PASSAGGIO 2: Configurare i dispositivi per la connessione al servizio Defender per endpoint tramite un proxy
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Importante
I dispositivi configurati per il traffico solo IPv6 non sono supportati.
Il sensore Defender per endpoint richiede Microsoft Windows HTTP (WinHTTP) per segnalare i dati del sensore e comunicare con il servizio Defender per endpoint. Il sensore Defender per endpoint incorporato viene eseguito nel contesto di sistema usando l'account LocalSystem.
Consiglio
Per le organizzazioni che usano proxy di inoltro come gateway a Internet, è possibile usare la protezione di rete per analizzare gli eventi di connessione che si verificano dietro i proxy di inoltro.
L'impostazione di configurazione WinHTTP è indipendente dalle impostazioni proxy di esplorazione di Windows Internet (WinINet) (vedere WinINet e WinHTTP). È possibile individuare un server proxy solo usando i metodi di individuazione seguenti:
Metodi di individuazione automatica:
Proxy trasparente
Protocollo Web Proxy Auto-discovery (WPAD)
Nota
Se si usa transparent proxy o WPAD nella topologia di rete, non sono necessarie impostazioni di configurazione speciali.
Configurazione manuale del proxy statico:
Configurazione basata sul registro
WinHTTP configurato usando il comando netsh: adatto solo per i desktop in una topologia stabile (ad esempio, un desktop in una rete aziendale dietro lo stesso proxy)
Nota
È possibile impostare in modo indipendente l'antivirus Defender e i proxy EDR. Nelle sezioni seguenti, tenere presente queste distinzioni.
Configurare manualmente il server proxy con un proxy statico basato sul registro
Configurare un proxy statico basato sul Registro di sistema per il sensore di rilevamento e risposta di Defender per endpoint (EDR) per segnalare i dati di diagnostica e comunicare con Defender per Endpoint Services se a un computer non è consentito connettersi a Internet.
Nota
Quando si usa questa opzione in Windows 10, Windows 11 o Windows Server 2019 o Windows Server 2022, è consigliabile avere la compilazione e l'aggiornamento cumulativo cumulativo seguenti (o versioni successive):
- Windows 11
- Windows 10, versione 1809 o Windows Server 2019 o Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10, versione 1909 -https://support.microsoft.com/kb/4601380
- Windows 10, versione 2004 -https://support.microsoft.com/kb/4601382
- Windows 10, versione 20H2 -https://support.microsoft.com/kb/4601382
Questi aggiornamenti migliorano la connettività e l'affidabilità del canale CnC (Comando e controllo).
Il proxy statico è configurabile tramite Criteri di gruppo, entrambe le impostazioni in valori di Criteri di gruppo devono essere configurate per il server proxy per l'uso di EDR. I criteri di gruppo sono disponibili in Modelli amministrativi.
Modelli > amministrativi Raccolta dei dati dei componenti > di Windows e build di anteprima > Configurare l'utilizzo del proxy autenticato per il servizio Esperienza utente connessa e telemetria.
Impostarlo su Abilitato e selezionare Disabilita l'utilizzo del proxy autenticato.
Modelli > amministrativi Raccolta di dati e versioni di anteprima dei componenti > di Windows Configurare esperienze > utente connesse e dati di telemetria:
Configurare il proxy.
Criteri di gruppo | Chiave del Registro di sistema | Voce del Registro di sistema | Valore |
---|---|---|---|
Configurare l'utilizzo del proxy autenticato per l'esperienza utente connessa e il servizio di telemetria | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Configurare esperienze utente connesse e dati di telemetria | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Ad esempio: 10.0.0.6:8080 (REG_SZ) |
Nota
Se si usa l'impostazione "TelemetryProxyServer" nei dispositivi altrimenti completamente offline, ovvero il sistema operativo non è in grado di connettersi per l'elenco di revoche di certificati online o Windows Update, è necessario aggiungere l'impostazione PreferStaticProxyForHttpRequest
aggiuntiva del Registro di 1
sistema con il valore .
Il percorso del registro padre per "PreferStaticProxyForHttpRequest" è "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Il comando seguente può essere usato per inserire il valore del Registro di sistema nel percorso corretto:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Il valore del Registro di sistema precedente è applicabile solo a partire da MsSense.exe versione 10.8210.* e successive o dalla versione 10.8049.* e successive.
