步骤 3:验证客户端与Microsoft Defender for Endpoint服务 URL 的连接

  • 项目

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

检查客户端是否能够使用 Defender for Endpoint 客户端分析器连接到 Defender for Endpoint 服务 URL,以确保终结点能够将遥测数据与服务通信。

有关 Defender for Endpoint 客户端分析器的详细信息,请参阅使用 Microsoft Defender for Endpoint Client Analyzer 排查传感器运行状况问题。

注意

可以在载入之前和加入后在设备上运行 Defender for Endpoint 客户端分析器。

  • 在载入到 Defender for Endpoint 的设备上进行测试时,该工具将使用载入参数。
  • 在尚未载入到 Defender for Endpoint 的设备上进行测试时,该工具将使用美国、英国和欧盟的默认值。

注意

(适用于公共预览版)
对于简化的载入公共预览版,在尚未载入到 Defender for Endpoint 的设备上测试连接时,使用 -o <path to MDE onboarding package >运行 mdeclientanalyzer.cmd 。 该命令将使用载入脚本中的地理参数来测试连接性。 否则,默认的预载入测试针对标准 URL 集运行。 有关更多详细信息,请参阅以下部分。

验证代理配置是否已成功完成。 然后,WinHTTP 可以通过环境中的代理服务器发现和通信,然后代理服务器将允许流量发送到 Defender for Endpoint 服务 URL。

  1. 下载运行 Defender for Endpoint 传感器的 Microsoft Defender for Endpoint 客户端分析器工具

  2. 提取设备上 MDEClientAnalyzer.zip 的内容。

  3. 打开提升的命令行:

    1. 转到“开始”并键入“cmd”。
    2. 右键单击“命令提示符”,然后选择“以管理员身份运行”。

  4. 输入以下命令,再按 Enter

    HardDrivePath\MDEClientAnalyzer.cmd

    HardDrivePath 替换为下载 MDEClientAnalyzer 工具的路径。 例如:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

  5. 该工具在 文件夹中创建并提取 MDEClientAnalyzerResult.zip 文件,以在 HardDrivePath 中使用

  6. 打开 MDEClientAnalyzerResult.txt 并验证是否已执行代理配置步骤,以启用服务器发现和访问服务 URL。

    该工具检查 Defender for Endpoint 服务 URL 的连接。 确保 Defender for Endpoint 客户端配置为交互。 该工具在 MDEClientAnalyzerResult.txt 文件中输出每个 URL 的结果,这些 URL 可能用于与 Defender for Endpoint 服务通信。 例如:

    Testing URL : https://xxx.microsoft.com/xxx
1 - Default proxy: Succeeded (200)
2 - Proxy auto discovery (WPAD): Succeeded (200)
3 - Proxy disabled: Succeeded (200)
4 - Named proxy: Doesn't exist
5 - Command line proxy: Doesn't exist

如果任一连接选项返回 (200) 状态,则 Defender for Endpoint 客户端可以使用此连接方法与测试的 URL 正确通信。

但是,如果连接检查结果显示失败,则会显示 HTTP 错误(请参阅 HTTP 状态代码)。 然后,可以使用在 代理服务器中启用对 Defender for Endpoint 服务 URL 的访问中显示的表中的 URL。 可用的 URL 取决于在载入过程中选择的区域。

注意

连接分析器工具的云连接性检查与攻击面减少规则 阻止源自 PSExec 和 WMI 命令的进程创建不兼容。 需要暂时禁用此规则才能运行连接工具。 或者,可以在运行分析器时暂时添加 ASR 排除 项。

在注册表中或通过 组策略 设置 TelemetryProxyServer 时,Defender for Endpoint 将回退,无法访问定义的代理。

(公共预览版) 测试与简化的载入方法的连接

如果在尚未使用简化方法载入 Defender for Endpoint 的设备上测试连接, (与新设备和迁移设备) 相关:

  1. 下载适用于相关 OS 的简化载入包。

  2. 从载入包中提取.cmd。

  3. 按照上一部分中的说明下载客户端分析器。

  4. 从 MDEClientAnalyzer 文件夹中运行 mdeclientanalyzer.cmd -o <path to onboarding cmd file> 。 该命令使用载入脚本中的地理参数来测试连接性。

如果使用简化的载入包在载入到 Defender for Endpoint 的设备上测试连接性,请像平时一样运行 Defender for Endpoint 客户端分析器。 该工具使用配置的载入参数来测试连接性。

有关如何访问简化的载入脚本的详细信息,请参阅 使用简化的设备连接载入设备

后续步骤

载入 Windows 客户端载入 Windows Server载入非 Windows 设备