VAIHE 2: Määritä laitteet muodostamaan yhteys Defender for Endpoint -palveluun välityspalvelimen avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tärkeää

Laitteita, jotka on määritetty vain IPv6-liikennettä varten, ei tueta.

Huomautus

Jotta välityspalvelinta voidaan käyttää oikein, määritä nämä kaksi eri välityspalvelinasetusta Defender for Endpointissa:

• Päätepisteen tunnistaminen ja vastaus (EDR)
• Microsoft Defenderin virustentorjunta

Käyttöjärjestelmästä riippuen Microsoft Defender for Endpointille käytettävä välityspalvelin voidaan määrittää automaattisesti. Voit käyttää automaattista hakua, automaattisen määrityksen tiedostoa tai menetelmää, joka on staattisesti erityinen laitteessa suoritettavalle Defender for Endpoint -palvelulle.

• Lisätietoja Windows-laitteista on artikkelissa Laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen (tässä artikkelissa).
• Linux-laitteissa katso Microsoft Defenderin määrittäminen Linux-päätepisteelle staattisen välityspalvelimen etsimistä varten.
• MacOS-laitteille katso Microsoft Defender for Endpoint Macissa.

Defender for Endpoint -tunnistin edellyttää, että Microsoft Windows HTTP (WinHTTP) raportoi tunnistimen tiedot ja viestii Defender for Endpoint -palvelun kanssa. Upotettu Defender for Endpoint -tunnistin suoritetaan järjestelmäkontekstissa LocalSystem tilin avulla.

Vihje

Jos käytät välitysvälitysvälityspalveluita yhdyskäytävänä Internetiin, voit käyttää verkon suojausta tutkiaksesi yhteystapahtumia, jotka tapahtuvat välitysvälitysten takana.

Määritysasetus WinHTTP on riippumaton Windows Internet (WinINet) -selausvälityspalvelimen asetuksista (katso WinINet ja WinHTTP). Se voi löytää välityspalvelimen vain seuraavilla etsintämenetelmillä:

• Automaattisen haun menetelmät:

  • Läpinäkyvä välityspalvelin

  • Verkkovälityspalvelimen automaattisen haun protokolla (WPAD)

    Huomautus

    Jos käytät läpinäkyvää välityspalvelinta tai WPAD:ia verkkotopologiassa, et tarvitse erityisiä määritysasetuksia.

• Manuaalinen staattisen välityspalvelimen määritys:

  • Rekisteripohjainen määritys

  • WinHTTP määritetty käyttämällä netsh-komentoa: Sopii vain työpöydälle vakaassa topologiassa (esimerkiksi työpöytä yritysverkossa saman välityspalvelimen takana)

Huomautus

Microsoft Defenderin virustentorjunta ja EDR-välitysohjelmat voidaan määrittää erikseen. Muista seuraavissa osioissa nämä erot.

Määritä välityspalvelin manuaalisesti käyttämällä rekisteripohjaista staattista välityspalvelinasetusta

Määritä rekisteripohjainen staattinen välityspalvelin Defender for Endpoint detection and Response (EDR) -tunnistinta varten diagnostiikkatietojen raportoimiseksi ja kommunikoimiseksi Defender for Endpoint -palveluiden kanssa, jos tietokone ei saa muodostaa suoraa yhteyttä Internetiin.

Huomautus

Varmista aina, että käytät uusimpia päivityksiä, jotta yhteys Defender for Endpoint -palveluihin onnistuu.

Staattiset välityspalvelimen asetukset voidaan määrittää ryhmäkäytännön (GP) avulla. Molemmat ryhmäkäytäntöarvojen asetukset on määritettävä. Ryhmäkäytäntö on käytettävissä hallintamalleissa.

• Hallintamallit > Windowsin osat > Tietojen kerääminen ja esiversiot Määrittävät todennetun välityspalvelimen > käytön yhdistetylle käyttökokemukselle ja telemetriapalvelulle.

  Määritä sen arvoksi Käytössä ja valitse Poista todennettu välityspalvelimen käyttö käytöstä.

