Määritä laitteen välityspalvelin ja Internet-yhteysasetukset
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft 365 Defender
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tärkeää
Laitteita, jotka on määritetty vain IPv6-liikennettä varten, ei tueta.
Defender for Endpoint -tunnistin edellyttää, että Microsoft Windows HTTP (WinHTTP) raportoi tunnistimen tiedot ja viestii Defender for Endpoint -palvelun kanssa. Upotettu Defender for Endpoint -tunnistin suoritetaan järjestelmäkontekstissa LocalSystem-tilin avulla.
Vihje
Organisaatioissa, jotka käyttävät välitysvälitysvälityspalveluita yhdyskäytävänä Internetiin, voit tutkia verkon suojauksen avulla yhteystapahtumia, jotka tapahtuvat välitysvälitysvälitysten takana.
WinHTTP-määritysasetus on riippumaton Windows Internet (WinINet) -selausvälityspalvelimen asetuksista (katso, WinINet vs. WinHTTP). Se voi löytää välityspalvelimen vain seuraavilla etsintämenetelmillä:
Automaattisen haun menetelmät:
Läpinäkyvä välityspalvelin
Verkkovälityspalvelimen automaattisen etsinnän protokolla (WPAD)
Huomautus
Jos käytät läpinäkyvää välityspalvelinta tai WPAD:ia verkkotopologiassa, et tarvitse erityisiä määritysasetuksia. Lisätietoja välityspalvelimen Defender for Endpoint URL -osoitteiden poissulkemisista on artikkelissa Defender for Endpoint -palvelun URL-osoitteiden käytön ottaminen käyttöön välityspalvelimessa
Manuaalinen staattisen välityspalvelimen määritys:
Rekisteripohjainen määritys
WinHTTP määritetty käyttämällä netsh-komentoa: Sopii vain työpöydälle vakaassa topologiassa (esimerkiksi työpöytä yritysverkossa saman välityspalvelimen takana)
Huomautus
Defenderin virustentorjuntaohjelma ja EDR-välitysohjelmat voidaan määrittää erikseen. Muista seuraavissa osioissa nämä erot.
Määritä välityspalvelin manuaalisesti rekisteripohjaisen staattisen välityspalvelimen avulla
Määritä rekisteripohjainen staattinen välityspalvelin Defender for Endpoint detection and Response (EDR) -tunnistinta varten diagnostiikkatietojen raportoimiseksi ja kommunikoimiseksi Defender for Endpoint -palveluiden kanssa, jos tietokone ei saa muodostaa internet-yhteyttä.
Huomautus
Kun tätä asetusta käytetään Windows 10, Windows 11, Windows Server 2019:ssä tai Windows Server 2022:ssa, on suositeltavaa koostaa koontiversio ja koonti koonti koottuna seuraavassa (tai uudemmassa):
- Windows 11
- Windows 10, versio 1809 tai Windows Server 2019 tai Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10, versio 1909 -https://support.microsoft.com/kb/4601380
- Windows 10, versio 2004 -https://support.microsoft.com/kb/4601382
- Windows 10, versio 20H2 –https://support.microsoft.com/kb/4601382
Nämä päivitykset parantavat CnC (Command and Control) -kanavan liitettävyyttä ja luotettavuutta.
Staattinen välityspalvelin voidaan määrittää ryhmäkäytännön (GP) avulla. Molemmat ryhmäkäytäntöarvojen asetukset on määritettävä välityspalvelimeen EDR:n käyttöä varten. Ryhmäkäytäntö on käytettävissä hallintamalleissa.
Hallintamallit > Windowsin osat > Tietojen kerääminen ja esiversiot Määrittävät todennetun välityspalvelimen > käytön yhdistetylle käyttökokemukselle ja telemetriapalvelulle.
Määritä sen arvoksi Käytössä ja valitse Poista todennettu välityspalvelimen käyttö käytöstä.
