ШАГ 2. Настройка устройств для подключения к службе Defender для конечной точки с помощью прокси-сервера
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Важно!
Устройства, настроенные только для трафика IPv6, не поддерживаются.
В зависимости от операционной системы прокси-сервер, используемый для Microsoft Defender для конечной точки, можно настроить автоматически, как правило, с помощью автообнаружения или файла автонастройки или статически специально для служб Defender для конечных точек, работающих на устройстве.
- Для устройств Windows см . раздел Настройка параметров прокси-сервера устройства и подключения к Интернету (эта статья)
- Для устройств Linux см. раздел Настройка Microsoft Defender для конечной точки в Linux для обнаружения статических прокси-серверов.
- Сведения об устройствах macOS см. в разделе Microsoft Defender для конечной точки на Mac.
Для использования датчика Defender для конечной точки требуется Microsoft Windows HTTP (WinHTTP), чтобы передавать данные датчика и общаться со службой Defender для конечной точки. Встроенный датчик Defender для конечной точки в контексте системы работает с учетной записью LocalSystem.
Совет
В организациях, в которых прокси-серверы переадресации используются в качестве шлюза в Интернет, можно использовать защиту сети для изучения событий подключения, происходящих за прокси-серверами переадресации.
Параметр конфигурации WinHTTP не зависит от параметров прокси-сервера для браузера Windows Internet (WinINet) (см . раздел WinINet и WinHTTP). Он может обнаружить прокси-сервер только с помощью следующих методов обнаружения:
Методы автоматического обнаружения:
Прозрачный прокси
Протокол автоматического обнаружения веб-прокси (WPAD)
Примечание.
При использовании прозрачного прокси или WPAD в топологии сети, не нужно использовать специальные параметры конфигурации.
Конфигурация статического прокси вручную:
Конфигурация на основе реестра
WinHTTP, настроенный с помощью команды netsh: подходит только для настольных компьютеров в стабильной топологии (например: настольный компьютер в корпоративной сети за тем же прокси-сервером)
Примечание.
Антивирусные программы Defender и прокси EDR можно устанавливать независимо друг от друга. В последующих разделах следует помнить об этих различиях.
Настройка прокси-сервера вручную с помощью параметра статического прокси-сервера на основе реестра
Настройте статический прокси-сервер на основе реестра для датчика обнаружения и ответа Defender для конечной точки (EDR), чтобы сообщать диагностические данные и взаимодействовать со службами Defender для конечных точек, если компьютеру не разрешено напрямую подключаться к Интернету.
Примечание.
Всегда обязательно применяйте последние обновления, чтобы обеспечить успешное подключение к службам Defender для конечных точек.
Параметры статического прокси-сервера настраиваются с помощью групповой политики. Оба параметра в значениях групповой политики должны быть настроены. Групповая политика доступна в административных шаблонах.
Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка использования прокси-сервера с проверкой подлинности для подключенной службы взаимодействия с пользователем и телеметрии.
Установите для этого параметра значение Включено и выберите пункт Отключить использование прокси с проверкой подлинности.
Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка подключенных пользовательских возможностей и телеметрии:
Введите сведения о прокси-сервере.
Групповая политика | Раздел реестра | Запись реестра | Значение |
---|---|---|---|
Настройка использования проверенного прокси-сервера для подключенного пользователя и службы телеметрии | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Настройка телеметрии и функциональных возможностей подключенных пользователей | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Например: 10.0.0.6:8080 (REG_SZ) |
Примечание.
Если вы используете параметр "TelemetryProxyServer" на устройствах, которые в противном случае находятся в автономном режиме, что означает, что операционная система не может подключиться для списка отзыва сертификатов в сети или клиентский компонент Центра обновления Windows, необходимо добавить дополнительный параметр PreferStaticProxyForHttpRequest
реестра со значением 1
.
Расположение родительского пути реестра для PreferStaticProxyForHttpRequest — HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Для вставки значения реестра в правильное расположение можно использовать следующую команду:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Указанное выше значение реестра применимо только начиная с MsSense.exe версии 10.8210.* и более поздних версий или версии 10.8049.* и более поздних версий.
Настройка статического прокси-сервера для антивирусной программы в Microsoft Defender
Облачная защита антивирусной программы Microsoft Defender обеспечивает практически мгновенную автоматическую защиту от новых и возникающих угроз. Обратите внимание, что подключение требуется для пользовательских индикаторов , если антивирусная программа Defender является активным решением для защиты от вредоносных программ, а также для EDR в блочном режиме , который предоставляет резервный вариант, если решение сторонних разработчиков не выполнило блок.