  

• Hallintamallit > Windowsin osat > Tietojen kerääminen ja esiversiot Määritä yhdistetyt käyttökokemukset > ja telemetria:

  Anna välityspalvelimen tiedot.

  

Ryhmäkäytäntö	Rekisteriavain	Rekisterimerkintä	Arvo
Yhdistetyn käyttökokemuksen ja telemetriapalvelun todennetun välityspalvelimen käytön määrittäminen	HKLM\Software\Policies\Microsoft\Windows\DataCollection	DisableEnterpriseAuthProxy	1 (REG_DWORD)
Yhdistettyjen käyttökokemusten ja telemetrian määrittäminen	HKLM\Software\Policies\Microsoft\Windows\DataCollection	TelemetryProxyServer	servername:port or ip:port Esimerkki: 10.0.0.6:8080 (REG_SZ)

Huomautus

Jos käytät TelemetryProxyServer asetusta laitteissa, jotka ovat muuten täysin offline-tilassa, mikä tarkoittaa, että käyttöjärjestelmä ei pysty muodostamaan yhteyttä online-varmenteen kumoamisluetteloon tai Windows Updateen, sinun on lisättävä ylimääräinen rekisteriasetus PreferStaticProxyForHttpRequest arvolla 1.

Päärekisteripolun sijainti kohteelle PreferStaticProxyForHttpRequest on HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

Seuraavaa komentoa voidaan käyttää rekisteriarvon lisäämiseen oikeaan sijaintiin:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

Aiemmin mainittu rekisteriarvo on käytettävissä vain alkaen MsSense.exe versiosta 10.8210.* ja uudemmista versioista tai versiosta 10.8049.* ja uudemmista.

Määritä staattinen välityspalvelin Microsoft Defenderin virustentorjuntaa varten

Microsoft Defenderin virustentorjuntaohjelman pilvipalvelun tarjoama suojaus tarjoaa lähes välittömän ja automaattisen suojauksen uusia ja uusia uhkia vastaan. Mukautettujen ilmaisimien on oltava yhteydessä, kun Microsoft Defenderin virustentorjunta on aktiivinen haittaohjelmien torjuntaratkaisusi ja EDR on estotilassa, mikä tarjoaa varavaihtoehdon, kun muu kuin Microsoft-ratkaisu ei suorittanut estoa.

Määritä staattinen välityspalvelin hallintamalleissa käytettävissä olevan ryhmäkäytännön avulla:

1. Hallintamallit > Windowsin osat > Microsoft Defenderin virustentorjunta > Määritä välityspalvelin verkkoon yhdistämistä varten.

2. Määritä sen arvoksi Käytössä ja määritä välityspalvelin. URL-osoitteessa on oltava joko http:// tai https://. Katso tuetut versiot kohdasta https://Microsoft Defenderin virustentorjuntapäivitysten hallinta.

   

3. Rekisteriavaimen HKLM\Software\Policies\Microsoft\Windows Defenderalla käytäntö määrittää rekisteriarvoksi ProxyServerREG_SZ.

   Rekisteriarvo ProxyServer on seuraavassa merkkijonomuodossa:

   <server name or ip>:<port>

   Esimerkiksi http://10.0.0.6:8080

Huomautus

Jos käytät staattista välityspalvelinasetusta laitteissa, jotka ovat muuten täysin offline-tilassa, mikä tarkoittaa, että käyttöjärjestelmä ei pysty muodostamaan yhteyttä online-varmenteen kumoamisluetteloon tai Windows Updateen, lisärekisteriasetus SSLOptions on lisättävä DWORD-arvolla 2. Päärekisteripolun sijainti kohteelle SSLOptions on HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet. Jos haluat lisätietoja kohteesta SSLOptions, katso Cloud Protection.

Suojaussuojauksen reaaliaikaisuuden ja reaaliaikaisen luonteen vuoksi Microsoft Defenderin virustentorjunta tallentaa välimuistiin viimeisen tunnetun toimivan välityspalvelimen. Varmista, että välityspalvelinratkaisusi ei suorita SSL-tarkastusta, sillä se rikkoo suojatun pilviyhteyden.