Configurare un proxy statico per Microsoft Defender Antivirus
Microsoft Defender protezione fornita dal cloud antivirus offre una protezione quasi istantanea e automatizzata contro minacce nuove ed emergenti. Si noti che la connettività è necessaria per gli indicatori personalizzati quando Defender Antivirus è la soluzione antimalware attiva. Per EDR in modalità blocco è disponibile una soluzione antimalware primaria quando si usa una soluzione non Microsoft.
Configurare il proxy statico usando il Criteri di gruppo disponibile in Modelli amministrativi:
Modelli > amministrativi Componenti di > Windows Microsoft Defender Antivirus > Definire il server proxy per la connessione alla rete.
Impostarlo su Abilitato e definire il server proxy. Si noti che l'URL deve avere http:// o https://. Per le versioni supportate per https://, vedere Gestire gli aggiornamenti dell'antivirus Microsoft Defender.
Nella chiave
HKLM\Software\Policies\Microsoft\Windows Defender
del Registro di sistema i criteri impostano il valoreProxyServer
del Registro di sistema come REG_SZ.Il valore
ProxyServer
del Registro di sistema accetta il formato stringa seguente:<server name or ip>:<port>
Ad esempio: http://10.0.0.6:8080
Nota
Se si usa l'impostazione proxy statico nei dispositivi altrimenti completamente offline, ovvero il sistema operativo non è in grado di connettersi per l'elenco di revoche di certificati online o Windows Update, è necessario aggiungere l'impostazione aggiuntiva del Registro di sistema SSLOptions con un valore dword pari a 0. Il percorso del Registro di sistema padre per "SSLOptions" è "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Ai fini della resilienza e della natura in tempo reale della protezione fornita dal cloud, Microsoft Defender Antivirus memorizza nella cache l'ultimo proxy funzionante noto. Assicurarsi che la soluzione proxy non esegua l'ispezione SSL. In questo modo la connessione cloud sicura verrà interrotta.
Microsoft Defender Antivirus non userà il proxy statico per connettersi a Windows Update o Microsoft Update per il download degli aggiornamenti. Al contrario, userà un proxy a livello di sistema se configurato per l'uso di Windows Update o l'origine di aggiornamento interna configurata in base all'ordine di fallback configurato.
Se necessario, è possibile usare i modelli > amministrativi Componenti > di Windows Microsoft Defender Antivirus > Define proxy auto-config (pac) per la connessione alla rete. Se è necessario configurare configurazioni avanzate con più proxy, usare i modelli > amministrativi Componenti > di Windows Microsoft Defender Antivirus > Definire gli indirizzi per ignorare il server proxy e impedire a Microsoft Defender Antivirus di usare un server proxy per tali destinazioni.
È possibile usare PowerShell con il Set-MpPreference
cmdlet per configurare queste opzioni:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Nota
Per usare correttamente il proxy, configurare queste tre diverse impostazioni proxy:
- Microsoft Defender per endpoint (MDE)
- AV (Antivirus)
- Rilevamento e risposta degli endpoint (EDR)
Configurare manualmente il server proxy usando il comando netsh
Usare netsh per configurare un proxy statico a livello di sistema.
Nota
- Questa operazione avrà effetto su tutte le applicazioni, inclusi i servizi di Windows che usano WinHTTP con proxy predefinito.
Aprire un prompt dei comandi con privilegi elevati:
- Passare a Start e digitare cmd.
- Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
Immettere il comando indicato di seguito e premere INVIO:
netsh winhttp set proxy <proxy>:<port>
Ad esempio:
netsh winhttp set proxy 10.0.0.6:8080
Per reimpostare il proxy winhttp, immettere il comando indicato di seguito e premere INVIO:
netsh winhttp reset proxy
Per altre informazioni, vedere Sintassi comando netsh, contesti e formattazione.
Passaggio successivo
PASSAGGIO 3: Verificare la connettività client agli URL del servizio Microsoft Defender per endpoint
Articoli correlati
- Ambienti disconnessi, proxy e Microsoft Defender per endpoint
- Usare le impostazioni di Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus
- Aggiungere dispositivi Windows
- Risolvere i problemi di onboarding Microsoft Defender per endpoint
- Eseguire l'onboarding di dispositivi senza accesso a Internet a Microsoft Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per