Настройте статический прокси-сервер с помощью групповой политики, доступной в административных шаблонах:
Административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная программа > Определите прокси-сервер для подключения к сети.
Установите для него значение Включен и определите прокси-сервер. Обратите внимание, что URL-адрес должен быть http:// или https://. Поддерживаемые версии для https:// см. в статье Управление обновлениями антивирусной программы Microsoft Defender.
В разделе реестра ключа
HKLM\Software\Policies\Microsoft\Windows Defender
политика устанавливает значение реестраProxyServer
как REG_SZ.Значение реестра
ProxyServer
принимает следующий формат строки:<server name or ip>:<port>
Пример: http://10.0.0.6:8080
Примечание.
Если параметр статического прокси-сервера используется на устройствах, которые в противном случае находятся в автономном режиме, то есть операционная система не может подключиться для списка отзыва сертификатов в сети или клиентский компонент Центра обновления Windows, необходимо добавить дополнительный параметр реестра SSLOptions со значением dword равным 0. Расположение родительского пути реестра для SSLOptions — "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
В целях обеспечения устойчивости и защиты в режиме реального времени антивирусная программа Microsoft Defender будет кэшировать последний известный работающий прокси-сервер. Убедитесь, что прокси-решение не выполняет проверку SSL. Это нарушит безопасное облачное соединение.
Антивирусная программа Microsoft Defender не будет использовать статический прокси-сервер для подключения к Центру обновления Windows или Центру обновления Майкрософт для загрузки обновлений. Вместо этого она будет использовать общесистемный прокси-сервер, если он настроен на использование Центра обновления Windows, или настроенный внутренний источник обновлений в соответствии с настроенным резервным порядком.
При необходимости можно использовать административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная > программа Определение автоматической конфигурации прокси-сервера (PAC) для подключения к сети. Если вам нужно настроить дополнительные конфигурации с несколькими прокси-серверами, используйте административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная > программа Определите адреса, чтобы обойти прокси-сервер и запретить Microsoft Defender антивирусной программе использовать прокси-сервер для этих назначений.
Для настройки этих параметров можно использовать PowerShell с cmdlet Set-MpPreference
:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Примечание.
Чтобы правильно использовать прокси-сервер, настройте три разных параметра прокси-сервера:
- Microsoft Defender для конечной точки (MDE)
- Антивирусная программа
- Обнаружение и нейтрализация атак на конечные точки (EDR)
Настройка прокси-сервера вручную с помощью команды netsh
Используйте команду netsh для настройки статического прокси на уровне системы.
Примечание.
- Это повлияет на все приложения, в том числе службы Windows, которые используют WinHTTP с прокси по умолчанию.
Откройте командную строку с повышенными правами:
- В меню Пуск введите cmd.
- Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
Введите следующую команду и нажмите клавишу ВВОД:
netsh winhttp set proxy <proxy>:<port>
Пример:
netsh winhttp set proxy 10.0.0.6:8080
Чтобы сбросить прокси winhttp, введите следующую команду и нажмите клавишу ВВОД:
netsh winhttp reset proxy
Дополнительные сведения см. в статье Синтаксис команд, контексты и форматирование Netsh.
Устройства Windows под управлением предыдущего решения на основе MMA
Устройства под управлением Windows 7, Windows 8.1, Windows Server 2008 R2 и серверов, не обновленных до единого агента, используют агент мониторинга Майкрософт или агент Log Analytics для подключения к службе Defender для конечной точки.
Вы можете использовать параметр прокси-сервера для всей системы, настроить агент для подключения через прокси-сервер или шлюз Log Analytics.
Настройка агента для использования прокси-сервера: конфигурация прокси-сервера
Настройка Azure Log Analytics (ранее — шлюз OMS) для работы в качестве прокси-сервера или концентратора: агент Azure Log Analytics
Подключение предыдущих версий Windows
Следующее действие
Шаг 3. Проверка подключения клиента к URL-адресам службы Microsoft Defender для конечной точки
Статьи по теме
- Отключенные среды, прокси-серверы и Microsoft Defender для конечной точки
- Использование параметров групповой политики для настройки и управления антивирусной программой в Microsoft Defender
- Подключение устройств Windows
- Устранение неполадок подключения Microsoft Defender для конечных точек
- Подключение устройств без доступа к Интернету к Microsoft Defender для конечной точки
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по