Hallintamallit > Windowsin osat > Tietojen kerääminen ja esiversiot Määritä yhdistetyt käyttökokemukset > ja telemetria:
Määritä välityspalvelin.
| Ryhmäkäytäntö | Rekisteriavain | Rekisterimerkintä | Arvo |
|---|---|---|---|
| Yhdistetyn käyttökokemuksen ja telemetriapalvelun todennetun välityspalvelimen käytön määrittäminen | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| Yhdistettyjen käyttökokemusten ja telemetrian määrittäminen | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Esimerkki: 10.0.0.6:8080 (REG_SZ) |
Huomautus
Jos käytät TelemetryProxyServer-asetusta laitteissa, jotka ovat muuten täysin offline-tilassa, mikä tarkoittaa, että käyttöjärjestelmä ei pysty muodostamaan yhteyttä online-varmenteen kumoamisluetteloon tai Windows Update, sinun on lisättävä ylimääräinen rekisteriasetus PreferStaticProxyForHttpRequest arvolla 1.
Päärekisteripolun sijainti kohteelle PreferStaticProxyForHttpRequest on "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Seuraavaa komentoa voidaan käyttää rekisteriarvon lisäämiseen oikeaan sijaintiin:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Yllä oleva rekisteriarvo on käytettävissä vain alkaen MsSense.exe versiosta 10.8210.* ja uudemmassa versiosta 10.8049.* ja uudemmassa.
Staattisen välityspalvelimen määrittäminen Microsoft Defender virustentorjuntaa varten
Microsoft Defender virustentorjuntaohjelman pilvipalvelun tarjoama suojaus tarjoaa lähes välittömän ja automaattisen suojauksen uusia ja uusia uhkia vastaan. Huomaa, että mukautettujen ilmaisimien on oltava yhteydessä, kun Defenderin virustentorjunta on aktiivinen haittaohjelmien torjuntaratkaisusi. EDR:n estotilassa on ensisijainen haittaohjelmien torjuntaratkaisu, kun käytetään ei-Microsoft-ratkaisua.
Määritä staattinen välityspalvelin hallintamalleissa käytettävissä olevien ryhmäkäytäntö avulla:
Hallintamallit > Windowsin osat > Microsoft Defender virustentorjunta > Määritä välityspalvelin verkkoon yhdistämistä varten.
Määritä sen arvoksi Käytössä ja määritä välityspalvelin. Huomaa, että URL-osoitteessa on oltava joko http:// tai https://. Https:// tuetut versiot ovat kohdassa Microsoft Defender virustentorjuntapäivitysten hallinta.
Rekisteriavaimen
HKLM\Software\Policies\Microsoft\Windows Defenderalla käytäntö määrittää rekisteriarvoksiProxyServerREG_SZ.Rekisteriarvo
ProxyServeron seuraavassa merkkijonomuodossa:<server name or ip>:<port> For example: http://10.0.0.6:8080
Huomautus
Jos käytät staattista välityspalvelinasetusta laitteissa, jotka ovat muuten täysin offline-tilassa, mikä tarkoittaa, että käyttöjärjestelmä ei voi muodostaa yhteyttä online-varmenteen kumoamisluetteloon tai Windows Update, sinun on lisättävä ylimääräinen rekisteriasetus SSLOptions, jonka dword-arvo on 0. SSLOptions-päärekisteripolun sijainti on "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Microsoft Defender Virustentorjunta tallentaa välimuistiin viimeisimmän tunnetun toimivan välityspalvelimen, jotta se on toimintakuntoinen ja pilvipalvelulla toimitetun suojauksen reaaliaikainen luonne. Varmista, että välityspalvelinratkaisusi ei suorita SSL-tarkastusta. Tämä rikkoo suojatun pilviyhteyden.
Microsoft Defender virustentorjunta ei käytä staattista välityspalvelinta yhteyden muodostamiseen Windows Update tai Microsoft Updateen päivitysten lataamista varten. Sen sijaan se käyttää järjestelmänlaajuista välityspalvelinta, jos se on määritetty käyttämään Windows Update, tai määritettyä sisäistä päivityslähdettä määritetyn varajärjestyksen mukaisesti.
Tarvittaessa voit käyttää hallintamalleja Windowsin osat > Microsoft Defender Virustentorjunta > Määritä välityspalvelimen > automaattinen määritys (.pac) yhteyden muodostamiseksi verkkoon. Jos haluat määrittää lisämäärityksiä useilla välityspalvelimilla, käytä hallintamalleja > Windowsin osat > Microsoft Defender virustentorjunta > Määritä osoitteet ohittaaksesi välityspalvelimen ja estääksesi Microsoft Defender virustentorjuntaohjelmaa käyttämästä välityspalvelinta kyseisissä kohteissa.
