STAP 2: uw apparaten configureren om verbinding te maken met de Defender for Endpoint-service met behulp van een proxy

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Belangrijk

Apparaten die zijn geconfigureerd voor IPv6-verkeer, worden niet ondersteund.

Opmerking

Als u de proxy correct wilt gebruiken, configureert u deze twee verschillende proxy-instellingen in Defender voor Eindpunt:

• Eindpuntdetectie en -respons (EDR)
• Microsoft Defender Antivirus

Afhankelijk van het besturingssysteem kan de proxy die moet worden gebruikt voor Microsoft Defender voor Eindpunt automatisch worden geconfigureerd. U kunt autodiscovery, een automatisch configuratiebestand of een methode gebruiken die statisch specifiek is voor Defender voor Eindpunt-services die op het apparaat worden uitgevoerd.

• Voor Windows-apparaten raadpleegt u Instellingen voor apparaatproxy en internetverbinding configureren (in dit artikel).
• Zie Microsoft Defender voor Eindpunt configureren op Linux voor statische proxydetectie voor Linux-apparaten.
• Voor macOS-apparaten raadpleegt u Microsoft Defender voor Eindpunt op Mac.

De Defender voor Eindpunt-sensor vereist Microsoft Windows HTTP (WinHTTP) om sensorgegevens te rapporteren en te communiceren met de Defender for Endpoint-service. De ingesloten Defender voor Eindpunt-sensor wordt uitgevoerd in systeemcontext met behulp van het LocalSystem account.

Tip

Als u doorsturen van proxy's gebruikt als gateway naar internet, kunt u netwerkbeveiliging gebruiken om verbindingsgebeurtenissen te onderzoeken die zich achter doorsturende proxy's voordoen.

De WinHTTP configuratie-instelling is onafhankelijk van de proxy-instellingen van Windows Internet (WinINet) (zie WinINet versus WinHTTP). Een proxyserver kan alleen worden gedetecteerd met behulp van de volgende detectiemethoden:

• Methoden voor automatische detectie:

  • Transparante proxy

  • WPAD (Web Proxy Autodiscovery Protocol)

    Opmerking

    Als u Transparante proxy of WPAD gebruikt in uw netwerktopologie, hebt u geen speciale configuratie-instellingen nodig.

• Hnadmatige statische proxyconfiguratie

  • Configuratie op basis van register

  • WinHTTP geconfigureerd met behulp van netsh-opdracht: alleen geschikt voor desktops in een stabiele topologie (bijvoorbeeld: een bureaublad in een bedrijfsnetwerk achter dezelfde proxy)

Opmerking

Microsoft Defender Antivirus- en EDR-proxy's kunnen onafhankelijk van elkaar worden ingesteld. Houd in de volgende secties rekening met deze verschillen.

De proxyserver handmatig configureren met behulp van een statische proxy-instelling op basis van een register

Configureer een registergebaseerde statische proxy voor EDR-sensor (Detectie en respons) van Defender for Endpoint om diagnostische gegevens te rapporteren en te communiceren met Defender for Endpoint-services als een computer niet rechtstreeks verbinding mag maken met internet.

Opmerking

Zorg ervoor dat u altijd de nieuwste updates toepast om een succesvolle verbinding met Defender for Endpoint-services te garanderen.

De statische proxy-instellingen kunnen worden geconfigureerd via groepsbeleid (GP). Beide instellingen onder groepsbeleidswaarden moeten worden geconfigureerd. Het groepsbeleid is beschikbaar in Beheersjablonen.

• Beheersjablonen > Gegevensverzameling en preview-builds > van Windows-onderdelen > Configureren geverifieerd proxygebruik voor de verbonden gebruikerservaring en telemetrieservice.

  Stel deze in op Ingeschakeld en selecteer Geverifieerd proxygebruik uitschakelen.

  

• Beheersjablonen > Gegevensverzameling en preview-versies > van Windows-onderdelen > Configureer verbonden gebruikerservaringen en telemetrie:

  Voer de proxygegevens in.

  

Groepsbeleid	Registersleutel	Registervermelding	Waarde
Geverifieerd proxygebruik configureren voor de verbonden gebruikerservaring en de telemetrieservice	HKLM\Software\Policies\Microsoft\Windows\DataCollection	DisableEnterpriseAuthProxy	1 (REG_DWORD)
Verbonden gebruikerservaringen en telemetrie configureren	HKLM\Software\Policies\Microsoft\Windows\DataCollection	TelemetryProxyServer	servername:port or ip:port Bijvoorbeeld: 10.0.0.6:8080 (REG_SZ)

Opmerking

Als u instellingen gebruikt TelemetryProxyServer op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling PreferStaticProxyForHttpRequest toevoegen met de waarde 1.

De locatie van het bovenliggende registerpad voor PreferStaticProxyForHttpRequest is HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

De volgende opdracht kan worden gebruikt om de registerwaarde in te voegen op de juiste locatie:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

De eerder genoemde registerwaarde is alleen van toepassing vanaf MsSense.exe versie 10.8210.* en hoger, of versie 10.8049.* en hoger.

