Compartilhar via

ETAPA 2: configurar seus dispositivos para se conectar ao serviço Defender para Ponto de Extremidade usando um proxy

  • Artigo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Importante

Não há suporte para dispositivos configurados para tráfego somente IPv6.

Dependendo do sistema operacional, o proxy a ser usado para Microsoft Defender para Ponto de Extremidade pode ser configurado automaticamente, normalmente usando a descoberta automática ou um arquivo de configuração automática ou estaticamente específico para os serviços do Defender para Ponto de Extremidade em execução no dispositivo.

O sensor Defender para Ponto de Extremidade exige que o WinHTTP (Microsoft Windows HTTP) reporte dados do sensor e se comunique com o serviço Defender para Ponto de Extremidade. O sensor do Defender para Ponto de Extremidade inserido é executado no contexto do sistema usando a conta LocalSystem.

Dica

Para organizações que usam proxies avançados como um gateway para a Internet, você pode usar a proteção de rede para investigar eventos de conexão que ocorrem por trás de proxies avançados.

A configuração WinHTTP é independente das configurações de proxy de navegação da Internet do Windows (WinINet) (consulte WinINet vs. WinHTTP). Ele só pode descobrir um servidor proxy usando os seguintes métodos de descoberta:

  • Métodos de descoberta automática:

    • Proxy transparente

    • Protocolo de Descoberta Automática de Proxy da Web (WPAD)

      Observação

      Se você estiver usando proxy transparente ou WPAD na topologia de rede, não precisará de configurações especiais.

  • Configuração manual de proxy estático:

    • Configuração baseada em registro

    • WinHTTP configurado usando o comando netsh: adequado apenas para áreas de trabalho em uma topologia estável (por exemplo: uma área de trabalho em uma rede corporativa atrás do mesmo proxy)

Observação

Os proxies antivírus e EDR do Defender podem ser definidos de forma independente. Nas seções a seguir, esteja ciente dessas distinções.

Configurar o servidor proxy manualmente usando uma configuração de proxy estático baseado em registro

Configure um proxy estático baseado em registro para o sensor EDR (detecção e resposta do Defender para Ponto de Extremidade) para relatar dados de diagnóstico e se comunicar com os serviços do Defender para Ponto de Extremidade se um computador não tiver permissão para se conectar diretamente à Internet.

Observação

Certifique-se sempre de aplicar as atualizações mais recentes para garantir a conectividade bem-sucedida com os serviços do Defender para Ponto de Extremidade.

As configurações de proxy estático são configuráveis por meio da política de grupo (GP), ambas as configurações em valores de política de grupo devem ser configuradas. A política de grupo está disponível em Modelos Administrativos.

  • Modelos administrativos > Compilações de coleta e visualização de dados de componentes >> do Windows configuram o uso de proxy autenticado para o Serviço de Telemetria e Experiência do Usuário Conectado.

    Defina-o como Habilitado e selecione Desabilitar o uso de Proxy Autenticado.

    O painel Política de Grupo configuração1 status

  • Modelos administrativos > Compilações de coleta e visualização de dados de componentes >> do Windows Configuram experiências de usuário conectadas e telemetria:

    Insira as informações de proxy.

    O painel Política de Grupo setting2 status

Política de grupo Chave do Registro Entrada do Registro Valor
Configurar o uso de proxy autenticado para a experiência do usuário conectado e o serviço de telemetria HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Configurar experiências de usuário conectadas e telemetria HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Por exemplo: 10.0.0.6:8080 (REG_SZ)

Observação

Se você estiver usando a configuração 'TelemetryProxyServer' em dispositivos que de outra forma estão completamente offline, o que significa que o sistema operacional não pode se conectar para a lista de revogação de certificado online ou Windows Update, então é necessário adicionar a configuração PreferStaticProxyForHttpRequest de registro adicional com um valor de 1.

O local do caminho do registro pai para "PreferStaticProxyForHttpRequest" é "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"

O seguinte comando pode ser usado para inserir o valor do registro no local correto:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

O valor do registro acima é aplicável apenas começando com MsSense.exe versão 10.8210.* e posterior, ou versão 10.8049.* e posterior.

