Configurer les paramètres de proxy du dispositif et de connectivité Internet

  • Article

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Importante

Les appareils configurés pour le trafic IPv6 uniquement ne sont pas pris en charge.

Le capteur Defender pour point de terminaison nécessite Microsoft Windows HTTP (WinHTTP) pour signaler les données du capteur et communiquer avec le service Defender pour point de terminaison. Le capteur Defender pour point de terminaison incorporé s’exécute dans le contexte système à l’aide du compte LocalSystem.

Conseil

Pour les organisations qui utilisent des proxys de transfert comme passerelle vers Internet, vous pouvez utiliser la protection réseau pour examiner les événements de connexion qui se produisent derrière des proxys de transfert.

Le paramètre de configuration WinHTTP est indépendant des paramètres de proxy de navigation Windows Internet (WinINet) (voir WinINet et WinHTTP). Il peut uniquement découvrir un serveur proxy à l’aide des méthodes de découverte suivantes :

  • Méthodes de découverte automatique :

  • Configuration manuelle du proxy statique :

    • Configuration basée sur le registre

    • WinHTTP configuré à l’aide de la commande netsh : convient uniquement aux bureaux dans une topologie stable (par exemple , un bureau dans un réseau d’entreprise derrière le même proxy)

Remarque

L’antivirus Defender et les proxys EDR peuvent être définis indépendamment. Dans les sections qui suivent, tenez compte de ces distinctions.

Configurer le serveur proxy manuellement en utilisant un proxy statique basé sur le registre

Configurez un proxy statique basé sur le Registre pour le capteur de détection et de réponse (EDR) Defender pour point de terminaison afin de signaler les données de diagnostic et de communiquer avec les services Defender pour point de terminaison si un ordinateur n’est pas autorisé à se connecter à Internet.

Remarque

Lorsque vous utilisez cette option sur Windows 10, ou Windows 11, windows Server 2019 ou Windows Server 2022, il est recommandé d’avoir les correctifs cumulatifs suivants (ou ultérieurs) de build et de mise à jour cumulative :

Ces mises à jour améliorent la connectivité et la fiabilité du canal CnC (Commande et contrôle).

Le proxy statique est configurable via la stratégie de groupe (GP). Les deux paramètres sous les valeurs de stratégie de groupe doivent être configurés sur le serveur proxy pour l’utilisation d’EDR. La stratégie de groupe est disponible dans modèles d’administration.

  • Modèles d’administration > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service.

    Définissez-la sur Activé et sélectionnez Désactiver l’utilisation du proxy authentifié.

    Volet status paramètre stratégie de groupe 1

  • Modèles d’administration > Windows Components > Data Collection and Preview Builds > Configure connected user experiences and telemetry :

    Configurez le proxy.

    Volet status paramètre stratégie de groupe 2

Stratégie de groupe Clé du Registre Entrée de Registre Valeur
Configurer l’utilisation du proxy authentifié pour l’expérience utilisateur connectée et le service de télémétrie HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Configurer les expériences des utilisateurs connectés et la télémétrie HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Par exemple : 10.0.0.6:8080 (REG_SZ)

Remarque

Si vous utilisez le paramètre « TelemetryProxyServer » sur des appareils qui sont par ailleurs complètement hors connexion, ce qui signifie que le système d’exploitation ne peut pas se connecter pour la liste de révocation de certificats en ligne ou Windows Update, il est nécessaire d’ajouter le paramètre PreferStaticProxyForHttpRequest de Registre supplémentaire avec la valeur .1
L’emplacement du chemin d’accès au Registre parent pour « PreferStaticProxyForHttpRequest » est « HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection »
La commande suivante peut être utilisée pour insérer la valeur de Registre à l’emplacement approprié :
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
La valeur de Registre ci-dessus s’applique uniquement à partir de MsSense.exe version 10.8210.* et ultérieures, ou la version 10.8049.* et ultérieure.

Configurer un proxy statique pour Microsoft Defender Antivirus

Microsoft Defender Protection fournie par le cloud antivirus fournit une protection automatisée quasi instantanée contre les menaces nouvelles et émergentes. Notez que la connectivité est requise pour les indicateurs personnalisés lorsque l’antivirus Defender est votre solution anti-programme malveillant active. Pour EDR en mode bloc , la solution anti-programme malveillant principale est utilisée lors de l’utilisation d’une solution non-Microsoft.

