mostrará un error HTTP (vea los códigos de estado HTTP). A continuación, puede usar las direcciones URL de la tabla que se muestra en Habilitar el acceso a las direcciones URL del servicio Defender para punto de conexión en el servidor proxy. Las direcciones URL disponibles para su uso dependerán de la región seleccionada durante el procedimiento de incorporación.

Nota:

Las comprobaciones de conectividad en la nube de la herramienta Analizador de conectividad no son compatibles con la regla de reducción de superficie expuesta a ataques Las creaciones de procesos de bloqueo se originaron a partir de comandos PSExec y WMI. Tendrá que deshabilitar temporalmente esta regla para ejecutar la herramienta de conectividad. Como alternativa, puede agregar temporalmente exclusiones de ASR al ejecutar el analizador.

Cuando TelemetryProxyServer se establece en el Registro o a través de directiva de grupo, Defender para punto de conexión se revertirá, no podrá acceder al proxy definido.