STAP 2: uw apparaten configureren om verbinding te maken met de Defender for Endpoint-service met behulp van een proxy
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Belangrijk
Apparaten die zijn geconfigureerd voor IPv6-verkeer, worden niet ondersteund.
Opmerking
Als u de proxy correct wilt gebruiken, configureert u deze twee verschillende proxy-instellingen in Defender voor Eindpunt:
Afhankelijk van het besturingssysteem kan de proxy die moet worden gebruikt voor Microsoft Defender voor Eindpunt automatisch worden geconfigureerd. U kunt autodiscovery, een automatisch configuratiebestand of een methode gebruiken die statisch specifiek is voor Defender voor Eindpunt-services die op het apparaat worden uitgevoerd.
- Voor Windows-apparaten raadpleegt u Instellingen voor apparaatproxy en internetverbinding configureren (in dit artikel).
- Zie Microsoft Defender voor Eindpunt configureren op Linux voor statische proxydetectie voor Linux-apparaten.
- Voor macOS-apparaten raadpleegt u Microsoft Defender voor Eindpunt op Mac.
De Defender voor Eindpunt-sensor vereist Microsoft Windows HTTP (WinHTTP) om sensorgegevens te rapporteren en te communiceren met de Defender for Endpoint-service. De ingesloten Defender voor Eindpunt-sensor wordt uitgevoerd in systeemcontext met behulp van het LocalSystem account.
Tip
Als u doorsturen van proxy's gebruikt als gateway naar internet, kunt u netwerkbeveiliging gebruiken om verbindingsgebeurtenissen te onderzoeken die zich achter doorsturende proxy's voordoen.
De WinHTTP configuratie-instelling is onafhankelijk van de proxy-instellingen van Windows Internet (WinINet) (zie WinINet versus WinHTTP). Een proxyserver kan alleen worden gedetecteerd met behulp van de volgende detectiemethoden:
Methoden voor automatische detectie:
Transparante proxy
WPAD (Web Proxy Autodiscovery Protocol)
Opmerking
Als u Transparante proxy of WPAD gebruikt in uw netwerktopologie, hebt u geen speciale configuratie-instellingen nodig.
Hnadmatige statische proxyconfiguratie
Configuratie op basis van register
WinHTTP geconfigureerd met behulp van netsh-opdracht: alleen geschikt voor desktops in een stabiele topologie (bijvoorbeeld: een bureaublad in een bedrijfsnetwerk achter dezelfde proxy)
Opmerking
Microsoft Defender Antivirus- en EDR-proxy's kunnen onafhankelijk van elkaar worden ingesteld. Houd in de volgende secties rekening met deze verschillen.
De proxyserver handmatig configureren met behulp van een statische proxy-instelling op basis van een register
Configureer een registergebaseerde statische proxy voor EDR-sensor (Detectie en respons) van Defender for Endpoint om diagnostische gegevens te rapporteren en te communiceren met Defender for Endpoint-services als een computer niet rechtstreeks verbinding mag maken met internet.
Opmerking
Zorg ervoor dat u altijd de nieuwste updates toepast om een succesvolle verbinding met Defender for Endpoint-services te garanderen.
De statische proxy-instellingen kunnen worden geconfigureerd via groepsbeleid (GP). Beide instellingen onder groepsbeleidswaarden moeten worden geconfigureerd. Het groepsbeleid is beschikbaar in Beheersjablonen.
Beheersjablonen > Gegevensverzameling en preview-builds > van Windows-onderdelen > Configureren geverifieerd proxygebruik voor de verbonden gebruikerservaring en telemetrieservice.
Stel deze in op Ingeschakeld en selecteer Geverifieerd proxygebruik uitschakelen.
Beheersjablonen > Gegevensverzameling en preview-versies > van Windows-onderdelen > Configureer verbonden gebruikerservaringen en telemetrie:
Voer de proxygegevens in.
| Groepsbeleid | Registersleutel | Registervermelding | Waarde |
|---|---|---|---|
| Geverifieerd proxygebruik configureren voor de verbonden gebruikerservaring en de telemetrieservice | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| Verbonden gebruikerservaringen en telemetrie configureren | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Bijvoorbeeld: 10.0.0.6:8080 (REG_SZ) |
Opmerking
Als u instellingen gebruikt TelemetryProxyServer op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling PreferStaticProxyForHttpRequest toevoegen met de waarde 1.
De locatie van het bovenliggende registerpad voor PreferStaticProxyForHttpRequest is HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.
De volgende opdracht kan worden gebruikt om de registerwaarde in te voegen op de juiste locatie:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
De eerder genoemde registerwaarde is alleen van toepassing vanaf MsSense.exe versie 10.8210.* en hoger, of versie 10.8049.* en hoger.