Configurez le proxy statique à l’aide de la stratégie de groupe disponible dans modèles d’administration :

  1. Modèles d’administration > Composants > Windows Microsoft Defender Antivirus > Définir le serveur proxy pour la connexion au réseau.

  2. Définissez-la sur Activé et définissez le serveur proxy. Notez que l’URL doit avoir http:// ou https://. Pour connaître les versions prises en charge pour https://, consultez Gérer les mises à jour de l’antivirus Microsoft Defender.

    Serveur proxy pour Microsoft Defender Antivirus

  3. Sous la clé HKLM\Software\Policies\Microsoft\Windows Defenderde Registre , la stratégie définit la valeur ProxyServer du Registre comme REG_SZ.

    La valeur ProxyServer de Registre prend le format de chaîne suivant :

    <server name or ip>:<port>

For example: http://10.0.0.6:8080

Remarque

Si vous utilisez le paramètre de proxy statique sur des appareils qui sont par ailleurs complètement hors connexion, ce qui signifie que le système d’exploitation ne peut pas se connecter pour la liste de révocation de certificats en ligne ou Windows Update, il est nécessaire d’ajouter le paramètre de Registre supplémentaire SSLOptions avec une valeur dword de 0. L’emplacement du chemin d’accès au Registre parent pour « SSLOptions » est « HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet »

Pour des raisons de résilience et la nature en temps réel de la protection fournie par le cloud, Microsoft Defender Antivirus met en cache le dernier proxy opérationnel connu. Vérifiez que votre solution proxy n’effectue pas d’inspection SSL. Cela interrompt la connexion cloud sécurisée.

Microsoft Defender Antivirus n’utilise pas le proxy statique pour se connecter à Windows Update ou à Microsoft Update pour télécharger les mises à jour. Au lieu de cela, il utilise un proxy à l’échelle du système s’il est configuré pour utiliser Windows Update, ou la source de mise à jour interne configurée en fonction de l’ordre de secours configuré.

Si nécessaire, vous pouvez utiliser les modèles > d’administration Composants > Windows Microsoft Defender Antivirus > Define proxy auto-config (.pac) pour la connexion au réseau. Si vous devez configurer des configurations avancées avec plusieurs proxys, utilisez modèles d’administration > Composants > Windows Microsoft Defender Antivirus > Définir des adresses pour contourner le serveur proxy et empêcher Microsoft Defender Antivirus d’utiliser un serveur proxy pour ces destinations.

Vous pouvez utiliser PowerShell avec l’applet de Set-MpPreference commande pour configurer ces options :

  • ProxyBypass
  • ProxyPacUrl
  • Proxyserver

Remarque

Pour utiliser correctement le proxy, configurez ces trois paramètres de proxy différents :

  • Microsoft Defender pour point de terminaison (MDE)
  • AV (antivirus)
  • Détection et réponse de point de terminaison (EDR)

Configurer le serveur proxy manuellement à l’aide de la commande netsh

Utiliser netsh pour configurer un proxy statique à l’échelle du système.

Remarque

  • Cela affectera toutes les applications, y compris les services Windows qui utilisent WinHTTP avec un proxy par défaut.

  1. Ouvrez une invite de commandes avec élévation de privilèges :

    1. Accéder à Démarrer et taper cmd.
    2. Cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur.

  2. Entrez la commande suivante et appuyez sur Entrée :

    netsh winhttp set proxy <proxy>:<port>

    Par exemple : netsh winhttp set proxy 10.0.0.6:8080

Pour réinitialiser le proxy winhttp, entrez la commande suivante et appuyez sur Entrée :

netsh winhttp reset proxy

Pour plus d’informations, voir la syntaxe, les contextes et le formatage de la commande Netsh.

Activer l’accès aux URL de service Microsoft Defender pour point de terminaison dans le serveur proxy

Par défaut, si un proxy ou un pare-feu bloque tout le trafic par défaut et n’autorise que des domaines spécifiques, ajoutez les domaines répertoriés dans la feuille téléchargeable à la liste des domaines autorisés.

La feuille de calcul téléchargeable suivante répertorie les services et leurs URL associées que votre réseau doit être en mesure de connecter. Vérifiez qu’il n’existe aucune règle de pare-feu ou de filtrage réseau pour refuser l’accès à ces URL. Facultatif, vous devrez peut-être créer une règle d’autorisation spécifique pour eux.


Feuille de calcul de la liste des domaines Description
liste d’URL Microsoft Defender pour point de terminaison pour les clients commerciaux Feuille de calcul des enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation pour les clients commerciaux.

