KROK 1. Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Przed dołączeniem urządzeń do usługi Defender for Endpoint upewnij się, że sieć jest skonfigurowana do nawiązywania połączenia z usługą, zezwalając na połączenie wychodzące i pomijając inspekcję https dla adresów URL usługi. Pierwszym krokiem tego procesu jest dodanie adresów URL do listy dozwolonych domen, jeśli serwer proxy lub reguły zapory uniemożliwiają dostęp do usługi Defender for Endpoint. Ten artykuł zawiera również informacje o wymaganiach dotyczących serwera proxy i zapory dla starszych wersji klienta systemu Windows i systemu Windows Server.
Uwaga
- Po 8 maja 2024 r. masz możliwość zachowania uproszczonej łączności (skonsolidowanego zestawu adresów URL) jako domyślnej metody dołączania lub przejścia na starszą wersję do standardowej łączności za pośrednictwem (Funkcje zaawansowane ustawień > punktów końcowych>). W przypadku dołączania za pośrednictwem Intune lub Microsoft Defender dla chmury należy aktywować odpowiednią opcję. Urządzenia, które zostały już dołączone, nie są automatycznie dołączane ponownie. W takich przypadkach utwórz nowe zasady w Intune, gdzie zaleca się najpierw przypisanie zasad do zestawu urządzeń testowych w celu sprawdzenia, czy łączność zakończyła się pomyślnie, a następnie rozwiń grupę odbiorców. Urządzenia w usłudze Defender for Cloud mogą zostać ponownie dołączone przy użyciu odpowiedniego skryptu dołączania, podczas gdy nowo dołączone urządzenia będą automatycznie otrzymywać usprawnione dołączanie.
- Nowa domena skonsolidowana *.endpoint.security.microsoft.com musi być dostępna dla wszystkich urządzeń, dla bieżących i przyszłych funkcji, niezależnie od tego, czy nadal używasz łączności standardowej.
- Nowe regiony domyślnie mają uproszczoną łączność i nie będą miały możliwości obniżenia poziomu do warstwy Standardowa. Dowiedz się więcej na temat dołączania urządzeń przy użyciu usprawnionej łączności dla Ochrona punktu końcowego w usłudze Microsoft Defender.
Włączanie dostępu do adresów URL usługi Ochrona punktu końcowego w usłudze Microsoft Defender na serwerze proxy
W poniższym arkuszu kalkulacyjnym do pobrania wymieniono usługi i skojarzone z nimi adresy URL, z którymi urządzenia w sieci muszą mieć możliwość nawiązywania połączenia. Upewnij się, że nie ma reguł filtrowania zapory ani sieci, aby odmówić dostępu dla tych adresów URL. Opcjonalnie może być konieczne utworzenie reguły zezwalania specjalnie dla nich.
| Arkusz kalkulacyjny listy domen | Opis |
|---|---|
| Ochrona punktu końcowego w usłudze Microsoft Defender skonsolidowanej listy adresów URL (usprawnione) | Arkusz kalkulacyjny skonsolidowanych adresów URL. Pobierz arkusz kalkulacyjny tutaj. Odpowiedni system operacyjny: Aby uzyskać pełną listę, zobacz usprawniona łączność. - Windows 10 1809+ - Windows 11 — Windows Server 2019 — Windows Server 2022 — Windows Server 2012 R2, Windows Server 2016 R2 z nowoczesnym ujednoliconym rozwiązaniem defender for Endpoint (wymaga instalacji za pośrednictwem msi). — obsługiwane wersje systemu macOS z systemem 101.23102.* + — Obsługiwane wersje systemu Linux z systemem 101.23102.* + Minimalne wersje składników: - Klient ochrony przed złośliwym kodem: 4.18.2211.5 - Silnik: 1.1.19900.2 - Analiza zabezpieczeń: 1.391.345.0 - Wersja Xplat: 101.23102.* + - Czujnik/ KB wersja: >10.8040.*/ 8 marca 2022 r. Jeśli przenosisz wcześniej dołączone urządzenia do uproszczonego podejścia, zobacz Migrowanie łączności urządzeń Windows 10 wersje 1607, 1703, 1709, 1803 (RS1-RS4) są obsługiwane przez uproszczony pakiet dołączania, ale wymagają dłuższej listy adresów URL (zobacz zaktualizowany arkusz adresów URL). Te wersje nie obsługują ponownego dołączania (najpierw muszą być całkowicie odłączone). Urządzenia z systemem Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, serwery nie uaktualnione do programu Unified Agent (MMA) muszą nadal używać metody dołączania mma. |
| lista adresów URL Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów komercyjnych (Standardowa) | Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów komercyjnych. Pobierz arkusz kalkulacyjny tutaj. Ochrona punktu końcowego w usłudze Microsoft Defender plan 1 i plan 2 mają te same adresy URL usługi serwera proxy. W zaporze otwórz wszystkie adresy URL, w których kolumna geografii to WW. W przypadku wierszy, w których kolumna geografii nie jest WW, otwórz adresy URL w określonej lokalizacji danych. Aby zweryfikować ustawienie lokalizacji danych, zobacz Weryfikowanie lokalizacji magazynu danych i aktualizowanie ustawień przechowywania danych dla Ochrona punktu końcowego w usłudze Microsoft Defender. Nie wykluczaj adresu URL |
| Ochrona punktu końcowego w usłudze Microsoft Defender listy adresów URL dla gov/GCC/DoD | Arkusz kalkulacyjny z określonymi rekordami DNS dla lokalizacji usług, lokalizacji geograficznych i systemu operacyjnego dla klientów Gov/GCC/DoD. Pobierz arkusz kalkulacyjny tutaj. |
Ważna
- Connections są wykonywane z kontekstu systemu operacyjnego lub usług klienckich usługi Defender i w związku z tym serwery proxy nie powinny wymagać uwierzytelniania dla tych miejsc docelowych ani przeprowadzać inspekcji (skanowanie HTTPS / inspekcja protokołu SSL), która przerywa bezpieczny kanał.