Een statische proxy configureren voor Microsoft Defender Antivirus
Microsoft Defender Antivirus-cloudbeveiliging biedt vrijwel direct, geautomatiseerde bescherming tegen nieuwe en opkomende bedreigingen. Connectiviteit is vereist voor aangepaste indicatoren wanneer Microsoft Defender Antivirus uw actieve antimalwareoplossing is en EDR in de blokmodus, wat een terugvaloptie biedt wanneer een niet-Microsoft-oplossing geen blok heeft uitgevoerd.
Configureer de statische proxy met behulp van het groepsbeleid dat beschikbaar is in Beheersjablonen:
Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Proxyserver definiëren voor verbinding met het netwerk.
Stel deze in op Ingeschakeld en definieer de proxyserver. De URL moet of
https://hebbenhttp://. Zie Microsoft Defender Antivirus-updates beheren voor ondersteunde versies voorhttps://.
Onder de registersleutel
HKLM\Software\Policies\Microsoft\Windows Defenderstelt het beleid de registerwaardeProxyServerin opREG_SZ.De registerwaarde
ProxyServerheeft de volgende tekenreeksindeling:<server name or ip>:<port>Bijvoorbeeld
http://10.0.0.6:8080
Opmerking
Als u een statische proxy-instelling gebruikt op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling SSLOptions toevoegen met de DWORD-waarde .2 De locatie van het bovenliggende registerpad voor SSLOptions is HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet. Zie Cloud protection voor meer informatie over de SSLOptions.
Voor tolerantiedoeleinden en de realtime aard van cloudbeveiliging slaat Microsoft Defender Antivirus de laatst bekende werkende proxy in de cache op. Zorg ervoor dat uw proxyoplossing geen SSL-inspectie uitvoert, omdat hierdoor de beveiligde cloudverbinding wordt verbroken.
Microsoft Defender Antivirus gebruikt de statische proxy niet om verbinding te maken met Windows Update of Microsoft Update voor het downloaden van updates. In plaats daarvan wordt een systeembrede proxy gebruikt als deze is geconfigureerd voor het gebruik van Windows Update, of de geconfigureerde interne updatebron volgens de geconfigureerde terugvalvolgorde. Indien nodig kunt u Beheersjablonen > windows-onderdelen > Microsoft Defender Antivirus > Auto-config (.pac) voor proxy definiëren gebruiken om verbinding te maken met het netwerk. Als u geavanceerde configuraties met meerdere proxy's wilt instellen, gebruikt u Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Adressen definiëren om de proxyserver te omzeilen en te voorkomen dat Microsoft Defender Antivirus een proxyserver voor deze bestemmingen gebruikt.
U kunt PowerShell met de Set-MpPreference cmdlet gebruiken om deze opties te configureren:
ProxyBypassProxyPacUrlProxyServer
De proxyserver handmatig configureren met behulp van netsh de opdracht
Gebruik netsh om een systeembrede statische proxy te configureren.
Opmerking
Deze configuratie is van invloed op alle toepassingen, inclusief Windows-services die gebruikmaken van de WinHTTP standaardproxy.
Open een opdrachtpromptregel met verhoogde bevoegdheid.
- Ga naar Start en typ
cmd. - Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.
- Ga naar Start en typ
Voer de volgende opdracht in en druk op Enter:
netsh winhttp set proxy <proxy>:<port>Bijvoorbeeld:
netsh winhttp set proxy 10.0.0.6:8080Als u de
winhttpproxy opnieuw wilt instellen, voert u de volgende opdracht in en drukt u op Enter:netsh winhttp reset proxy
Zie Syntaxis, contexten en opmaak van Netsh meer informatie.
Windows-apparaten met de vorige MMA-oplossing
Voor apparaten met Windows 7, Windows 8.1, Windows Server 2008 R2 en servers die niet zijn geüpgraded naar Unified Agent en de Microsoft Monitoring Agent (ook wel log analytics-agent genoemd) gebruiken om verbinding te maken met de Defender for Endpoint-service, kunt u een proxy-instelling voor het hele systeem gebruiken of de agent configureren om verbinding te maken via een proxy of een logboekanalysegateway.
- De agent configureren voor het gebruik van een proxy: Proxyconfiguratie
- Azure Log Analytics (voorheen bekend als OMS Gateway) instellen om te fungeren als proxy of hub: Azure Log Analytics-agent
Onboarden eerdere versies van Windows
Volgende stap
STAP 3: De clientverbinding met service-URL's van Microsoft Defender voor Eindpunt controleren
Verwante artikelen
- Niet-verbonden omgevingen, proxy's en Microsoft Defender voor Eindpunt
- Groepsbeleidsinstellingen gebruiken om Microsoft Defender Antivirus te configureren en beheren
- Onboard Windows-apparaten
- Problemen met onboarding van Microsoft Defender voor Eindpunt oplossen
- Apparaten zonder internettoegang onboarden bij Microsoft Defender voor Eindpunt
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.