Téléchargez la feuille de calcul ici.

Notez que Microsoft Defender pour point de terminaison Plan 1 et Plan 2 partagent les mêmes URL de service proxy.
liste d’URL Microsoft Defender pour point de terminaison pour Gov/GCC/DoD Feuille de calcul des enregistrements DNS spécifiques pour les emplacements de service, les emplacements géographiques et le système d’exploitation pour les clients Gov/GCC/DoD.

Téléchargez la feuille de calcul ici.

Si l’analyse HTTPS (inspection SSL) est activée pour un proxy ou un pare-feu, excluez les domaines répertoriés dans le tableau ci-dessus de l’analyse HTTPS. Dans votre pare-feu, ouvrez toutes les URL où la colonne geography est WW. Pour les lignes où la colonne geography n’est pas WW, ouvrez les URL à votre emplacement de données spécifique. Pour vérifier votre paramètre d’emplacement des données, consultez Vérifier l’emplacement de stockage des données et mettre à jour les paramètres de conservation des données pour Microsoft Defender pour point de terminaison. N’excluez pas l’URL *.blob.core.windows.net de tout type d’inspection réseau.

Remarque

Les appareils Windows s’exécutant avec la version 1803 ou antérieure ont besoin de settings-win.data.microsoft.com.

Les URL qui incluent v20 sont nécessaires uniquement si vous avez des appareils Windows exécutant la version 1803 ou ultérieure. Par exemple, us-v20.events.data.microsoft.com est nécessaire pour un appareil Windows exécutant la version 1803 ou ultérieure et intégré à la région de stockage de données des États-Unis.

Si un proxy ou un pare-feu bloque le trafic anonyme en provenance du capteur Defender pour point de terminaison et qu’il se connecte à partir du contexte système, il est important de s’assurer que le trafic anonyme est autorisé dans votre proxy ou pare-feu pour les URL répertoriées précédemment.

Remarque

Microsoft ne fournit pas de serveur proxy. Ces URL sont accessibles via le serveur proxy que vous configurez.

Microsoft Monitoring Agent (MMA) : configuration requise du proxy et du pare-feu pour les versions antérieures du client Windows ou de Windows Server

Les informations figurant dans la liste des informations de configuration du proxy et du pare-feu sont nécessaires pour communiquer avec l’agent Log Analytics (souvent appelé Microsoft Monitoring Agent) pour les versions précédentes de Windows, telles que Windows 7 SP1, Windows 8.1 et Windows Server 2008 R2*.


Ressource d'agent Ports Direction Contournement de l’inspection HTTPS
*.ods.opinsights.azure.com Port 443 Sortant Oui
*.oms.opinsights.azure.com Port 443 Sortant Oui
*.blob.core.windows.net Port 443 Sortant Oui
*.azure-automation.net Port 443 Sortant Oui

Remarque

*Ces exigences de connectivité s’appliquent aux Microsoft Defender pour point de terminaison précédentes de Windows Server 2016 et Windows Server 2012 R2 qui nécessite MMA. Vous trouverez des instructions pour intégrer ces systèmes d’exploitation à la nouvelle solution unifiée dans Intégrer des serveurs Windows ou migrer vers la nouvelle solution unifiée dans Scénarios de migration de serveur dans Microsoft Defender pour point de terminaison.

Remarque

En tant que solution cloud, la plage d’adresses IP peut changer. Il est recommandé de passer au paramètre de résolution DNS.

Confirmer la configuration requise pour l’URL du service Microsoft Monitoring Agent (MMA)

Consultez les conseils suivants pour éliminer l’exigence de caractère générique (*) pour votre environnement spécifique lors de l’utilisation de Microsoft Monitoring Agent (MMA) pour les versions précédentes de Windows.

  1. Intégrer un système d’exploitation précédent avec Microsoft Monitoring Agent (MMA) dans Defender pour point de terminaison (pour plus d’informations, consultez Intégrer des versions antérieures de Windows sur Defender pour point de terminaison et Intégrer des serveurs Windows).

  2. Vérifiez que l’ordinateur signale correctement dans le portail Microsoft 365 Defender.

  3. Exécutez l’outil TestCloudConnection.exe à partir de « C:\Program Files\Microsoft Monitoring Agent\Agent » pour valider la connectivité et obtenir les URL requises pour votre espace de travail spécifique.