Microsoft Defenderin virustentorjunta ei käytä staattista välityspalvelinta yhteyden muodostamiseksi Windows Updateen tai Microsoft Updateen päivitysten lataamista varten. Sen sijaan se käyttää järjestelmänlaajuista välityspalvelinta, jos se on määritetty käyttämään Windows Updatea, tai määritettyä sisäistä päivityslähdettä määritetyn varajärjestyksen mukaisesti. Tarvittaessa voit käyttää hallintamalleja Windowsin osat > Microsoft Defenderin virustentorjunta > Määritä välityspalvelimen > automaattinen määritys (.pac) yhteyden muodostamiseksi verkkoon. Jos haluat määrittää lisämäärityksiä useilla välityspalvelimilla, käytä hallintamalleja > Windowsin osat > Microsoft Defenderin virustentorjunta > Määritä osoitteet ohittaaksesi välityspalvelimen ja estääksesi Microsoft Defenderin virustentorjuntaa käyttämästä välityspalvelinta kyseisissä kohteissa.

Voit määrittää seuraavat asetukset PowerShellin Set-MpPreference ja cmdlet-komennon avulla:

• ProxyBypass
• ProxyPacUrl
• ProxyServer

Määritä välityspalvelin manuaalisesti komennon avulla netsh

Käytä netsh järjestelmänlaajuisen staattisen välityspalvelimen määrittämiseen.

Huomautus

Tämä määritys vaikuttaa kaikkiin sovelluksiin, myös Windows-palveluihin, jotka käyttävät WinHTTP oletusvälityspalvelinta.

1. Avaa laajennettu komentorivi:

   1. Siirry Aloitus-kohtaan ja kirjoita cmd.
   2. Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

2. Kirjoita seuraava komento ja paina Enter-näppäintä:

   netsh winhttp set proxy <proxy>:<port>
   

   Esimerkiksi: netsh winhttp set proxy 10.0.0.6:8080

3. Voit nollata välityspalvelimen winhttp antamalla seuraavan komennon ja painamalla Enter-näppäintä:

   netsh winhttp reset proxy
   

Lisätietoja on kohdassa Netsh-komentosyntaksi, kontekstit ja muotoilu .

Windows-laitteet, joissa on käytössä aiempi MMA-pohjainen ratkaisu

Laitteissa, joissa on Windows 7, Windows 8.1, Windows Server 2008 R2 ja palvelimia, joita ei ole päivitetty Unified Agentiksi ja jotka käyttävät Microsoftin valvonta-agenttia (tunnetaan myös nimellä Log Analytics Agent) muodostaakseen yhteyden Defender for Endpoint -palveluun, voit joko käyttää järjestelmän laajuista välityspalvelinasetusta tai määrittää agentin muodostamaan yhteyden välityspalvelimen tai lokianalyysin yhdyskäytävän kautta.

• Määritä agentti käyttämään välityspalvelinta: välityspalvelimen määritys
• Azure Log Analyticsin (tunnettiin aiemmin nimellä OMS Gateway) määrittäminen toimimaan välityspalvelimena tai keskittimenä: Azure Log Analytics Agent

Edellisten Windows-versioiden käyttöönotto

Seuraavat vaiheet

VAIHE 3: Tarkista asiakasyhteys Microsoft Defender for Endpoint -palvelun URL-osoitteisiin

Aiheeseen liittyviä artikkeleita

• Katkaistut ympäristöt, välitysliitteet ja Microsoft Defender for Endpoint
• Microsoft Defenderin virustentorjunnan määrittäminen ja hallinta ryhmäkäytäntöasetusten avulla
• Windows-laitteissa
• Microsoft Defender for Endpointin käyttöönotto-ongelmien vianmääritys
• Laivalla käytettävät laitteet, joilla ei ole Internet-yhteyttä Microsoft Defender for Endpointiin

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.