Instellingen voor eindpuntproxy en internetverbinding configureren

  • Artikel

Voor elke Microsoft Defender for Identity-sensor is een internetverbinding met de Defender for Identity-cloudservice vereist om sensorgegevens te rapporteren en succesvol te kunnen werken.

In sommige organisaties zijn de domeincontrollers niet rechtstreeks verbonden met internet, maar zijn verbonden via een webproxyverbinding en worden SSL-inspectie en onderscheppingsproxy's om veiligheidsredenen niet ondersteund. In dergelijke gevallen moet uw proxyserver toestaan dat de gegevens rechtstreeks van de Defender for Identity-sensoren worden doorgegeven aan de relevante URL's zonder onderschepping.

Belangrijk

Microsoft biedt geen proxyserver. In dit artikel wordt beschreven hoe u ervoor kunt zorgen dat de vereiste URL's toegankelijk zijn via een proxyserver die u configureert.

Toegang tot URL's van Defender for Identity-service inschakelen op de proxyserver

Om maximale beveiliging en gegevensprivacy te garanderen, maakt Defender for Identity gebruik van op certificaten gebaseerde wederzijdse verificatie tussen elke Defender for Identity-sensor en de back-end van de Defender for Identity-cloud. SSL-inspectie en -interceptie worden niet ondersteund, omdat ze het verificatieproces verstoren.

Als u toegang tot Defender for Identity wilt inschakelen, moet u verkeer naar de sensor-URL toestaan met behulp van de volgende syntaxis: <your-workspace-name>sensorapi.atp.azure.com Bijvoorbeeld: contoso-corpsensorapi.atp.azure.com.

  • Als uw proxy of firewall expliciete acceptatielijsten gebruikt, raden we u ook aan ervoor te zorgen dat de volgende URL's zijn toegestaan:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • Af en toe kunnen de IP-adressen van de Defender for Identity-service veranderen. Als u HANDMATIG IP-adressen configureert of als uw proxy DNS-namen automatisch ombrengt naar het IP-adres en deze gebruikt, raden we u aan regelmatig te controleren of de geconfigureerde IP-adressen nog steeds up-to-date zijn.

  • Als u uw proxy eerder hebt geconfigureerd met verouderde opties, waaronder WiniNet of een registersleutelupdate, moet u wijzigingen aanbrengen met behulp van de methode die u oorspronkelijk hebt gebruikt. Zie Proxyconfiguratie wijzigen met behulp van verouderde methoden voor meer informatie.

Toegang met een servicetag inschakelen

In plaats van handmatig toegang tot specifieke eindpunten in te schakelen, downloadt u de Azure IP-bereiken en servicetags - openbare cloud en gebruikt u de IP-adresbereiken in de AzureAdvancedThreatProtection Azure-servicetag om toegang tot Defender for Identity in te schakelen.

Zie Servicetags voor virtuele netwerken voor meer informatie. Zie Aan de slag met aanbiedingen van de Amerikaanse overheid voor aanbiedingen voor de Amerikaanse overheid.

Proxyconfiguratie wijzigen met behulp van de CLI

Vereisten: zoek het Microsoft.Tri.Sensor.Deployment.Deployer.exe bestand. Dit bestand bevindt zich samen met de sensorinstallatie. Deze locatie is standaard C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Ga als volgt te werk om de proxyconfiguratie van de huidige sensor te wijzigen:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

De proxyconfiguratie van de huidige sensor volledig verwijderen:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Proxyconfiguratie wijzigen met behulp van PowerShell

Vereisten: Voordat u Defender for Identity PowerShell-opdrachten uitvoert, moet u ervoor zorgen dat u de PowerShell-module Defender for Identity hebt gedownload.

U kunt de proxyconfiguratie voor uw sensor weergeven en wijzigen met behulp van PowerShell. Hiervoor meldt u zich aan bij uw sensorserver en voert u opdrachten uit, zoals wordt weergegeven in de volgende voorbeelden:

Ga als volgt te werk om de proxyconfiguratie van de huidige sensor weer te geven:

Get-MDISensorProxyConfiguration

Ga als volgt te werk om de proxyconfiguratie van de huidige sensor te wijzigen:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

In dit voorbeeld wordt de proxyconfiguratie voor de Defender for Identity-sensor ingesteld om de opgegeven proxyserver te gebruiken zonder referenties.

De proxyconfiguratie van de huidige sensor volledig verwijderen:

Clear-MDISensorProxyConfiguration

Zie de volgende DefenderForIdentity PowerShell-verwijzingen voor meer informatie:

Proxyconfiguratie wijzigen met behulp van verouderde methoden

Als u uw proxy-instellingen eerder hebt geconfigureerd via WinINet of een registersleutel en deze moet bijwerken, moet u dezelfde methode gebruiken die u oorspronkelijk hebt gebruikt.

Tijdens het configureren van uw proxy vanaf de opdrachtregel tijdens de installatie zorgt u ervoor dat alleen de Defender for Identity-sensorservices communiceren via de proxy, door WinINet of een register te gebruiken, andere services die in de context worden uitgevoerd als Lokaal systeem of lokale service, ook verkeer via de proxy omleiden.

Een proxyserver configureren met WinINet

Wanneer u de proxy configureert met Behulp van WinINet, moet u er rekening mee houden dat de ingesloten Defender for Identity-sensorservice wordt uitgevoerd in systeemcontext met behulp van het LocalService-account en dat de Updater-service van Defender for Identity Sensor wordt uitgevoerd in de systeemcontext met behulp van het LocalSystem-account .

  • Als u WinHTTP gebruikt voor proxyconfiguratie, moet u de proxy-instellingen van de Windows Internet-browser (WinINet) nog steeds configureren voor communicatie tussen de sensor en de Defender for Identity-cloudservice.

  • Als u Transparante proxy of WPAD in uw netwerktopologie gebruikt, hoeft u WinINet niet te configureren voor uw proxy.

Een proxyserver configureren met behulp van het register

In deze sectie wordt beschreven hoe u handmatig een statische proxyserver configureert met behulp van een statische proxy op basis van een register.

Belangrijk

Het configureren van een proxy via het register is van invloed op alle toepassingen die WinINet gebruiken met de LocalService - en LocalSystem-accounts , inclusief Windows-services.

Pas registerwijzigingen alleen toe op de LocalService - en LocalSystem-accounts .

Als u uw proxy wilt configureren, kopieert u de proxyconfiguratie in de gebruikerscontext als volgt naar de localSystem - en LocalService-accounts :

  1. Maak een back-up van uw registersleutels.

  2. Zoek in het register naar de DefaultConnectionSettings waarde als REG_BINARY, onder de HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings registersleutel en kopieer deze.

  3. Als de LocalSystem proxy-instellingen niet de juiste proxy-instellingen hebben, kopieert u de proxy-instelling van de naar de Current_UserLocalSystem, onder de HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings registersleutel.

    Zorg ervoor dat u de waarde uit de Current_UserDefaultConnectionSettings registersleutel plakt als REG_BINARY.

    Dit kan gebeuren als uw proxy-instellingen niet zijn geconfigureerd of als ze afwijken van de Current_User.

  4. Als de LocalService proxy-instellingen niet de juiste proxyinstellingen hebben, kopieert u de proxy-instelling van de Current_User instelling naar de LocalService, onder de HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings registersleutel.

    Zorg ervoor dat u de waarde uit de Current_UserDefaultConnectionSettings registersleutel plakt als REG_BINARY.

Gerelateerde inhoud

Zie voor meer informatie:

Volgende stap

Microsoft Defender for Identity-connectiviteit testen ยป