STAP 2: uw apparaten configureren om verbinding te maken met de Defender for Endpoint-service met behulp van een proxy

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Belangrijk

Apparaten die zijn geconfigureerd voor IPv6-verkeer, worden niet ondersteund.

Afhankelijk van het besturingssysteem kan de proxy die moet worden gebruikt voor Microsoft Defender voor Eindpunt automatisch worden geconfigureerd, meestal met behulp van autodiscovery of een automatisch geconfigureerd bestand, of statisch specifiek voor Defender for Endpoint-services die op het apparaat worden uitgevoerd.

• Voor Windows-apparaten raadpleegt u Instellingen voor apparaatproxy en internetverbinding configureren (dit artikel)
• Voor Linux-apparaten raadpleegt u Microsoft Defender voor Eindpunt configureren op Linux voor detectie van statische proxy's
• Zie voor macOS-apparaten Microsoft Defender voor Eindpunt op Mac

Voor de Defender voor Eindpunt-sensor is Microsoft Windows HTTP (WinHTTP) vereist om sensorgegevens te rapporteren en te communiceren met de Defender for Endpoint-service. De ingesloten Defender for Endpoint-sensor wordt uitgevoerd in systeemcontext met behulp van het LocalSystem-account.

Tip

Voor organisaties die proxy's doorsturen als gateway naar internet gebruiken, kunt u netwerkbeveiliging gebruiken om verbindingsgebeurtenissen te onderzoeken die zich achter doorsturende proxy's voordoen.

De winHTTP-configuratie-instelling is onafhankelijk van de Windows Internet (WinINet) browseproxy-instellingen (zie WinINet versus WinHTTP). Een proxyserver kan alleen worden gedetecteerd met behulp van de volgende detectiemethoden:

• Methoden voor automatische detectie:

  • Transparante proxy

  • WPAD (Web Proxy Auto Discovery Protocol)

    Opmerking

    Als u Transparante proxy of WPAD gebruikt in uw netwerktopologie, hebt u geen speciale configuratie-instellingen nodig.

• Hnadmatige statische proxyconfiguratie

  • Configuratie op basis van register

  • WinHTTP geconfigureerd met behulp van netsh-opdracht: alleen geschikt voor desktops in een stabiele topologie (bijvoorbeeld: een bureaublad in een bedrijfsnetwerk achter dezelfde proxy)

Opmerking

Defender-antivirus- en EDR-proxy's kunnen onafhankelijk van elkaar worden ingesteld. Houd in de volgende secties rekening met deze verschillen.

De proxyserver handmatig configureren met behulp van een statische proxy-instelling op basis van een register

Configureer een registergebaseerde statische proxy voor EDR-sensor (Detectie en respons) van Defender for Endpoint om diagnostische gegevens te rapporteren en te communiceren met Defender for Endpoint-services als een computer niet rechtstreeks verbinding mag maken met internet.

Opmerking

Zorg ervoor dat u altijd de nieuwste updates toepast om een succesvolle verbinding met Defender for Endpoint-services te garanderen.

De statische proxy-instellingen kunnen worden geconfigureerd via groepsbeleid (GP). Beide instellingen onder groepsbeleidswaarden moeten worden geconfigureerd. Het groepsbeleid is beschikbaar in Beheersjablonen.

• Beheersjablonen > Gegevensverzameling en preview-builds > van Windows-onderdelen > Configureren geverifieerd proxygebruik voor de verbonden gebruikerservaring en telemetrieservice.

  Stel deze in op Ingeschakeld en selecteer Geverifieerd proxygebruik uitschakelen.

  

• Beheersjablonen > Gegevensverzameling en preview-versies > van Windows-onderdelen > Configureer verbonden gebruikerservaringen en telemetrie:

  Voer de proxygegevens in.

  

Groepsbeleid	Registersleutel	Registervermelding	Waarde
Geverifieerd proxygebruik configureren voor de verbonden gebruikerservaring en de telemetrieservice	HKLM\Software\Policies\Microsoft\Windows\DataCollection	DisableEnterpriseAuthProxy	1 (REG_DWORD)
Verbonden gebruikerservaringen en telemetrie configureren	HKLM\Software\Policies\Microsoft\Windows\DataCollection	TelemetryProxyServer	servername:port or ip:port Bijvoorbeeld: 10.0.0.6:8080 (REG_SZ)

Opmerking

Als u de instelling 'TelemetryProxyServer' gebruikt op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling PreferStaticProxyForHttpRequest toevoegen met de waarde .1

De locatie van het bovenliggende registerpad voor 'PreferStaticProxyForHttpRequest' is 'HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection'

De volgende opdracht kan worden gebruikt om de registerwaarde in te voegen op de juiste locatie:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

De bovenstaande registerwaarde is alleen van toepassing vanaf MsSense.exe versie 10.8210.* en hoger, of versie 10.8049.* en hoger.

