配置端点代理和互联网连接设置

每个 Microsoft Defender for Identity 传感器都要求通过互联网连接到 Defender for Identity 云服务,才能报告传感器数据并成功运行。

在一些组织中,域控制器不直接连接到互联网,而是通过 Web 代理连接进行连接,出于安全原因,不支持 SSL 检查和拦截代理。 在这种情况下,你的代理服务器必须允许数据直接从 Defender for Identity 传感器传递到相关 URL,不得拦截。

重要

Microsoft 不提供代理服务器。 本文章描述了如何确保通过你配置的代理服务器可以访问所需的 URL。

在代理服务器中启用对 Defender for Identity 服务 URL 的访问权限

为了确保安全性和数据隐私最大化,Defender for Identity 在每个 Defender for Identity 传感器和 Defender for Identity 云后端之间使用了基于证书的相互身份验证。 不支持 SSL 检查和拦截,因为它们会干扰身份验证流程。

要启用对 Defender for Identity 的访问,请确保使用以下语法允许流量到达传感器 URL:<your-workspace-name>sensorapi.atp.azure.com。 例如,contoso-corpsensorapi.atp.azure.com

  • 如果你的代理或防火墙使用显式允许列表,我们还建议确保允许以下 URL:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • 有时,Defender for Identity 服务的 IP 地址可能会更改。 如果你手动配置 IP 地址,或者如果你的代理会自动将 DNS 名称解析为其 IP 地址并使用它们,我们建议你定期检查配置的 IP 地址是否仍然最新。

  • 如果你以前使用旧的选项(包含 WiniNet 或注册表项更新)配置过代理,则进行任何更改都需要使用最初使用的方法。 有关详细信息,请参阅使用旧方法更改代理配置

使用服务标记启用访问权限

无需手动启用对特定端点的访问权限,而是下载 Azure IP 范围和服务标记 - 公有云,并使用 AzureAdvancedThreatProtection Azure 服务标记中的 IP 地址范围启用对 Defender for Identity 的访问权限。

有关详细信息,请参阅虚拟网络服务标记。 有关美国政府产品/服务,请参阅开始使用美国政府产品/服务

使用 CLI 更改代理配置

先决条件:找到 Microsoft.Tri.Sensor.Deployment.Deployer.exe 文件。 该文件与传感器安装一起放置。 默认情况下,此位置是 C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

更改当前传感器的代理配置

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

完全删除当前传感器的代理配置

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

使用 PowerShell 更改代理配置

先决条件:在运行 Defender for Identity PowerShell 命令之前,请确保已下载 Defender for Identity PowerShell 模块

可以使用 PowerShell 查看和更改传感器的代理配置。 为此,请登录到传感器服务器并运行命令,如以下示例所示:

查看当前传感器的代理配置

Get-MDISensorProxyConfiguration

更改当前传感器的代理配置

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

本示例将 Defender for Identity 传感器的代理配置设置为在没有任何凭据的情况下使用指定的代理服务器。

完全删除当前传感器的代理配置

Clear-MDISensorProxyConfiguration

有关详细信息,请参阅以下 DefenderForIdentity PowerShell 参考

使用旧方法更改代理配置

如果以前通过 WinINet 或注册表项配置了代理设置,并且需要更新,则需要使用最初使用的相同方法。

在安装期间通过命令行配置代理时,确保只有 Defender for Identity 传感器服务通过代理进行通信,同时使用 WinINet 或注册表允许作为本地系统或本地服务在上下文中运行的其他服务也通过代理定向引导流量。

使用 WinINet 配置代理服务器

使用 WinINet 配置代理时,确保嵌入式 Defender for Identity 传感器服务使用 LocalService 帐户在系统上下文中运行,以及 Defender for Identity Sensor 更新程序服务使用 LocalSystem 帐户也在该系统上下文中运行。

  • 如果使用 WinHTTP 进行代理配置,则仍需配置 Windows Internet (WinINet) 浏览器代理设置,以便在传感器与 Defender for Identity 云服务之间进行通信。

  • 如果在网络拓扑中使用透明代理或 WPAD,则无需为代理配置 WinINet。

使用注册表配置代理服务器

本部分介绍了如何使用基于注册表的静态代理手动配置静态代理服务器。

重要

通过注册表配置代理会影响将 WinINet 与 LocalServiceLocalSystem 帐户配合使用的所有应用程序(包括 Windows 服务)。

仅对 LocalServiceLocalSystem 帐户应用注册表更改。

若要配置代理,请将用户上下文中的代理配置复制到 LocalSystemLocalService 帐户,如下所示:

  1. 备份注册表项。

  2. 在注册表中,在 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings 注册表项下以 REG_BINARY 来搜索 DefaultConnectionSettings 值,并将其复制。

  3. 如果 LocalSystem 没有正确的代理设置,请在 HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings 注册表项下,将上述代理设置从 Current_User 复制到 LocalSystem

    请确保将 Current_UserDefaultConnectionSettings 注册表项中的值粘贴为 REG_BINARY

    如果未配置代理设置,或者代理设置与 Current_User 中的设置不同,则可能会出现这种情况。

  4. 如果 LocalService 没有正确的代理设置,请在 HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings 注册表项下,将上述代理设置从 Current_User 复制到 LocalService

    请确保将 Current_UserDefaultConnectionSettings 注册表项中的值粘贴为 REG_BINARY

有关详细信息,请参阅:

下一步