Partilhar via

PASSO 2: Configurar os seus dispositivos para ligar ao serviço Defender para Endpoint com um proxy

  • Artigo

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Importante

Os dispositivos configurados para tráfego apenas IPv6 não são suportados.

Consoante o sistema operativo, o proxy a ser utilizado para Microsoft Defender para Endpoint pode ser configurado automaticamente, normalmente através da deteção automática ou de um ficheiro de configuração automática ou estaticamente específico dos serviços do Defender para Ponto Final em execução no dispositivo.

O sensor do Defender para Ponto Final requer que o Microsoft Windows HTTP (WinHTTP) comunique dados do sensor e comunique com o serviço Defender para Endpoint. O sensor incorporado do Defender para Ponto Final é executado no contexto do sistema com a conta LocalSystem.

Sugestão

Para organizações que utilizam proxies de reencaminhamento como um gateway para a Internet, pode utilizar a proteção de rede para investigar eventos de ligação que ocorrem atrás de proxies de reencaminhamento.

A definição de configuração WinHTTP é independente das definições de proxy de navegação na Internet do Windows (WinINet) (consulte WinINet vs. WinHTTP). Só pode detetar um servidor proxy com os seguintes métodos de deteção:

  • Métodos de Deteção Automática:

    • Proxy transparente

    • Protocolo WPAD (Web Proxy Auto-Discovery Protocol)

      Nota

      Se estiver a utilizar o proxy transparente ou o WPAD na topologia de rede, não precisa de definições de configuração especiais.

  • Configuração de proxy estático manual:

    • Configuração baseada no registo

    • WinHTTP configurado com o comando netsh: Adequado apenas para ambientes de trabalho numa topologia estável (por exemplo: um ambiente de trabalho numa rede empresarial atrás do mesmo proxy)

Nota

O antivírus do Defender e os proxies EDR podem ser definidos de forma independente. Nas secções que se seguem, tenha em atenção essas distinções.

Configurar o servidor proxy manualmente com uma definição de proxy estático baseado no registo

Configure um proxy estático baseado no registo para o sensor de deteção e resposta do Defender para Ponto Final (EDR) para comunicar dados de diagnóstico e comunicar com os serviços do Defender para Endpoint se um computador não tiver permissão para ligar diretamente à Internet.

Nota

Certifique-se sempre de que aplica as atualizações mais recentes para garantir uma conectividade com êxito aos serviços do Defender para Endpoint.

As definições de proxy estático são configuráveis através da política de grupo (GP), ambas as definições em valores de política de grupo devem ser configuradas. A política de grupo está disponível em Modelos Administrativos.

  • Modelos Administrativos > Recolha de Dados de Componentes > do Windows e Compilações > de Pré-visualização Configurar a utilização de Proxy Autenticado para o Serviço de Telemetria e Experiência de Utilizador Ligada.

    Defina-o como Ativado e selecione Desativar Utilização de Proxy Autenticado.

    O painel de estado Política de Grupo setting1

  • Modelos Administrativos > Recolha de Dados e Pré-visualização de Componentes > do Windows Configure as experiências e a telemetria dos utilizadores ligados>:

    Introduza as informações do proxy.

    O painel de estado Política de Grupo setting2

Política de Grupo Chave de registo Entrada de registo Valor
Configurar a utilização autenticada do proxy para a experiência de utilizador ligada e o serviço de telemetria HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Configurar a telemetria e as experiências de utilizador ligadas HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Por exemplo: 10.0.0.6:8080 (REG_SZ)

Nota

Se estiver a utilizar a definição "TelemetryProxyServer" em dispositivos que, de outra forma, estão completamente offline, o que significa que o sistema operativo não consegue ligar para a lista de revogação de certificados online ou Windows Update, é necessário adicionar a definição PreferStaticProxyForHttpRequest de registo adicional com um valor de 1.

A localização do caminho do registo principal para "PreferStaticProxyForHttpRequest" é "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"

O seguinte comando pode ser utilizado para inserir o valor do registo na localização correta:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

O valor de registo acima é aplicável apenas a partir da versão 10.8210.* e posterior MsSense.exe ou versão 10.8049.* e posterior.

