Поделиться через


ШАГ 2. Настройка устройств для подключения к службе Defender для конечной точки с помощью прокси-сервера

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Важно!

Устройства, настроенные только для трафика IPv6, не поддерживаются.

Примечание.

Чтобы правильно использовать прокси-сервер, настройте следующие два разных параметра прокси-сервера в Defender для конечной точки:

В зависимости от операционной системы прокси-сервер, используемый для Microsoft Defender для конечной точки, можно настроить автоматически. Вы можете использовать автообнаружения, файл автонастройки или статический метод, характерный для служб Defender для конечных точек, работающих на устройстве.

Датчику Defender для конечной точки требуется Microsoft Windows HTTP (WinHTTP) для передачи данных датчика и взаимодействия со службой Defender для конечной точки. Встроенный датчик Defender для конечной точки работает в системном контексте с помощью учетной LocalSystem записи.

Совет

Если вы используете прокси-серверы пересылки в качестве шлюза к Интернету, вы можете использовать защиту сети для изучения событий подключения, происходящих за прокси-серверами пересылки.

Параметр WinHTTP конфигурации не зависит от параметров прокси-сервера браузера в Интернете (WinINet) в Windows (см . раздел WinINet и WinHTTP). Он может обнаружить прокси-сервер только с помощью следующих методов обнаружения:

  • Методы автоматического обнаружения:

    • Прозрачный прокси

    • Протокол автоматического обнаружения веб-прокси (WPAD)

      Примечание.

      При использовании прозрачного прокси или WPAD в топологии сети, не нужно использовать специальные параметры конфигурации.

  • Конфигурация статического прокси вручную:

    • Конфигурация на основе реестра

    • WinHTTP, настроенный с помощью команды netsh: подходит только для настольных компьютеров в стабильной топологии (например: настольный компьютер в корпоративной сети за тем же прокси-сервером)

Примечание.

Антивирусная программа Microsoft Defender и прокси-серверы EDR могут быть настроены независимо друг от друга. В последующих разделах следует помнить об этих различиях.

Настройка прокси-сервера вручную с помощью параметра статического прокси-сервера на основе реестра

Настройте статический прокси-сервер на основе реестра для датчика обнаружения и ответа Defender для конечной точки (EDR), чтобы сообщать диагностические данные и взаимодействовать со службами Defender для конечных точек, если компьютеру не разрешено напрямую подключаться к Интернету.

Примечание.

Всегда обязательно применяйте последние обновления, чтобы обеспечить успешное подключение к службам Defender для конечных точек.

Параметры статического прокси-сервера настраиваются с помощью групповой политики. Оба параметра в значениях групповой политики должны быть настроены. Групповая политика доступна в административных шаблонах.

  • Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка использования прокси-сервера с проверкой подлинности для подключенной службы взаимодействия с пользователем и телеметрии.

    Установите для этого параметра значение Включено и выберите пункт Отключить использование прокси с проверкой подлинности.

    Область состояния параметра1 групповой политики

  • Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка подключенных пользовательских возможностей и телеметрии:

    Введите сведения о прокси-сервере.

    Область состояния параметра2 групповой политики

Групповая политика Раздел реестра Запись реестра Значение
Настройка использования проверенного прокси-сервера для подключенного пользователя и службы телеметрии HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Настройка телеметрии и функциональных возможностей подключенных пользователей HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Например: 10.0.0.6:8080 (REG_SZ)

Примечание.

Если вы используете TelemetryProxyServer параметр на устройствах, которые в противном случае полностью отключены, то есть операционная система не может подключиться для списка отзыва сертификатов 1в сети или Центра обновления Windows, необходимо добавить дополнительный параметр PreferStaticProxyForHttpRequest реестра со значением .

Расположение родительского пути реестра для PreferStaticProxyForHttpRequestHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

Для вставки значения реестра в правильное расположение можно использовать следующую команду:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

Указанное ранее значение реестра применимо только начиная с MsSense.exe версии 10.8210.* и более поздних версий или версии и более поздних версий 10.8049.* .