Voit määrittää seuraavat asetukset PowerShellin
Set-MpPreferenceja cmdlet-komennon avulla:
- Välityspalvelimen välityspalvelin
- ProxyPacUrl
- ProxyServer
Huomautus
Jotta välityspalvelinta voidaan käyttää oikein, määritä nämä kolme eri välityspalvelinasetusta:
- Microsoft Defender for Endpoint (MDE)
- AV (virustentorjunta)
- Päätepisteen tunnistaminen ja vastaus (EDR)
Määritä välityspalvelin manuaalisesti netsh-komennon avulla
Netshin avulla voit määrittää järjestelmänlaajuisen staattisen välityspalvelimen.
Huomautus
- Tämä vaikuttaa kaikkiin sovelluksiin, mukaan lukien Windows-palveluihin, jotka käyttävät WinHTTP:ä oletusvälityspalvelimen kanssa.
Avaa laajennettu komentorivi:
- Siirry Aloitus-kohtaan ja kirjoita cmd.
- Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.
Kirjoita seuraava komento ja paina Enter-näppäintä:
netsh winhttp set proxy <proxy>:<port>Esimerkiksi:
netsh winhttp set proxy 10.0.0.6:8080
Voit palauttaa winhttp-välityspalvelimen antamalla seuraavan komennon ja painamalla Enter-näppäintä:
netsh winhttp reset proxy
Lisätietoja on kohdassa Netsh-komentosyntaksi, kontekstit ja muotoilu .
Microsoft Defender for Endpoint palvelun URL-osoitteiden käytön salliminen välityspalvelimessa
Jos välityspalvelin tai palomuuri estää oletusarvoisesti kaiken liikenteen ja sallii vain tietyt toimialueet, lisää ladattavassa taulukossa luetellut toimialueet sallittujen toimialueiden luetteloon.
Seuraavassa ladattavassa laskentataulukossa luetellaan palvelut ja niihin liittyvät URL-osoitteet, jotka verkkosi on voitava yhdistää. Varmista, että palomuurin tai verkon suodatussääntöjä ei ole näiden URL-osoitteiden käytön estämistä varten. Valinnainen, saatat joutua luomaan erityisesti niille sallitun säännön.
| Toimialueluettelon laskentataulukko | Kuvaus |
|---|---|
| Microsoft Defender for Endpoint URL-osoiteluettelo kaupallisille asiakkaille | Laskentataulukko tietyistä DNS-tietueista palvelusijainteja, maantieteellisiä sijainteja ja käyttöjärjestelmää varten kaupallisille asiakkaille. Huomaa, että Microsoft Defender for Endpoint palvelupaketti 1 ja palvelupaketti 2 jakavat samat välityspalvelimen URL-osoitteet. |
| Microsoft Defender for Endpoint URL Microsoft Defender for Endpoint luetteloa tiedostolle Gov/GCC/DoD | Laskentataulukko tietyistä DNS-tietueista palvelusijainteja, maantieteellisiä sijainteja ja käyttöjärjestelmää varten Gov/GCC/DoD-asiakkaille. |
Jos välityspalvelimessa tai palomuurissa on käytössä HTTPS-tarkistus (SSL-tarkastus), jätä yllä olevassa taulukossa luetellut toimialueet POIS HTTPS-tarkistuksesta.
Avaa palomuurissa kaikki URL-osoitteet, joissa paikkatietosarake on WW. Jos rivin paikkatietosarake ei ole WW, avaa URL-osoitteet tietosijaintiin. Jos haluat tarkistaa tietojen sijaintiasetuksesi, katso Kohta Tietojen tallennussijainnin tarkistaminen ja Microsoft Defender for Endpoint tietojen säilytysasetusten päivittäminen. Älä sulje URL-osoitetta *.blob.core.windows.net pois minkääntyyppisestä verkkotarkastuksesta.
Huomautus
Windows-laitteet, joissa on versio 1803 tai aiempi versio, tarvitsevat .settings-win.data.microsoft.com
URL-osoitteita, joissa on v20, tarvitaan vain, jos Windows-laitteissa on käytössä versio 1803 tai uudempi. Tarvitaan esimerkiksi Windows-laitteessa, us-v20.events.data.microsoft.com jonka käyttöjärjestelmä on versio 1803 tai uudempi ja joka lisätään Yhdysvaltain tietojen tallennusalueelle.