  4. Consultez la liste des URL Microsoft Defender pour point de terminaison pour obtenir la liste complète des exigences pour votre région (reportez-vous à la feuille de calcul URL de service).

    Il s’agit de PowerShell d’administration.

Les caractères génériques (*) utilisés dans les points de terminaison d’URL *.ods.opinsights.azure.com, *.oms.opinsights.azure.com et *.agentsvc.azure-automation.net peuvent être remplacés par votre ID d’espace de travail spécifique. L’ID d’espace de travail est spécifique à votre environnement et à votre espace de travail. Il se trouve dans la section Intégration de votre locataire dans le portail Microsoft 365 Defender.

Le point de terminaison d’URL *.blob.core.windows.net peut être remplacé par les URL indiquées dans la section « Règle de pare-feu : *.blob.core.windows.net » des résultats du test.

Remarque

Dans le cas de l’intégration via Microsoft Defender pour le cloud, plusieurs espaces de travail peuvent être utilisés. Vous devez effectuer la procédure de TestCloudConnection.exe sur l’ordinateur intégré à partir de chaque espace de travail (pour déterminer s’il y a des modifications apportées aux URL *.blob.core.windows.net entre les espaces de travail).

Vérifier la connectivité du client aux URL de service Microsoft Defender pour point de terminaison

Vérifiez que la configuration du proxy s’est terminée correctement. WinHTTP peut ensuite découvrir et communiquer via le serveur proxy dans votre environnement, puis le serveur proxy autorise le trafic vers les URL du service Defender pour point de terminaison.

  1. Téléchargez l’outil Analyseur client Microsoft Defender pour point de terminaison sur le PC sur lequel le capteur Defender pour point de terminaison s’exécute. Pour les serveurs de niveau inférieur, l’utilisation de la dernière préversion est disponible en téléchargement Microsoft Defender pour point de terminaison l’outil Analyseur client bêta.

  2. Extrayez le contenu de MDEClientAnalyzer.zip sur l’appareil.

  3. Ouvrez une invite de commandes avec élévation de privilèges :

    1. Accéder à Démarrer et taper cmd.
    2. Cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur.

  4. Entrez la commande suivante et appuyez sur Entrée :

    HardDrivePath\MDEClientAnalyzer.cmd

    Remplacez HardDrivePath par le chemin d’accès, où l’outil MDEClientAnalyzer a été téléchargé. Par exemple :

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

  5. L’outil crée et extrait le fichier MDEClientAnalyzerResult.zip dans le dossier à utiliser dans HardDrivePath.

  6. Ouvrez MDEClientAnalyzerResult.txt et vérifiez que vous avez effectué les étapes de configuration du proxy pour activer la découverte du serveur et l’accès aux URL de service.

    L’outil vérifie la connectivité des URL de service Defender pour point de terminaison. Vérifiez que le client Defender pour point de terminaison est configuré pour interagir. L’outil imprime les résultats dans le fichier MDEClientAnalyzerResult.txt pour chaque URL qui peut potentiellement être utilisée pour communiquer avec les services Defender pour point de terminaison. Par exemple :

    Testing URL : https://xxx.microsoft.com/xxx
1 - Default proxy: Succeeded (200)
2 - Proxy auto discovery (WPAD): Succeeded (200)
3 - Proxy disabled: Succeeded (200)
4 - Named proxy: Doesn't exist
5 - Command line proxy: Doesn't exist

Si l’une des options de connectivité retourne une (200) status, le client Defender pour point de terminaison peut communiquer correctement avec l’URL testée à l’aide de cette méthode de connectivité.

Toutefois, si les résultats du contrôle de la connectivité indiquent un échec, une erreur HTTP est affichée (voir Codes d'état HTTP). Vous pouvez ensuite utiliser les URL dans le tableau indiqué dans Activer l’accès aux URL du service Defender pour point de terminaison sur le serveur proxy. Les URL disponibles dépendent de la région sélectionnée pendant la procédure d’intégration.

Remarque

Les vérifications de connectivité cloud de l’outil Analyseur de connectivité ne sont pas compatibles avec les créations de processus de blocage de règle de réduction de la surface d’attaque provenant des commandes PSExec et WMI. Vous devez désactiver temporairement cette règle pour exécuter l’outil de connectivité. Vous pouvez également ajouter temporairement des exclusions ASR lors de l’exécution de l’analyseur.

Lorsque TelemetryProxyServer est défini dans le Registre ou via stratégie de groupe, Defender pour point de terminaison revient, il ne parvient pas à accéder au proxy défini.