Een statische proxy configureren voor Microsoft Defender Antivirus

Microsoft Defender Antivirus-cloudbeveiliging biedt bijna directe, geautomatiseerde bescherming tegen nieuwe en opkomende bedreigingen. Opmerking: de connectiviteit is vereist voor aangepaste indicatoren wanneer Defender Antivirus uw actieve antimalwareoplossing is, evenals EDR in de blokmodus die een terugvaloptie biedt wanneer een niet-Microsoft-oplossing geen blok heeft uitgevoerd.

Configureer de statische proxy met behulp van de groepsbeleid die beschikbaar zijn in Beheersjablonen:

1. Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Proxyserver definiëren om verbinding te maken met het netwerk.

2. Stel deze in op Ingeschakeld en definieer de proxyserver. De URL moet http:// of https:// hebben. Zie Microsoft Defender Antivirus-updates beheren voor ondersteunde versies voor https://.

   

3. Onder de registersleutel HKLM\Software\Policies\Microsoft\Windows Defenderstelt het beleid de registerwaarde ProxyServer in als REG_SZ.

   De registerwaarde ProxyServer heeft de volgende tekenreeksindeling:

   <server name or ip>:<port>

   Bijvoorbeeld:http://10.0.0.6:8080

Opmerking

Als u een statische proxy-instelling gebruikt op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling SSLOptions toevoegen met de dword-waarde 0. De locatie van het bovenliggende registerpad voor SSLOptions is 'HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet'
Voor tolerantiedoeleinden en de realtime aard van cloudbeveiliging wordt Microsoft Defender Antivirus de laatst bekende werkende proxy in de cache opgeslagen. Zorg ervoor dat uw proxyoplossing geen SSL-inspectie uitvoert. Hierdoor wordt de beveiligde cloudverbinding verbroken.

Microsoft Defender Antivirus gebruikt de statische proxy niet om verbinding te maken met Windows Update of Microsoft Update voor het downloaden van updates. In plaats daarvan wordt een systeembrede proxy gebruikt als deze is geconfigureerd voor het gebruik van Windows Update, of de geconfigureerde interne updatebron volgens de geconfigureerde terugvalvolgorde.

Indien nodig kunt u Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Define proxy auto-config (.pac) gebruiken om verbinding te maken met het netwerk. Als u geavanceerde configuraties met meerdere proxy's wilt instellen, gebruikt u Beheersjablonen > Windows-onderdelen > Microsoft Defender AntivirusAdressen > definiëren om de proxyserver te omzeilen en te voorkomen dat Microsoft Defender Antivirus een proxyserver gebruikt voor deze bestemmingen.

U kunt PowerShell met de Set-MpPreference cmdlet gebruiken om deze opties te configureren:

• ProxyBypass
• ProxyPacUrl
• ProxyServer

Opmerking

Als u de proxy correct wilt gebruiken, configureert u deze drie verschillende proxy-instellingen:

• Microsoft Defender voor Eindpunt (MDE)
• AV (antivirus)
• Eindpuntdetectie en -respons (EDR)

De proxyserver handmatig configureren met de netsh-opdracht

Gebruik netsh om een statische proxy voor het hele systeem te configureren.

Opmerking

• Dit is van invloed op alle toepassingen, inclusief Windows-services die WinHTTP met standaardproxy gebruiken.
  

1. Open een opdrachtpromptregel met verhoogde bevoegdheid:

   1. Go to Start and type cmd.
   2. Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.

2. Voer de volgende opdracht in en druk op Enter:

   netsh winhttp set proxy <proxy>:<port>
   

   Bijvoorbeeld:netsh winhttp set proxy 10.0.0.6:8080

Voer de volgende opdracht in en druk op Enter om de winhttp proxy opnieuw in te stellen:

netsh winhttp reset proxy

Zie Syntaxis, contexten en opmaak van Netsh meer informatie.

Windows-apparaten met de vorige MMA-oplossing

Apparaten met Windows 7, Windows 8.1, Windows Server 2008 R2 en servers die niet zijn geüpgraded naar Unified Agent maken gebruik van de Microsoft Monitoring Agent/ ook wel bekend als Log Analytics-agent om verbinding te maken met de Defender for Endpoint-service.

U kunt een proxy-instelling voor het hele systeem gebruiken, de agent configureren om verbinding te maken via een proxy of een Log Analytics-gateway.

• De agent configureren voor het gebruik van een proxy: Proxyconfiguratie

• Azure Log Analytics (voorheen bekend als OMS Gateway) instellen om te fungeren als proxy of hub: Azure Log Analytics-agent

Onboarden eerdere versies van Windows

Volgende stap

STAP 3: De clientverbinding met Microsoft Defender voor Eindpunt service-URL's controleren

Verwante artikelen

• Niet-verbonden omgevingen, proxy's en Microsoft Defender voor Eindpunt
• Groepsbeleid-instellingen gebruiken om Microsoft Defender Antivirus te configureren en te beheren
• Onboard Windows-apparaten
• Problemen met Microsoft Defender voor Eindpunt onboarding oplossen
• Apparaten zonder internettoegang onboarden voor Microsoft Defender voor Eindpunt

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.