Настройка параметров прокси-сервера конечной точки и подключения к Интернету

  • Статья

Для каждого датчика Microsoft Defender для удостоверений требуется подключение к Интернету к облачной службе Defender для удостоверений для отправки данных датчика и успешной работы.

В некоторых организациях контроллеры домена не подключены напрямую к Интернету, но подключены через веб-прокси-подключение, а проверка SSL и перехват прокси-серверов не поддерживаются по соображениям безопасности. В таких случаях прокси-сервер должен позволить данным напрямую передавать данные из датчиков Defender для удостоверений в соответствующие URL-адреса без перехвата.

Внимание

Корпорация Майкрософт не предоставляет прокси-сервер. В этой статье описывается, как убедиться, что необходимые URL-адреса доступны через настроенный прокси-сервер.

Включение доступа к URL-адресам службы удостоверений Defender для удостоверений на прокси-сервере

Чтобы обеспечить максимальную безопасность и конфиденциальность данных, Defender для удостоверений использует сертификаты, взаимную проверку подлинности между каждым датчиком Defender для удостоверений и серверной частью Defender для удостоверений. Проверка и перехват SSL не поддерживаются, так как они вмешиваются в процесс проверки подлинности.

Чтобы включить доступ к Defender для удостоверений, обязательно разрешите трафик на URL-адрес датчика, используя следующий синтаксис: <your-workspace-name>sensorapi.atp.azure.com Например, contoso-corpsensorapi.atp.azure.com.

  • Если прокси-сервер или брандмауэр используют явные списки разрешений, рекомендуется также убедиться, что разрешены следующие URL-адреса:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • Иногда IP-адреса службы удостоверений Defender для удостоверений могут изменяться. Если вы вручную настраиваете IP-адреса или автоматически разрешаете DNS-имена в ip-адрес и используете их, рекомендуется периодически проверка, что настроенные IP-адреса по-прежнему актуальны.

  • Если вы ранее настроили прокси-сервер с помощью устаревших параметров, включая WiniNet или обновление раздела реестра, вам потребуется внести изменения с помощью метода, который вы использовали изначально. Дополнительные сведения см. в разделе "Изменение конфигурации прокси-сервера с помощью устаревших методов".

Включение доступа с тегом службы

Вместо того чтобы вручную включить доступ к определенным конечным точкам, скачайте диапазоны IP-адресов Azure и теги служб — общедоступное облако и используйте диапазоны IP-адресов в теге службы AzureAdvancedThreatProtection , чтобы включить доступ к Defender для удостоверений.

Дополнительные сведения см. в разделе тегов службы виртуальной сети. Сведения о предложениях правительства США см. в статье "Начало работы с предложениями правительства США".

Изменение конфигурации прокси-сервера с помощью интерфейса командной строки

Необходимые условия: найдите Microsoft.Tri.Sensor.Deployment.Deployer.exe файл. Этот файл расположен вместе с установкой датчика. По умолчанию это расположение C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Чтобы изменить конфигурацию прокси-сервера текущего датчика, выполните следующие действия.

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Чтобы полностью удалить конфигурацию прокси-сервера текущего датчика, выполните следующие действия.

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Изменение конфигурации прокси-сервера с помощью PowerShell

Предварительные требования. Перед выполнением команд Defender для удостоверений PowerShell убедитесь, что вы скачали модуль Defender для удостоверений PowerShell.

Вы можете просматривать и изменять конфигурацию прокси-сервера для датчика с помощью PowerShell. Для этого войдите на сервер датчика и выполните команды, как показано в следующих примерах:

Чтобы просмотреть конфигурацию прокси-сервера текущего датчика, выполните следующие действия.

Get-MDISensorProxyConfiguration

Чтобы изменить конфигурацию прокси-сервера текущего датчика, выполните следующие действия.

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

В этом примере настраивается конфигурация прокси-сервера для датчика Defender для удостоверений для использования указанного прокси-сервера без каких-либо учетных данных.

Чтобы полностью удалить конфигурацию прокси-сервера текущего датчика, выполните следующие действия.

Clear-MDISensorProxyConfiguration

Дополнительные сведения см. в следующих ссылках на DefenderForIdentity PowerShell:

Изменение конфигурации прокси-сервера с помощью устаревших методов

Если вы ранее настроили параметры прокси-сервера с помощью WinINet или раздела реестра и должны обновить их, вам потребуется использовать тот же метод, который вы использовали изначально.

При настройке прокси-сервера из командной строки во время установки гарантируется, что только службы датчиков Defender для удостоверений взаимодействуют через прокси-сервер, используя WinINet или реестр, разрешают другим службам, работающим в контексте как локальная система или локальная служба, также направлять трафик через прокси-сервер.

Настройка прокси-сервера с помощью WinINet

При настройке прокси-сервера с помощью WinINet следует помнить, что внедренная служба датчика Defender для удостоверений выполняется в системном контексте с помощью учетной записи LocalService , и что служба обновления датчика удостоверений Defender для удостоверений выполняется в системном контексте с помощью учетной записи LocalSystem .

  • Если вы используете WinHTTP для настройки прокси-сервера, вам по-прежнему необходимо настроить параметры прокси-сервера браузера Windows (WinINet) для обмена данными между датчиком и облачной службой Defender для удостоверений.

  • Если вы используете прозрачный прокси-сервер или WPAD в топологии сети, вам не нужно настраивать WinINet для прокси-сервера.

Настройка прокси-сервера с помощью реестра

В этом разделе описывается, как настроить статический прокси-сервер вручную с помощью статического прокси-сервера на основе реестра.

Внимание

Настройка прокси-сервера через реестр влияет на все приложения, использующие WinINet с учетными записями LocalService и LocalSystem , включая службы Windows.

Примените изменения реестра только к учетным записям LocalService и LocalSystem .

Чтобы настроить прокси-сервер, скопируйте конфигурацию прокси-сервера в контекст пользователя в учетные записи LocalSystem и LocalService следующим образом:

  1. Создайте резервную копию разделов реестра.

  2. В реестре найдите DefaultConnectionSettings значение в HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings разделе REG_BINARYреестра и скопируйте его.

  3. LocalSystem Если у него нет правильных параметров прокси-сервера, скопируйте параметр прокси-сервера из него в LocalSystemCurrent_UserHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings раздел реестра.

    Обязательно вставьте значение из Current_UserDefaultConnectionSettings раздела реестра как REG_BINARY.

    Это может произойти, если параметры прокси-сервера не настроены или отличаются от Current_Userних.

  4. LocalService Если у него нет правильных параметров прокси-сервера, скопируйте параметр прокси-сервера из Current_UserLocalServiceHKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings раздела реестра в раздел реестра.

    Обязательно вставьте значение из Current_UserDefaultConnectionSettings раздела реестра как REG_BINARY.

Связанный контент

Дополнительные сведения см. в разделе:

Следующий шаг

Тестирование подключения Microsoft Defender для удостоверений »