Configurar um proxy estático para Microsoft Defender Antivírus

Microsoft Defender proteção fornecida pela nuvem antivírus fornece proteção quase instantânea e automatizada contra ameaças novas e emergentes. Observe que a conectividade é necessária para indicadores personalizados quando o Defender Antivírus é sua solução anti-malware ativa, bem como o EDR no modo de bloco , que fornece uma opção de fallback quando uma solução não Microsoft não executa um bloco.

Configure o proxy estático usando o Política de Grupo disponível em Modelos Administrativos:

  1. Modelos administrativos > Componentes > do Windows Microsoft Defender Antivírus > Definir servidor proxy para se conectar à rede.

  2. Defina-o como Habilitado e defina o servidor proxy. Observe que a URL deve ter http:// ou https://. Para versões com suporte para https://, consulte Gerenciar Microsoft Defender atualizações antivírus.

    O servidor proxy do Microsoft Defender Antivírus

  3. Na chave HKLM\Software\Policies\Microsoft\Windows Defenderdo registro, a política define o valor ProxyServer do registro como REG_SZ.

    O valor ProxyServer do registro usa o seguinte formato de cadeia de caracteres:

    <server name or ip>:<port>

    Por exemplo: http://10.0.0.6:8080

Observação

Se você estiver usando a configuração de proxy estático em dispositivos que de outra forma estão completamente offline, o que significa que o sistema operacional não pode se conectar para a lista de revogação de certificado online ou Windows Update, então é necessário adicionar a configuração de registro adicional SSLOptions com um valor dword de 0. O local do caminho do registro pai para "SSLOptions" é "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Para fins de resiliência e a natureza em tempo real da proteção fornecida pela nuvem, Microsoft Defender Antivírus armazenará em cache o último proxy de trabalho conhecido. Verifique se a solução proxy não executa a inspeção SSL. Isso interromperá a conexão de nuvem segura.

Microsoft Defender Antivírus não usará o proxy estático para se conectar ao Windows Update ou ao Microsoft Update para baixar atualizações. Em vez disso, ele usará um proxy em todo o sistema se configurado para usar Windows Update ou a fonte de atualização interna configurada de acordo com a ordem de fallback configurada.

Se necessário, você pode usar modelos administrativos componentes > do Windows Microsoft Defender Antivírus >> Definir configuração automática de proxy (.pac) para se conectar à rede. Se você precisar configurar configurações avançadas com vários proxies, use Modelos Administrativos Componentes > do Windows Microsoft Defender Antivírus >> Definir endereços para ignorar o servidor proxy e impedir que Microsoft Defender Antivírus use um servidor proxy para esses destinos.

Você pode usar o PowerShell com o Set-MpPreference cmdlet para configurar estas opções:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Observação

Para usar o proxy corretamente, configure estas três configurações de proxy diferentes:

  • Microsoft Defender para Ponto de Extremidade (MDPE)
  • AV (Antivírus)
  • EDR (Detecção e Resposta de Ponto de Extremidade)

Configurar o servidor proxy manualmente usando o comando netsh

Use netsh para configurar um proxy estático de todo o sistema.

Observação

  • Isso afetará todos os aplicativos, incluindo serviços do Windows que usam WinHTTP com proxy padrão.

  1. Abra uma linha de comando com privilégios elevados:

    1. Vá para Iniciar e digite cmd.
    2. Clique com o botão direito do mouse em Prompt de Comando e selecione Executar como administrador.

  2. Insira o seguinte comando e pressione Enter:

    netsh winhttp set proxy <proxy>:<port>

    Por exemplo: netsh winhttp set proxy 10.0.0.6:8080

Para redefinir o proxy winhttp, insira o seguinte comando e pressione Enter:

netsh winhttp reset proxy

Para saber mais, veja Sintaxe, Contextos e Formatação do Comando Netsh.

Dispositivos Windows que executam a solução baseada em MMA anterior

Dispositivos em execução no Windows 7, Windows 8.1, Windows Server 2008 R2 e servidores não atualizados para o Agente Unificado aproveitam o Agente de Monitoramento da Microsoft/ também conhecido como Agente de Análise de Log para se conectar ao serviço Defender para Ponto de Extremidade.

Você pode aproveitar uma configuração de proxy em todo o sistema, configurar o agente para se conectar por meio de um proxy ou de um gateway de análise de log.

Versões anteriores integradas do Windows

Próxima etapa

ETAPA 3: verificar a conectividade do cliente com Microsoft Defender para Ponto de Extremidade URLs de serviço

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.