- Firma Microsoft nie udostępnia serwera proxy. Te adresy URL są dostępne za pośrednictwem skonfigurowanego serwera proxy.
- Zgodnie ze standardami zabezpieczeń i zgodności usługi Defender for Endpoint dane będą przetwarzane i przechowywane zgodnie z lokalizacją fizyczną dzierżawy. Na podstawie lokalizacji klienta ruch może przepływać przez dowolny ze skojarzonych regionów adresów IP (które odpowiadają regionom centrum danych platformy Azure). Aby uzyskać więcej informacji, zobacz Magazyn danych i prywatność.
Microsoft Monitoring Agent (MMA) — dodatkowe wymagania dotyczące serwera proxy i zapory dla starszych wersji klienta systemu Windows lub systemu Windows Server
Następujące miejsca docelowe są wymagane, aby umożliwić usłudze Defender komunikację punktów końcowych za pośrednictwem agenta usługi Log Analytics (często nazywanego agentem monitorowania firmy Microsoft) w systemach Windows 7 z dodatkiem SP1, Windows 8.1 i Windows Server 2008 R2.
| Zasoby agenta | Porty | Kierunek | Pomijanie inspekcji HTTPS |
|---|---|---|---|
*.ods.opinsights.azure.com |
Port 443 | Wychodzące | Tak |
*.oms.opinsights.azure.com |
Port 443 | Wychodzące | Tak |
*.blob.core.windows.net |
Port 443 | Wychodzące | Tak |
*.azure-automation.net |
Port 443 | Wychodzące | Tak |
Aby określić dokładne miejsca docelowe używane dla subskrypcji w domenach wymienionych powyżej, zobacz Połączenia adresu URL usługi programu Microsoft Monitoring Agent (MMA).
Uwaga
Usługi korzystające z rozwiązań opartych na architekturze MMA nie mogą korzystać z nowego usprawnionego rozwiązania łączności (skonsolidowanego adresu URL i opcji użycia statycznych adresów IP). W przypadku Windows Server 2016 i Windows Server 2012 R2 należy zaktualizować je do nowego ujednoliconego rozwiązania. Instrukcje dotyczące dołączania tych systemów operacyjnych do nowego ujednoliconego rozwiązania znajdują się na stronie Dołączanie serwerów z systemem Windows lub migrowanie już dołączonych urządzeń do nowego ujednoliconego rozwiązania w scenariuszach migracji serwera w Ochrona punktu końcowego w usłudze Microsoft Defender.
W przypadku urządzeń bez dostępu do Internetu / bez serwera proxy
W przypadku urządzeń bez bezpośredniego połączenia internetowego zalecane jest użycie rozwiązania serwera proxy. W określonych przypadkach można użyć urządzeń zapory lub bramy, które zezwalają na dostęp do zakresów adresów IP. Aby uzyskać więcej informacji, zobacz: Usprawniona łączność urządzeń.
Ważna
- Ochrona punktu końcowego w usłudze Microsoft Defender jest rozwiązaniem w zakresie zabezpieczeń w chmurze. "Dołączanie urządzeń bez dostępu do Internetu" oznacza, że dostęp do Internetu dla punktów końcowych musi być skonfigurowany za pośrednictwem serwera proxy lub innego urządzenia sieciowego, a rozpoznawanie nazw DNS jest zawsze wymagane. Ochrona punktu końcowego w usłudze Microsoft Defender nie obsługuje punktów końcowych bez bezpośredniej lub proxied łączności z usługami w chmurze Defender. Zalecana jest konfiguracja serwera proxy dla całego systemu.
- System Windows lub Windows Server w środowiskach rozłączonych musi mieć możliwość aktualizowania zaufania certyfikatów Listy w trybie offline za pośrednictwem wewnętrznego pliku lub serwera sieci Web.
- Aby uzyskać więcej informacji na temat aktualizowania list CTL w trybie offline, zobacz Konfigurowanie pliku lub serwera internetowego w celu pobrania plików CTL.