Condividi tramite

PASSAGGIO 2: Configurare i dispositivi per la connessione al servizio Defender per endpoint tramite un proxy

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Importante

I dispositivi configurati per il traffico solo IPv6 non sono supportati.

Nota

Per usare correttamente il proxy, configurare queste due diverse impostazioni proxy in Defender per endpoint:

A seconda del sistema operativo, il proxy da usare per Microsoft Defender per endpoint può essere configurato automaticamente. È possibile usare l'individuazione automatica, un file autoconfig o un metodo statico specifico di Defender per Endpoint services in esecuzione nel dispositivo.

Il sensore Defender per endpoint richiede HTTP di Microsoft Windows (WinHTTP) per segnalare i dati del sensore e comunicare con il servizio Defender per endpoint. Il sensore defender per endpoint incorporato viene eseguito nel contesto di sistema usando l'account LocalSystem .

Consiglio

Se si usano proxy di inoltro come gateway a Internet, è possibile usare la protezione di rete per analizzare gli eventi di connessione che si verificano dietro i proxy di inoltro.

L'impostazione WinHTTP di configurazione è indipendente dalle impostazioni del proxy di esplorazione di Windows Internet (WinINetvedere WinINet e WinHTTP). È possibile individuare un server proxy solo usando i metodi di individuazione seguenti:

  • Metodi di individuazione automatica:

    • Proxy trasparente

    • Protocollo Web Proxy Auto-discovery (WPAD)

      Nota

      Se si usa transparent proxy o WPAD nella topologia di rete, non sono necessarie impostazioni di configurazione speciali.

  • Configurazione manuale del proxy statico:

    • Configurazione basata sul registro

    • WinHTTP configurato usando il comando netsh: adatto solo per i desktop in una topologia stabile (ad esempio, un desktop in una rete aziendale dietro lo stesso proxy)

Nota

I proxy di Microsoft Defender Antivirus ed EDR possono essere impostati in modo indipendente. Nelle sezioni seguenti, tenere presente queste distinzioni.

Configurare manualmente il server proxy usando un'impostazione proxy statica basata sul Registro di sistema

Configurare un proxy statico basato sul Registro di sistema per il sensore di rilevamento e risposta di Defender per endpoint (EDR) per segnalare i dati di diagnostica e comunicare con Defender per Endpoint Services se a un computer non è consentito connettersi direttamente a Internet.

Nota

Assicurarsi sempre di applicare gli aggiornamenti più recenti per garantire la corretta connettività ai servizi di Defender per endpoint.

Le impostazioni proxy statiche sono configurabili tramite Criteri di gruppo. Entrambe le impostazioni in valori di Criteri di gruppo devono essere configurate. I criteri di gruppo sono disponibili in Modelli amministrativi.

  • Modelli > amministrativi Raccolta dei dati dei componenti > di Windows e build di anteprima > Configurare l'utilizzo del proxy autenticato per il servizio Esperienza utente connessa e telemetria.

    Impostarlo su Abilitato e selezionare Disabilita l'utilizzo del proxy autenticato.

    Riquadro stato impostazione Criteri di gruppo1

  • Modelli > amministrativi Raccolta di dati e versioni di anteprima dei componenti > di Windows Configurare esperienze > utente connesse e dati di telemetria:

    Immettere le informazioni sul proxy.

    Riquadro stato impostazione Criteri di gruppo2

Criteri di gruppo Chiave del Registro di sistema Voce del Registro di sistema Valore
Configurare l'utilizzo del proxy autenticato per l'esperienza utente connessa e il servizio di telemetria HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Configurare esperienze utente connesse e dati di telemetria HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Ad esempio: 10.0.0.6:8080 (REG_SZ)

Nota

Se si usa l'impostazione TelemetryProxyServer in dispositivi altrimenti completamente offline, ovvero il sistema operativo non è in grado di connettersi per l'elenco di revoche di certificati online o Windows Update, è necessario aggiungere l'impostazione PreferStaticProxyForHttpRequest aggiuntiva del Registro di 1sistema con il valore .

Il percorso del percorso del Registro di sistema padre per PreferStaticProxyForHttpRequest è HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

Il comando seguente può essere usato per inserire il valore del Registro di sistema nel percorso corretto:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

Il valore del Registro di sistema indicato in precedenza è applicabile solo a partire da MsSense.exe versione 10.8210.* e versioni successive, o versione 10.8049.* e versioni successive.