Jos välityspalvelin tai palomuuri estää anonyymin liikenteen Defender for Endpoint -tunnistimesta ja se muodostaa yhteyden järjestelmäkontekstista, on tärkeää varmistaa, että aiemmin lueteltujen URL-osoitteiden anonyymi liikenne on sallittu välityspalvelimessa tai palomuurissa.
Huomautus
Microsoft ei anna välityspalvelinta. Näitä URL-osoitteita voi käyttää määrittämäsi välityspalvelimen kautta.
Microsoft monitoring Agent (MMA) – Välityspalvelin- ja palomuurivaatimukset Windows-asiakkaan tai Windows Serverin vanhemmille versioille
Välityspalvelimen ja palomuurin määritystietojen luettelon tietoja tarvitaan tiedonvälitykseen Log Analytics -agentin (jota kutsutaan usein nimellä Microsoft Monitoring Agent) kanssa Windowsin aiemmissa versioissa, kuten Windows 7 SP1, Windows 8.1 ja Windows Server 2008 R2*.
| Edustajaresurssi | Portit | Suunta | Ohita HTTPS-tarkastus |
|---|---|---|---|
| *.ods.opinsights.azure.com | Sola 443 | Lähtevän | Kyllä |
| *.oms.opinsights.azure.com | Sola 443 | Lähtevän | Kyllä |
| *.blob.core.windows.net | Sola 443 | Lähtevän | Kyllä |
| *.azure-automation.net | Sola 443 | Lähtevän | Kyllä |
Huomautus
*Nämä yhteysvaatimukset koskevat Windows Server 2016:n aiempaa Microsoft Defender for Endpoint ja Windows Server 2012 R2:ta, joka edellyttää MMA:ta. Ohjeet näiden käyttöjärjestelmien käyttöönottoon uudella yhdistetyllä ratkaisulla ovat Käytössä-windows-palvelimilla tai uuteen yhtenäiseen ratkaisuun siirtymiseen palvelimen siirtoskenaarioissa Microsoft Defender for Endpoint.
Huomautus
Pilvipohjaisena ratkaisuna IP-alue voi muuttua. Suosittelemme, että siirryt DNS-selvitysasetukseen.
Microsoftin valvonta-agentin (MMA) palvelun URL-vaatimusten vahvistaminen
Katso seuraavista ohjeista, miten voit poistaa yleismerkkivaatimuksen (*) tietystä ympäristöstäsi käyttäessäsi Microsoftin valvonta-agenttia (MMA) Windowsin aiemmissa versioissa.
Lisää aiempi käyttöjärjestelmä Microsoft Monitoring Agentin (MMA) kanssa Defender for Endpointiin (lisätietoja on artikkelissa Windowsin aiempien versioiden käyttöönotto Defender for Endpointissa ja Onboard Windows -palvelimilla).
Varmista, että tietokone raportoi Microsoft 365 Defender portaaliin.
Vahvista yhteys suorittamalla TestCloudConnection.exe -työkalu C:\Program Files\Microsoft Monitoring Agent\Agentista ja hanki tarvittavat URL-osoitteet kyseiselle työtilalle.
Tarkista alueesi täydellinen luettelo Microsoft Defender for Endpoint URL-osoitteiden luettelosta (katso palvelun URL-osoitteiden laskentataulukko).
*.ods.opinsights.azure.com-, *.oms.opinsights.azure.com- ja *.agentsvc.azure-automation.net URL-päätepisteissä käytetyt yleismerkit (*) voidaan korvata tietyllä työtilatunnuksella. Työtilan tunnus liittyy ympäristöösi ja työtilaasi. Se löytyy vuokraajan perehdytysosiosta Microsoft 365 Defender portaalista.
*.blob.core.windows.net URL-päätepiste voidaan korvata testitulosten Palomuurisääntö: *.blob.core.windows.net -osassa näytetyillä URL-osoitteilla.
Huomautus
Jos kyseessä on perehdytys Microsoft Defender kautta Pilvipalvelulle, voit käyttää useita työtiloja. Sinun on suoritettava TestCloudConnection.exe toimintosarja jokaisen työtilan perehdytetyssä tietokoneessa (selvittääksesi, onko työtilojen välisiin *.blob.core.windows.net URL-osoitteisiin tehty muutoksia).
