TRINN 2: Konfigurere enhetene til å koble til Defender for Endpoint-tjenesten ved hjelp av en proxy
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Viktig
Enheter som er konfigurert for bare IPv6-trafikk, støttes ikke.
Defender for Endpoint-sensoren krever at Microsoft Windows HTTP (WinHTTP) rapporterer sensordata og kommuniserer med Defender for Endpoint-tjenesten. Den innebygde Defender for endepunktsensoren kjører i systemkontekst ved hjelp av LocalSystem-kontoen.
Tips
For organisasjoner som bruker videresendingsproxyer som en gateway til Internett, kan du bruke nettverksbeskyttelse til å undersøke tilkoblingshendelser som oppstår bak videresendingsproxyer.
Konfigurasjonsinnstillingen for WinHTTP er uavhengig av innstillingene for Windows Internet (WinINet)-nettleserproxy (se WinINet kontra WinHTTP). Den kan bare oppdage en proxy-server ved hjelp av følgende søkemetoder:
Autosøkmetoder:
Gjennomsiktig proxy
Web Proxy Auto-discovery Protocol (WPAD)
Obs!
Hvis du bruker gjennomsiktig proxy eller WPAD i nettverkstopologien, trenger du ikke spesielle konfigurasjonsinnstillinger.
Manuell statisk proxy-konfigurasjon:
Registerbasert konfigurasjon
WinHTTP konfigurert ved hjelp av netsh-kommando: Passer bare for stasjonære datamaskiner i en stabil topologi (for eksempel et skrivebord i et bedriftsnettverk bak samme proxy)
Obs!
Antivirus- og EDR-proxyer for Defender kan angis uavhengig av hverandre. Vær oppmerksom på disse forskjellene i avsnittene som følger.
Konfigurere proxy-serveren manuelt ved hjelp av en registerbasert statisk proxy
Konfigurer en registerbasert statisk proxy for Defender for gjenkjenning og responssensor for endepunkt (EDR) for å rapportere diagnosedata og kommunisere med Defender for Endpoint-tjenester hvis en datamaskin ikke har tillatelse til å koble til Internett.
Obs!
Når du bruker dette alternativet på Windows 10, Windows 11, Windows Server 2019 eller Windows Server 2022, anbefales det å ha følgende (eller nyere) bygg og kumulativ samleoppdatering:
- Windows 11
- Windows 10, versjon 1809, Windows Server 2019 eller Windows Server 2022 –https://support.microsoft.com/kb/5001384
- Windows 10, versjon 1909 –https://support.microsoft.com/kb/4601380
- Windows 10, versjon 2004 -https://support.microsoft.com/kb/4601382
- Windows 10, versjon 20H2 -https://support.microsoft.com/kb/4601382
Disse oppdateringene forbedrer tilkoblingen og påliteligheten til CnC-kanalen (kommando og kontroll).
Den statiske proxyen kan konfigureres gjennom gruppepolicy (GP), begge innstillingene under gruppepolicyverdier bør konfigureres til proxy-serveren for bruk av EDR. Gruppepolicyen er tilgjengelig i administrative maler.
Administrative maler > Datainnsamling og forhåndsversjonsbygg > for Windows-komponenter > Konfigurerer godkjent proxy-bruk for tjenesten for tilkoblet brukeropplevelse og telemetri.
Sett den til Aktivert , og velg Deaktiver godkjent proxy-bruk.
Administrative maler > Datainnsamling og forhåndsversjonsbygg > for Windows-komponenter > Konfigurere tilkoblede brukeropplevelser og telemetri:
Konfigurer proxyen.
Gruppepolicy | Registernøkkel | Registeroppføringen | Verdi |
---|---|---|---|
Konfigurer godkjent proxy-bruk for den tilkoblede brukeropplevelsen og telemetritjenesten | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Konfigurere tilkoblede brukeropplevelser og telemetri | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port For eksempel: 10.0.0.6:8080 (REG_SZ) |
Obs!
Hvis du bruker innstillingen TelemetryProxyServer på enheter som ellers er helt frakoblet, noe som betyr at operativsystemet ikke kan koble til listen over tilbakekall på internettsertifikat eller Windows Update, må du legge til den ekstra registerinnstillingen PreferStaticProxyForHttpRequest
med verdien .1
Plassering av overordnet registerbane for PreferStaticProxyForHttpRequest er HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Følgende kommando kan brukes til å sette inn registerverdien på riktig plassering:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Registerverdien ovenfor gjelder bare fra og med MsSense.exe versjon 10.8210.* og nyere, eller versjon 10.8049.* og nyere.
