Настройка параметров прокси-сервера устройства и соединения с Интернетом

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Для использования датчика Defender для конечной точки требуется Microsoft Windows HTTP (WinHTTP), чтобы передавать данные датчика и общаться со службой Defender для конечной точки. Встроенный датчик Defender для конечной точки в контексте системы работает с учетной записью LocalSystem.

Совет

В организациях, в которых прокси-серверы переадресации используются в качестве шлюза в Интернет, можно использовать защиту сети для изучения событий подключения, происходящих за прокси-серверами переадресации.

Параметр конфигурации WinHTTP не зависит от параметров прокси-сервера браузера Windows Internet (WinINet) (см. раздел WinINet и WinHTTP). Он может обнаружить прокси-сервер только с помощью следующих методов обнаружения:

  • Методы автоматического обнаружения:

  • Конфигурация статического прокси вручную:

    • Конфигурация на основе реестра

    • WinHTTP, настроенный с помощью команды netsh: подходит только для настольных компьютеров в стабильной топологии (например: настольный компьютер в корпоративной сети за тем же прокси-сервером)

Примечание.

Антивирусные программы Defender и прокси EDR можно устанавливать независимо друг от друга. В последующих разделах следует помнить об этих различиях.

Настройка прокси-сервера вручную с использованием статического прокси-сервера на основе реестра

Настройте статический прокси-сервер на основе реестра для датчика обнаружения и нейтрализации атак на конечные точки Defender (EDR), чтобы сообщать диагностические данные и взаимодействовать со службами Defender для конечной точки, если компьютеру запрещено подключение к Интернету.

Примечание.

При использовании этого параметра в Windows 10, Windows 11, Windows Server 2019 или Windows Server 2022 рекомендуется иметь следующую (или более позднюю) сборку и накопительный пакет обновления:

Эти обновления улучшают соединение и надежность канала CnC (Command and Control).

Статический прокси-сервер настраивается с помощью групповой политики (GP). Оба параметра в значениях групповой политики должны быть настроены на прокси-сервер для использования EDR. Групповая политика доступна в административных шаблонах.

  • Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка использования прокси-сервера с проверкой подлинности для подключенной службы взаимодействия с пользователем и телеметрии.

    Установите для этого параметра значение Включено и выберите пункт Отключить использование прокси с проверкой подлинности.

    Область состояния параметра1 групповой политики

  • Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка подключенных пользовательских возможностей и телеметрии:

    Настройка прокси-сервера.

    Область состояния параметра2 групповой политики

Групповая политика Раздел реестра Запись реестра Значение
Настройка использования проверенного прокси-сервера для подключенного пользователя и службы телеметрии HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Настройка телеметрии и функциональных возможностей подключенных пользователей HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Например: 10.0.0.6:8080 (REG_SZ)

Примечание.

Если параметр TelemetryProxyServer используется на устройствах, которые в противном случае полностью отключены, то есть операционная система не может подключиться для списка отзыва сертификатов в сети или клиентский компонент Центра обновления Windows, рекомендуется добавить дополнительный параметр PreferStaticProxyForHttpRequest реестра со значением 1.
Расположение родительского пути реестра для PreferStaticProxyForHttpRequest — HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Для вставки значения реестра в правильное расположение можно использовать следующую команду:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Указанное выше значение реестра применимо только начиная с MsSense.exe версии 10.8210.* и более поздних версий или версии 10.8049.* и более поздних версий.

Настройка статического прокси-сервера для антивирусной программы в Microsoft Defender

Облачная защита антивирусной программы Microsoft Defender обеспечивает практически мгновенную автоматическую защиту от новых и возникающих угроз. Обратите внимание, что соединение требуется для настраиваемых индикаторов, когда антивирусная программа Defender является активным решением для защиты от вредоносных программ. EDR в режиме блокировки имеет основное решение для защиты от вредоносных программ при использовании решения, отличного от Майкрософт.

Настройте статический прокси-сервер с помощью групповой политики, доступной в административных шаблонах:

  1. Административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная программа > Определите прокси-сервер для подключения к сети.

  2. Установите для него значение Включен и определите прокси-сервер. Обратите внимание, что URL-адрес должен быть http:// или https://. Поддерживаемые версии для https:// см. в статье Управление обновлениями антивирусной программы Microsoft Defender.

    Прокси-сервер для антивирусной программы в Microsoft Defender

  3. В разделе реестра ключа HKLM\Software\Policies\Microsoft\Windows Defender политика устанавливает значение реестра ProxyServer как REG_SZ.

    Значение реестра ProxyServer принимает следующий формат строки:

    <server name or ip>:<port>
    
    For example: http://10.0.0.6:8080
    

Примечание.

В целях обеспечения устойчивости и защиты в режиме реального времени антивирусная программа Microsoft Defender будет кэшировать последний известный работающий прокси-сервер. Убедитесь, что прокси-решение не выполняет проверку SSL. Это нарушит безопасное облачное соединение.