Tarkista asiakkaan yhteys Microsoft Defender for Endpoint palvelun URL-osoitteisiin
Tarkista, että välityspalvelimen määritys on valmis. WinHTTP voi sitten etsiä ja kommunikoida ympäristösi välityspalvelimen kautta, ja välityspalvelin sallii liikenteen Defender for Endpoint -palvelun URL-osoitteisiin.
Lataa Microsoft Defender for Endpoint Client Analyzer -työkalu tietokoneeseen, jossa Defender for Endpoint -tunnistin on käynnissä. Käytä alitasoisille palvelimille uusinta esikatseluversiota, joka on ladattavissa Client Analyzer -työkalun beetaversiosta Microsoft Defender for Endpoint.
Pura MDEClientAnalyzer.zip sisältö laitteessa.
Avaa laajennettu komentorivi:
- Siirry Aloitus-kohtaan ja kirjoita cmd.
- Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.
Kirjoita seuraava komento ja paina Enter-näppäintä:
HardDrivePath\MDEClientAnalyzer.cmdKorvaa HardDrivePath polulla, josta MDEClientAnalyzer-työkalu ladattiin. Esimerkiksi:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmdTyökalu luo ja purkaa kansiossa olevanMDEClientAnalyzerResult.zip-tiedoston HardDrivePathissa käytettäväksi.
Avaa MDEClientAnalyzerResult.txt ja varmista, että olet suorittanut välityspalvelimen määritysvaiheet, jotta voit ottaa käyttöön palvelimen etsinnän ja palvelun URL-osoitteiden käytön.
Työkalu tarkistaa Defenderin yhteyden päätepistepalvelun URL-osoitteisiin. Varmista, että Defender for Endpoint -asiakas on määritetty käyttämään. Työkalu tulostaa tuloksetMDEClientAnalyzerResult.txt-tiedostoon kullekin URL-osoitteelle, jota voidaan mahdollisesti käyttää kommunikoimaan Defender for Endpoint -palveluiden kanssa. Esimerkiksi:
Testing URL : https://xxx.microsoft.com/xxx 1 - Default proxy: Succeeded (200) 2 - Proxy auto discovery (WPAD): Succeeded (200) 3 - Proxy disabled: Succeeded (200) 4 - Named proxy: Doesn't exist 5 - Command line proxy: Doesn't exist
Jos jokin yhteysvaihtoehdoista palauttaa (200) -tilan, Defender for Endpoint -asiakas voi viestiä testatun URL-osoitteen kanssa oikein käyttämällä tätä yhteysmenetelmää.
Jos kuitenkin yhteystarkistustulokset ilmaisevat virheen, näyttöön tulee HTTP-virhe (katso HTTP-tilakoodit). Voit sitten käyttää URL-osoitteita välityspalvelimen Defenderin käytön salliminen päätepistepalvelun URL-osoitteille -kohdassa esitetyssä taulukossa. Käytettävissä olevat URL-osoitteet määräytyvät käyttöönoton aikana valitun alueen mukaan.
Huomautus
Connectivity Analyzer -työkalun pilviyhteystarkistukset eivät ole yhteensopivia Attack Surface Reduction -säännön Estä prosessien luomiset, jotka ovat peräisin PSExec- ja WMI-komennoista. Yhteystyökalun suorittaminen edellyttää, että poistat tämän säännön tilapäisesti käytöstä. Vaihtoehtoisesti voit tilapäisesti lisätä ASR-poissulkemisia analysoinnin suorittamisen aikana.
Kun TelemetryProxyServer on määritetty rekisteriin tai ryhmäkäytäntö kautta, Defender for Endpoint palautuu, määritettyä välityspalvelinta ei voi käyttää.
Aiheeseen liittyviä artikkeleita
- Katkaistut ympäristöt, välitysliitteet ja Microsoft Defender for Endpoint
- ryhmäkäytäntö asetusten avulla voit määrittää ja hallita Microsoft Defender virustentorjuntaa
- Windows-laitteissa
- Microsoft Defender for Endpoint perehdytysongelmien vianmääritys
- Laivalaitteissa, joissa ei ole internet-yhteyttä Microsoft Defender for Endpoint