Настройка статического прокси-сервера для антивирусной программы в Microsoft Defender

Облачная защита антивирусной программы Microsoft Defender обеспечивает практически мгновенную автоматическую защиту от новых и возникающих угроз. Подключение требуется для пользовательских индикаторов , если антивирусная программа Microsoft Defender является активным решением для защиты от вредоносных программ и EDR в блочном режиме, который предоставляет резервный вариант, если решение, отличное от Майкрософт, не выполнило блок.

Настройте статический прокси-сервер с помощью групповой политики, доступной в административных шаблонах:

  1. Административные шаблоны > Компоненты > Windows Антивирусная программа > в Защитнике Майкрософт. Определите прокси-сервер для подключения к сети.

  2. Установите для него значение Включен и определите прокси-сервер. URL-адрес должен иметь значение http:// или https://. Поддерживаемые версии для см. в https://разделе Управление обновлениями антивирусной программы в Microsoft Defender.

    Прокси-сервер для антивирусной программы в Microsoft Defender

  3. В разделе HKLM\Software\Policies\Microsoft\Windows Defenderреестра политика задает для параметра реестра значение ProxyServerREG_SZ.

    Значение реестра ProxyServer принимает следующий формат строки:

    <server name or ip>:<port>

    Пример: http://10.0.0.6:8080

Примечание.

Если вы используете статический параметр прокси-сервера на устройствах, которые в противном случае полностью отключены, то есть операционная система не может подключиться для списка отзыва сертификатов в сети или Центра обновления Windows, необходимо добавить дополнительный параметр SSLOptions реестра со значением 2DWORD . Родительский путь к реестру для SSLOptionsHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet. Дополнительные сведения о см. в SSLOptionsразделе Cloud Protection.

Для обеспечения устойчивости и использования облачной защиты в режиме реального времени антивирусная программа Microsoft Defender кэширует последний известный рабочий прокси-сервер. Убедитесь, что решение прокси-сервера не выполняет проверку SSL, так как это нарушает безопасное облачное подключение.

Антивирусная программа в Microsoft Defender не использует статический прокси-сервер для подключения к Центру обновления Windows или Центру обновления Майкрософт для скачивания обновлений. Вместо этого он использует общесистемный прокси-сервер, если он настроен для использования Центра обновления Windows, или настроенный внутренний источник обновления в соответствии с настроенным резервным порядком. При необходимости для подключения к сети можно использовать административные шаблоны > Компоненты > Windows Антивирусная > программа Microsoft Defender Определяет автоматическую конфигурацию прокси-сервера (PAC ). Если вам нужно настроить дополнительные конфигурации с несколькими прокси-серверами, используйте административные шаблоны > Компоненты > Windows Антивирусная > программа Microsoft Defender Определяет адреса , чтобы обойти прокси-сервер и запретить антивирусной программе Microsoft Defender использовать прокси-сервер для этих назначений.

Для настройки этих параметров можно использовать PowerShell с cmdlet Set-MpPreference:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Настройка прокси-сервера вручную с помощью netsh команды

Используйте netsh для настройки статического прокси-сервера для всей системы.

Примечание.

Эта конфигурация затрагивает все приложения, включая службы Windows, которые используют WinHTTP прокси-сервер по умолчанию.

  1. Откройте командную строку с повышенными правами:

    1. Перейдите в меню Пуск и введите cmd.
    2. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
  2. Введите следующую команду и нажмите клавишу ВВОД:

    netsh winhttp set proxy <proxy>:<port>
    

    Пример: netsh winhttp set proxy 10.0.0.6:8080

  3. Чтобы сбросить winhttp прокси-сервер, введите следующую команду и нажмите клавишу ВВОД:

    netsh winhttp reset proxy
    

Дополнительные сведения см. в статье Синтаксис команд, контексты и форматирование Netsh.

Устройства Windows под управлением предыдущего решения на основе MMA

Для устройств под управлением Windows 7, Windows 8.1, Windows Server 2008 R2 и серверов, которые не обновлены до единого агента и не используют агент microsoft Monitoring Agent (также известный как агент Log Analytics) для подключения к службе Defender для конечной точки, можно либо использовать параметр прокси-сервера для всей системы, либо настроить агент для подключения через прокси-сервер или шлюз log analytics.

Подключение предыдущих версий Windows

Следующее действие

ШАГ 3. Проверка подключения клиента к URL-адресам службы Microsoft Defender для конечной точки

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.