Configurar um proxy estático para o Antivírus do Microsoft Defender

Microsoft Defender a proteção fornecida pela cloud do Antivírus fornece proteção automatizada quase instantânea contra ameaças novas e emergentes. Tenha em atenção que a conectividade é necessária para indicadores personalizados quando o Antivírus do Defender é a sua solução antimalware ativa, bem como o EDR no modo de bloco , o que fornece uma opção de contingência quando uma solução não Pertencente à Microsoft não efetuou um bloqueio.

Configure o proxy estático com o Política de Grupo disponível em Modelos Administrativos:

  1. Modelos Administrativos > Componentes > do Windows Microsoft Defender Antivírus > Definir servidor proxy para ligar à rede.

  2. Defina-o como Ativado e defina o servidor proxy. Tenha em atenção que o URL tem de ter http:// ou https://. Para obter as versões suportadas para https://, veja Gerir atualizações do Antivírus do Microsoft Defender.

    O servidor proxy do Antivírus Microsoft Defender

  3. Na chave HKLM\Software\Policies\Microsoft\Windows Defenderdo registo , a política define o valor ProxyServer do registo como REG_SZ.

    O valor ProxyServer do registo utiliza o seguinte formato de cadeia de carateres:

    <server name or ip>:<port>

    Por exemplo: http://10.0.0.6:8080

Nota

Se estiver a utilizar a definição de proxy estático em dispositivos que, de outra forma, estão completamente offline, o que significa que o sistema operativo não consegue ligar para a lista de revogação de certificados online ou Windows Update, é necessário adicionar a definição de registo adicional SSLOptions com um valor dword de 0. A localização do caminho do registo principal para "SSLOptions" é "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Para fins de resiliência e a natureza em tempo real da proteção fornecida pela cloud, Microsoft Defender Antivírus colocará em cache o último proxy de trabalho conhecido. Certifique-se de que a solução de proxy não realiza a inspeção SSL. Isto irá interromper a ligação segura à cloud.

Microsoft Defender o Antivírus não utilizará o proxy estático para ligar ao Windows Update ou ao Microsoft Update para transferir atualizações. Em vez disso, utilizará um proxy ao nível do sistema se estiver configurado para utilizar Windows Update ou a origem de atualização interna configurada de acordo com a ordem de contingência configurada.

Se necessário, pode utilizar Modelos Administrativos Componentes >> do Windows Microsoft Defender a > configuração automática de proxy Definir proxy (.pac) para ligar à rede. Se precisar de configurar configurações avançadas com vários proxies, utilize Modelos Administrativos Componentes >> do Windows Microsoft Defender Antivírus Definir endereços > para ignorar o servidor proxy e impedir Microsoft Defender Antivírus de utilizar um servidor proxy para esses destinos.

Pode utilizar o PowerShell com o Set-MpPreference cmdlet para configurar estas opções:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Nota

Para utilizar o proxy corretamente, configure estas três definições de proxy diferentes:

  • Microsoft Defender para Endpoint (MDE)
  • AV (Antivírus)
  • Deteção e Resposta de Pontos Finais (EDR)

Configurar o servidor proxy manualmente com o comando netsh

Utilize netsh para configurar um proxy estático ao nível do sistema.

Nota

  • Isto afetará todas as aplicações, incluindo serviços windows que utilizam WinHTTP com proxy predefinido.

  1. Abra uma linha de comandos elevada:

    1. Aceda a Iniciar e escreva cmd.
    2. Clique com o botão direito do rato em Linha de comandos e selecione Executar como administrador.

  2. Introduza o seguinte comando e prima Enter:

    netsh winhttp set proxy <proxy>:<port>

    Por exemplo: netsh winhttp set proxy 10.0.0.6:8080

Para repor o proxy winhttp, introduza o seguinte comando e prima Enter:

netsh winhttp reset proxy

Veja Sintaxe do Comando Netsh, Contextos e Formatação para saber mais.

Dispositivos Windows com a solução baseada em MMA anterior

Os dispositivos com o Windows 7, Windows 8.1, Windows Server 2008 R2 e servidores não atualizados para o Agente Unificado tiram partido do Agente de Monitorização da Microsoft/também conhecido como Agente do Log Analytics para ligar ao serviço Defender para Endpoint.

Pode tirar partido de uma definição de proxy ao nível do sistema, configurar o agente para se ligar através de um proxy ou de um gateway de análise de registos.

Integração de versões anteriores do Windows

Passo seguinte

PASSO 3: Verificar a conectividade do cliente aos URLs do serviço Microsoft Defender para Endpoint

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.