Een statische proxy configureren voor Microsoft Defender Antivirus

Microsoft Defender Antivirus-cloudbeveiliging biedt vrijwel direct, geautomatiseerde bescherming tegen nieuwe en opkomende bedreigingen. Connectiviteit is vereist voor aangepaste indicatoren wanneer Microsoft Defender Antivirus uw actieve antimalwareoplossing is en EDR in de blokmodus, wat een terugvaloptie biedt wanneer een niet-Microsoft-oplossing geen blok heeft uitgevoerd.

Configureer de statische proxy met behulp van het groepsbeleid dat beschikbaar is in Beheersjablonen:

1. Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Proxyserver definiëren voor verbinding met het netwerk.

2. Stel deze in op Ingeschakeld en definieer de proxyserver. De URL moet of https://hebbenhttp://. Zie Microsoft Defender Antivirus-updates beheren voor ondersteunde versies voorhttps://.

   

3. Onder de registersleutel HKLM\Software\Policies\Microsoft\Windows Defenderstelt het beleid de registerwaarde ProxyServer in op REG_SZ.

   De registerwaarde ProxyServer heeft de volgende tekenreeksindeling:

   <server name or ip>:<port>

   Bijvoorbeeld http://10.0.0.6:8080

Opmerking

Als u een statische proxy-instelling gebruikt op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling SSLOptions toevoegen met de DWORD-waarde .2 De locatie van het bovenliggende registerpad voor SSLOptions is HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet. Zie Cloud protection voor meer informatie over de SSLOptions.

Voor tolerantiedoeleinden en de realtime aard van cloudbeveiliging slaat Microsoft Defender Antivirus de laatst bekende werkende proxy in de cache op. Zorg ervoor dat uw proxyoplossing geen SSL-inspectie uitvoert, omdat hierdoor de beveiligde cloudverbinding wordt verbroken.

Microsoft Defender Antivirus gebruikt de statische proxy niet om verbinding te maken met Windows Update of Microsoft Update voor het downloaden van updates. In plaats daarvan wordt een systeembrede proxy gebruikt als deze is geconfigureerd voor het gebruik van Windows Update, of de geconfigureerde interne updatebron volgens de geconfigureerde terugvalvolgorde. Indien nodig kunt u Beheersjablonen > windows-onderdelen > Microsoft Defender Antivirus > Auto-config (.pac) voor proxy definiëren gebruiken om verbinding te maken met het netwerk. Als u geavanceerde configuraties met meerdere proxy's wilt instellen, gebruikt u Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Adressen definiëren om de proxyserver te omzeilen en te voorkomen dat Microsoft Defender Antivirus een proxyserver voor deze bestemmingen gebruikt.

U kunt PowerShell met de Set-MpPreference cmdlet gebruiken om deze opties te configureren:

• ProxyBypass
• ProxyPacUrl
• ProxyServer

De proxyserver handmatig configureren met behulp van netsh de opdracht

Gebruik netsh om een systeembrede statische proxy te configureren.

Opmerking

Deze configuratie is van invloed op alle toepassingen, inclusief Windows-services die gebruikmaken van de WinHTTP standaardproxy.

1. Open een opdrachtpromptregel met verhoogde bevoegdheid.

   1. Ga naar Start en typ cmd.
   2. Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.

2. Voer de volgende opdracht in en druk op Enter:

   netsh winhttp set proxy <proxy>:<port>
   

   Bijvoorbeeld:netsh winhttp set proxy 10.0.0.6:8080

3. Als u de winhttp proxy opnieuw wilt instellen, voert u de volgende opdracht in en drukt u op Enter:

   netsh winhttp reset proxy
   

Zie Syntaxis, contexten en opmaak van Netsh meer informatie.

Windows-apparaten met de vorige MMA-oplossing

Voor apparaten met Windows 7, Windows 8.1, Windows Server 2008 R2 en servers die niet zijn geüpgraded naar Unified Agent en de Microsoft Monitoring Agent (ook wel log analytics-agent genoemd) gebruiken om verbinding te maken met de Defender for Endpoint-service, kunt u een proxy-instelling voor het hele systeem gebruiken of de agent configureren om verbinding te maken via een proxy of een logboekanalysegateway.

• De agent configureren voor het gebruik van een proxy: Proxyconfiguratie
• Azure Log Analytics (voorheen bekend als OMS Gateway) instellen om te fungeren als proxy of hub: Azure Log Analytics-agent

Onboarden eerdere versies van Windows

Volgende stap

STAP 3: De clientverbinding met service-URL's van Microsoft Defender voor Eindpunt controleren

Verwante artikelen

• Niet-verbonden omgevingen, proxy's en Microsoft Defender voor Eindpunt
• Groepsbeleidsinstellingen gebruiken om Microsoft Defender Antivirus te configureren en beheren
• Onboard Windows-apparaten
• Problemen met onboarding van Microsoft Defender voor Eindpunt oplossen
• Apparaten zonder internettoegang onboarden bij Microsoft Defender voor Eindpunt

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.