Антивирусная программа Microsoft Defender не будет использовать статический прокси-сервер для подключения к Центру обновления Windows или Центру обновления Майкрософт для загрузки обновлений. Вместо этого она будет использовать общесистемный прокси-сервер, если он настроен на использование Центра обновления Windows, или настроенный внутренний источник обновлений в соответствии с настроенным резервным порядком.

При необходимости можно использовать административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная > программа Определение автоматической конфигурации прокси-сервера (PAC) для подключения к сети. Если вам нужно настроить дополнительные конфигурации с несколькими прокси-серверами, используйте административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная > программа Определите адреса, чтобы обойти прокси-сервер и запретить Microsoft Defender антивирусной программе использовать прокси-сервер для этих назначений.

Для настройки этих параметров можно использовать PowerShell с cmdlet Set-MpPreference:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Примечание.

Чтобы правильно использовать прокси-сервер, настройте три разных параметра прокси-сервера:

  • Microsoft Defender для конечной точки (MDE)
  • Антивирусная программа
  • Обнаружение и нейтрализация атак на конечные точки (EDR)

Настройка прокси-сервера вручную с помощью команды netsh

Используйте команду netsh для настройки статического прокси на уровне системы.

Примечание.

  • Это повлияет на все приложения, в том числе службы Windows, которые используют WinHTTP с прокси по умолчанию.
  1. Откройте командную строку с повышенными правами:

    1. В меню Пуск введите cmd.
    2. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
  2. Введите следующую команду и нажмите клавишу ВВОД:

    netsh winhttp set proxy <proxy>:<port>
    

    Пример: netsh winhttp set proxy 10.0.0.6:8080

Чтобы сбросить прокси winhttp, введите следующую команду и нажмите клавишу ВВОД:

netsh winhttp reset proxy

Дополнительные сведения см. в статье Синтаксис команд, контексты и форматирование Netsh.

Включить доступ к URL-адресам службы Microsoft Defender для конечной точки на прокси-сервере

Если прокси-сервер или брандмауэр блокирует весь трафик по умолчанию и пропускает только определенные домены, добавьте домены, перечисленные в загружаемой электронной таблице, в список разрешенных доменов.

Следующая загружаемая электронная таблица содержит список служб и связанных с ними URL-адресов, которые должны быть доступны вашей сети для подключения. Убедитесь в отсутствии правил брандмауэра или фильтрации сети, запрещающих доступ для этих URL-адресов. Возможно, может потребоваться создать правило разрешить специально для них.


Таблица списка доменов Описание
Список URL-адресов Microsoft Defender для конечной точки для коммерческих клиентов Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для коммерческих клиентов.

Скачайте таблицу здесь.

Обратите внимание, что Microsoft Defender для конечной точки план 1 и план 2 используют одни и те же URL-адреса прокси-службы.

Список URL-адресов Microsoft Defender для конечной точки для Gov/GCC/DoD Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для клиентов Gov/GCC/DoD.

Скачайте таблицу здесь.

Если на прокси-сервере или брандмауэре включено сканирование HTTPS (проверка SSL), исключите домены, перечисленные в приведенной выше таблице, из сканирования HTTPS. В брандмауэре откройте все URL-адреса, для которых значение столбца географии — WW. Для строк, в которых значение столбца географии не WW, откройте URL-адреса для конкретного расположения данных. Чтобы проверить параметр расположения данных, см. статью Проверка места хранения данных и обновление параметров хранения данных для Microsoft Defender для конечной точки.. Не исключайте URL-адрес *.blob.core.windows.net из любой проверки сети.

Примечание.

Для устройств с Windows под управлением версии 1803 или более ранней требуется settings-win.data.microsoft.com.

URL-адреса, содержащие v20, необходимы только в том случае, если у вас есть устройства Windows версии 1803 или более поздней. Например, us-v20.events.data.microsoft.com требуется для устройства с Windows версии 1803 или более поздней и подключенных в регионе хранилища данных США.

Если прокси-сервер или брандмауэр блокирует анонимный трафик как датчик Defender для конечной точки, и подключается из системного контекста, убедитесь, что анонимный трафик разрешен в ранее перечисленных URL-адресах.

Примечание.

Корпорация Майкрософт не предоставляет прокси-сервер. Эти URL-адреса доступны через настроенный прокси-сервер.

Microsoft Monitoring Agent (MMA) — требования к прокси-серверу и брандмауэру для более старых версий клиента Windows или Windows Server

Информация в списке сведений о конфигурации прокси-сервера и брандмауэра требуется для связи с агентом Log Analytics (часто называемым агентом мониторинга Майкрософт) для предыдущих версий Windows, таких как Windows 7 SP1, Windows 8.1 и Windows Server 2008 R2*.



Ресурсы агентов Порты Направление Обход проверки HTTP
*.ods.opinsights.azure.com Порт 443 Исходящий Да
*.oms.opinsights.azure.com Порт 443 Исходящий Да
*.blob.core.windows.net Порт 443 Исходящий Да
*.azure-automation.net Порт 443 Исходящий Да

Примечание.