Konfigurer en statisk proxy for Microsoft Defender Antivirus
Microsoft Defender antivirussky-levert beskyttelse gir nesten umiddelbar, automatisert beskyttelse mot nye og nye trusler. Vær oppmerksom på at tilkoblingen er nødvendig for egendefinerte indikatorer når Defender Antivirus er den aktive løsningen for skadelig programvare. For EDR i blokkmodus har primær løsning mot skadelig programvare når du bruker en løsning som ikke er Fra Microsoft.
Konfigurer den statiske proxyen ved hjelp av gruppepolicy som er tilgjengelig i administrative maler:
Administrative maler > Windows-komponenter > Microsoft Defender Antivirus > Definer proxy-server for tilkobling til nettverket.
Sett den til Aktivert , og definer proxy-serveren. Vær oppmerksom på at URL-adressen må ha enten http:// eller https://. Hvis du vil ha informasjon om støttede versjoner for https://, kan du se Administrere Microsoft Defender Antivirus-oppdateringer.
Under registernøkkelen
HKLM\Software\Policies\Microsoft\Windows Defender
angir policyen registerverdienProxyServer
som REG_SZ.Registerverdien
ProxyServer
tar følgende strengformat:<server name or ip>:<port>
For eksempel: http://10.0.0.6:8080
Obs!
Hvis du bruker statisk proxy-innstilling på enheter som ellers er helt frakoblet, noe som betyr at operativsystemet ikke kan koble til listen over sertifikatopphevelser eller Windows Update, er det nødvendig å legge til flere SSLOptions for registerinnstilling med en dword-verdi på 0. Plassering av overordnet registerbane for SSLOptions er HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet
For robusthetsformål og sanntids natur sky-levert beskyttelse, Microsoft Defender Antivirus vil bufre den siste kjente fungerende proxy. Kontroller at proxy-løsningen ikke utfører SSL-inspeksjon. Dette vil bryte den sikre skytilkoblingen.
Microsoft Defender Antivirus bruker ikke den statiske proxyen til å koble til Windows Update eller Microsoft Update for nedlasting av oppdateringer. I stedet vil den bruke en systemomfattende proxy hvis konfigurert til å bruke Windows Update, eller den konfigurerte interne oppdateringskilden i henhold til den konfigurerte tilbakefallsrekkefølgen.
Hvis det er nødvendig, kan du bruke Windows-komponenter >> for administrative maler Microsoft Defender Antivirus > Definer proxy automatisk konfigurasjon (.pac) for å koble til nettverket. Hvis du trenger å konfigurere avanserte konfigurasjoner med flere proxyer, kan du bruke Windows-komponenter >> for administrative maler Microsoft Defender Antivirus > Define-adresser for å omgå proxy-server og hindre Microsoft Defender Antivirus fra å bruke en proxy-server for disse målene.
Du kan bruke PowerShell med cmdleten Set-MpPreference
til å konfigurere disse alternativene:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Obs!
Hvis du vil bruke proxyen riktig, konfigurerer du disse tre forskjellige proxy-innstillingene:
- Microsoft Defender for endepunkt (MDE)
- AV (Antivirus)
- Gjenkjenning og respons for endepunkt (EDR)
Konfigurer proxy-serveren manuelt ved hjelp av netsh-kommandoen
Bruk netsh til å konfigurere en statisk proxy for hele systemet.
Obs!
- Dette påvirker alle programmer, inkludert Windows-tjenester som bruker WinHTTP med standard proxy.
Åpne en hevet kommandolinje:
- Gå til Start og skriv inn cmd.
- Høyreklikk ledeteksten, og velg Kjør som administrator.
Skriv inn følgende kommando, og trykk enter:
netsh winhttp set proxy <proxy>:<port>
For eksempel:
netsh winhttp set proxy 10.0.0.6:8080
Hvis du vil tilbakestille winhttp-proxyen, skriver du inn følgende kommando og trykker ENTER:
netsh winhttp reset proxy
Se Netsh-kommandosyntaks, kontekster og formatering for å finne ut mer.
Neste trinn:
TRINN 3: Kontroller klienttilkobling til Microsoft Defender for endepunkt nettadresser for tjenesten
Relaterte artikler
- Frakoblede miljøer, proxyer og Microsoft Defender for endepunkt
- Bruk gruppepolicy innstillinger til å konfigurere og administrere Microsoft Defender Antivirus
- Innebygde Windows-enheter
- Feilsøke Microsoft Defender for endepunkt pålastingsproblemer
- Innebygde enheter uten Internett-tilgang til Microsoft Defender for endepunkt
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for