Configurare un proxy statico per Microsoft Defender Antivirus

La protezione fornita dal cloud di Microsoft Defender Antivirus offre una protezione quasi immediata e automatizzata contro le minacce nuove ed emergenti. La connettività è necessaria per gli indicatori personalizzati quando Microsoft Defender Antivirus è la soluzione antimalware attiva ed EDR in modalità blocco, che fornisce un'opzione di fallback quando una soluzione non Microsoft non ha eseguito un blocco.

Configurare il proxy statico usando i Criteri di gruppo disponibili in Modelli amministrativi:

  1. Modelli > amministrativi Componenti > di Windows Microsoft Defender Antivirus > Definire il server proxy per la connessione alla rete.

  2. Impostarlo su Abilitato e definire il server proxy. L'URL deve avere http:// o https://. Per le versioni supportate per https://, vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus.

    Server proxy per Microsoft Defender Antivirus

  3. Nella chiave HKLM\Software\Policies\Microsoft\Windows Defenderdel Registro di sistema i criteri impostano il valore ProxyServer del Registro di sistema su REG_SZ.

    Il valore ProxyServer del Registro di sistema accetta il formato stringa seguente:

    <server name or ip>:<port>

    Ad esempio, http://10.0.0.6:8080

Nota

Se si usa l'impostazione proxy statico nei dispositivi altrimenti completamente offline, ovvero il sistema operativo non è in grado di connettersi per l'elenco di revoche di certificati online o Windows Update, è necessario aggiungere l'impostazione SSLOptions aggiuntiva del Registro di sistema con un valore DWORD pari 2a . Il percorso del percorso del Registro di sistema padre per SSLOptions è HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet. Per altre informazioni su SSLOptions, vedere Cloud Protection.

Ai fini della resilienza e della natura in tempo reale della protezione fornita dal cloud, Microsoft Defender Antivirus memorizza nella cache l'ultimo proxy funzionante noto. Assicurarsi che la soluzione proxy non esegua l'ispezione SSL, perché ciò interrompe la connessione cloud sicura.

Microsoft Defender Antivirus non usa il proxy statico per connettersi a Windows Update o Microsoft Update per scaricare gli aggiornamenti. Usa invece un proxy a livello di sistema se configurato per l'uso di Windows Update o l'origine di aggiornamento interna configurata in base all'ordine di fallback configurato. Se necessario, è possibile usare i modelli > amministrativi Componenti > di Windows Microsoft Defender Antivirus > Define proxy auto-config (pac) per la connessione alla rete. Se è necessario configurare configurazioni avanzate con più proxy, usare i modelli > amministrativi Componenti > di Windows Microsoft Defender Antivirus > Definire gli indirizzi per ignorare il server proxy e impedire a Microsoft Defender Antivirus di usare un server proxy per tali destinazioni.

È possibile usare PowerShell con il Set-MpPreference cmdlet per configurare queste opzioni:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Configurare manualmente il server proxy usando il netsh comando

Usare netsh per configurare un proxy statico a livello di sistema.

Nota

Questa configurazione influisce su tutte le applicazioni, inclusi i servizi Windows che usano WinHTTP con il proxy predefinito.

  1. Aprire un prompt dei comandi con privilegi elevati:

    1. Passare a Start e digitare cmd.
    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.

  2. Immettere il comando indicato di seguito e premere INVIO:

    netsh winhttp set proxy <proxy>:<port>

    Ad esempio: netsh winhttp set proxy 10.0.0.6:8080

  3. Per reimpostare il winhttp proxy, immettere il comando seguente e premere INVIO:

    netsh winhttp reset proxy

Per altre informazioni, vedere Sintassi comando netsh, contesti e formattazione.

Dispositivi Windows che eseguono la soluzione basata su MMA precedente

Per i dispositivi che eseguono Windows 7, Windows 8.1, Windows Server 2008 R2 e i server che non vengono aggiornati all'agente unificato e usare Microsoft Monitoring Agent (noto anche come agente di Log Analytics) per connettersi al servizio Defender per endpoint, è possibile usare un'impostazione proxy a livello di sistema oppure configurare l'agente per la connessione tramite un proxy o un gateway di log analytics.

Aggiungere versioni precedenti di Windows

Passaggio successivo

PASSAGGIO 3: Verificare la connettività client agli URL del servizio Microsoft Defender per endpoint

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.