*Эти требования к соединению применяются к предыдущей версии Microsoft Defender для конечной точки Windows Server 2016 и Windows Server 2012 R2, для которой требуется MMA. Инструкции по подключению этих операционных систем с помощью нового единого решения см. в статье Подключение серверов Windows, а для перехода на новое единое решение в статье Сценарии миграции серверов в Microsoft Defender для конечной точки.

Примечание.

В качестве облачного решения диапазон IP-адресов может изменяться. Рекомендуется перейти к параметру разрешения DNS.

Подтверждение требований к URL-адресу службы агента мониторинга Майкрософт (MMA)

См. следующие инструкции по устранению требования к подстановочным знакам (*) для конкретной среды при использовании агента мониторинга Майкрософт (MMA) для предыдущих версий Windows.

  1. Подключите предыдущую операционную систему с агентом мониторинг Майкрософт (MMA) к Defender для конечной точки (дополнительные сведения см. в статье Подключение предыдущих версий Windows в Defender для конечных точек и Подключение серверов Windows).

  2. Убедитесь, что компьютер успешно передает отчеты на портал Microsoft 365 Defender.

  3. Запустите средство TestCloudConnection.exe из папки "C:\Program Files\Microsoft Monitoring Agent\Agent", чтобы проверить соединение и получить необходимые URL-адреса для конкретной рабочей области.

  4. Полный список требований для вашего региона см. в списке URL-адресов конечных точек Microsoft Defender (см. Электронную таблицу URL-адресов служб).

    Это powershell администратора.

Подстановочные знаки (*), используемые в конечных точках URL-адресов *.ods.opinsights.azure.com, *.oms.opinsights.azure.com и *.agentsvc.azure-automation.net, можно заменить определенным идентификатором рабочей области. ИД рабочей области зависит от вашей среды и рабочей области. Его можно найти в разделе "Подключение" вашего клиента на портале Microsoft 365 Defender.

Конечную точку URL-адреса *.blob.core.windows.net можно заменить URL-адресами, указанными в разделе "Правило брандмауэра: *.blob.core.windows.net" результатов теста.

Примечание.

В случае подключения через Microsoft Defender для облака можно использовать несколько рабочих областей. Вам потребуется выполнить процедуру TestCloudConnection.exe на подключенном компьютере из каждой рабочей области (чтобы определить, есть ли какие-либо изменения в URL-адресах *.blob.core.windows.net между рабочими областями).

Проверка соединения клиента с URL-адресами службы Microsoft Defender для конечной точки

Убедитесь, что конфигурация прокси-сервера успешно завершена. Затем WinHTTP может обнаруживать и взаимодействовать через прокси-сервер в вашей среде, а затем прокси-сервер разрешит трафик к URL-адресам службы Defender для конечных точек.

  1. Загрузите средство анализатора клиента Microsoft Defender для конечной точки на компьютер, на котором работает датчик Defender для конечной точки. Для серверов более поздней версии используйте последнюю предварительную версию, доступную для скачивания Бета-версии средства анализатора клиента Microsoft Defender для конечной точки.

  2. Извлеките содержимое MDEClientAnalyzer.zip на устройство.

  3. Откройте командную строку с повышенными правами:

    1. В меню Пуск введите cmd.
    2. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
  4. Введите следующую команду и нажмите клавишу ВВОД:

    HardDrivePath\MDEClientAnalyzer.cmd
    

    Замените HardDrivePath путем, по которому было загружено средство MDEClientAnalyzer. Например:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. Средство создает и извлекает файл MDEClientAnalyzerResult.zip в папку для использования в HardDrivePath.

  6. Откройте MDEClientAnalyzerResult.txt и убедитесь в том, что вы выполнили действия по настройке прокси-сервера, чтобы включить обнаружение сервера и доступ к URL-адресам службы.

    Средство проверяет соединение URL-адресов службы Defender для конечной точки. Убедитесь, что клиент Defender для конечной точки настроен для взаимодействия. Средство выводит результаты в файл MDEClientAnalyzerResult.txt для каждого URL-адреса, который потенциально можно использоваться для общения с Defender для служб конечных точек. Например:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

Если один из вариантов подключения возвращает состояние (200), то клиент Defender для конечной точки может правильно взаимодействовать с проверенным URL-адресом, используя этот метод подключения.

Однако, если результаты проверки подключения указывают на сбой, отображается ошибка HTTP (см. Коды состояния HTTP). Затем вы можете использовать URL-адреса в таблице, приведенной в статье Разрешение доступа к URL-адресам службы Defender для конечной точки на прокси-сервере. Доступные для использования URL-адреса будут зависеть от региона, выбранного во время процедуры подключения.

Примечание.

Проверки соединения с облаком с помощью средства анализатора соединения несовместимы с правилом сокращения направлений атак Блокировать создание процессов из команд PSExec и WMI. Необходимо временно отключить это правило, чтобы запустить средство подключения. Кроме того, при запуске анализатора можно временно добавить исключения ASR.

Если задано значение TelemetryProxyServer, в реестре или с помощью групповой политики, Defender для конечной точки вернется, если не сможет получить доступ к определенному прокси.