設定裝置 Proxy 和網際網路連線設定

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

重要事項

不支援針對僅限 IPv6 流量設定的裝置。

適用于端點的 Defender 感應器需要 Microsoft Windows HTTP (WinHTTP) 來報告感應器資料,並與適用于端點的 Defender 服務通訊。 適用于端點的內嵌 Defender 感應器會使用 LocalSystem 帳戶在系統內容中執行。

提示

對於使用正向 Proxy 作為網際網路閘道的組織,您可以使用網路保護來調查向前 Proxy 後方發生的線上活動

WinHTTP 組態設定與 Windows Internet (WinINet) 流覽 Proxy 設定無關, (參閱 WinINet 與 WinHTTP) 。 它只能使用下列探索方法來探索 Proxy 伺服器:

  • 自動探索方法:

  • 手動靜態 Proxy 組態:

    • 基於登錄的設定

    • 使用 netsh 命令設定的 WinHTTP:僅適用于穩定拓撲中的桌面 (例如:公司網路中位於相同 Proxy 後方的桌面)

注意事項

您可以獨立設定 Defender 防毒軟體和 EDR Proxy。 在後續各節中,請留意這些差異。

使用基於登錄的靜態 Proxy 手動設定 Proxy 伺服器

設定適用于端點的 Defender 偵測和回應的登錄式靜態 Proxy (EDR) 感應器,以報告診斷資料,並在電腦不允許連線到網際網路時與適用于端點的 Defender 服務通訊。

注意事項

在 Windows 10、Windows 11、Windows Server 2019 或 Windows Server 2022 上使用此選項時,建議您在組建和累積更新彙總套件) 使用下列 (或更新版本:

這些更新可改善 CnC (Command and Control) 通道的連線能力和可靠性。

靜態 Proxy 可透過群組原則 (GP) 來設定,群組原則值下的兩個設定都應該設定為 Proxy 伺服器以使用 EDR。 群組原則可在系統管理範本中取得。

  • 系統管理模 > 板Windows 元件 > 資料收集和預覽組建 > 設定已連線使用者體驗和遙測服務的已驗證 Proxy 使用方式

    將它設定為 [已啟用 ],然後選取 [ 停用已驗證的 Proxy 使用方式]

    群組原則設定 1 狀態窗格

  • 系統管理模 > 板Windows 元件 > 資料收集和預覽組建 > 設定連線的使用者體驗和遙測

    設定 Proxy。

    [群組原則設定 2 狀態] 窗格

群組原則 登錄機碼 登錄專案
設定已連線使用者體驗和遙測服務的已驗證 Proxy 使用方式 HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
設定連線的使用者體驗和遙測 HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

例如: 10.0.0.6:8080 (REG_SZ)

注意事項

如果您在完全離線的裝置上使用 'TelemetryProxyServer' 設定,這表示作業系統無法連線到線上憑證撤銷清單或Windows Update,則必須新增值為 的其他 1 登錄設定 PreferStaticProxyForHttpRequest
「PreferStaticProxyForHttpRequest」 的父登錄路徑位置為 「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection」
下列命令可用來將登錄值插入正確的位置:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
上述登錄值僅適用于從 MsSense.exe 10.8210.* 版和更新版本,或版本 10.8049.* 和更新版本開始。

設定 Microsoft Defender 防毒軟體的靜態 Proxy

Microsoft Defender防毒軟體雲端式保護提供近乎即時的自動化保護,以抵禦新的和新興的威脅。 請注意,當 Defender 防毒軟體是作用中的反惡意程式碼解決方案時, 自訂指標 需要連線能力。 針對 封鎖模式中的 EDR ,在使用非 Microsoft 解決方案時,有主要的反惡意程式碼解決方案。

使用 [系統管理範本] 中提供的群組原則來設定靜態 Proxy:

  1. 系統管理模 > 板Windows 元件 > Microsoft Defender防毒軟體 > 定義要連線到網路的 Proxy 伺服器

  2. 將它設定為 [已啟用 ],並定義 Proxy 伺服器。 請注意,URL 必須具有 HTTP:// 或 HTTPs://。 如需 HTTPs:// 的支援版本,請參閱管理Microsoft Defender防病毒軟體更新

    Microsoft Defender防毒軟體的 Proxy 伺服器

  3. 在登錄機碼 HKLM\Software\Policies\Microsoft\Windows Defender 底下,原則會將登錄值 ProxyServer 設定為 REG_SZ。

    登錄值 ProxyServer 採用下列字串格式:

    <server name or ip>:<port>

For example: http://10.0.0.6:8080

注意事項

如果您在其他完全離線的裝置上使用靜態 Proxy 設定,表示作業系統無法連線到線上憑證撤銷清單或Windows Update,則必須新增 dword 值為 0 的其他登錄設定 SSLOptions。 「SSLOptions」 的父登錄路徑位置為 「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet」

基於復原目的和雲端式保護的即時本質,Microsoft Defender防毒軟體會快取最後一個已知的工作 Proxy。 請確定您的 Proxy 解決方案不會執行 SSL 檢查。 這會中斷安全的雲端連線。

Microsoft Defender防毒軟體將不會使用靜態 Proxy 連線到 Windows Update 或 Microsoft Update 以下載更新。 相反地,如果設定為使用Windows Update,則會使用全系統的 Proxy,或根據設定的後援順序設定的內部更新來源。

如有需要,您可以使用系統管理範本 > Windows 元件 > Microsoft Defender防毒軟體 > 定義 proxy 自動設定 (.pac) 來連線到網路。 如果您需要設定具有多個 Proxy 的進階組態,請使用系統管理模 > 板 Windows 元件 > Microsoft Defender防毒軟體 > 定義位址來略過 Proxy 伺服器,並防止Microsoft Defender防毒軟體針對這些目的地使用 Proxy 伺服器。

您可以使用 PowerShell 搭配 Set-MpPreference Cmdlet 來設定這些選項:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

注意事項

若要正確使用 Proxy,請設定這三個不同的 Proxy 設定:

  • 適用於端點的 Microsoft Defender (MDE)
  • 防毒軟體 ()
  • 端點偵測和回應 (EDR)

使用 netsh 命令手動設定 Proxy 伺服器

使用 netsh 設定全系統的靜態 Proxy。

注意事項

  • 這將影響所有應用程式,包括使用帶預設 Proxy 之 WinHTTP 的 Windows 服務。

  1. 開啟提高權限的命令列:

    1. 轉至 [開始] 並鍵入「cmd」
    2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]

  2. 輸入以下命令,再按 Enter

    netsh winhttp set proxy <proxy>:<port>

    例如:netsh winhttp set proxy 10.0.0.6:8080

要重設 winhttpProxy,請輸入以下命令並按 Enter 鍵:

netsh winhttp reset proxy

若要瞭解詳細資訊。,請參見 Netsh 命令語法、上下文和格式

啟用存取 Proxy 伺服器中適用於端點的 Microsoft Defender服務 URL

根據預設,如果 Proxy 或防火牆預設封鎖所有流量,且只允許特定網域,則將可下載工作表中列出的網域新增至允許的網域清單。

下列可下載的試算表列出您的網路必須能夠連線的服務及其相關聯的 URL。 請確定沒有防火牆或網路篩選規則可拒絕這些 URL 的存取。 選擇性,您可能需要特別為其建立 允許 規則。


網域清單試算表 描述
適用於端點的 Microsoft Defender商業客戶的 URL 清單 特定 DNS 記錄的試算表,適用于商業客戶的服務位置、地理位置和 OS。

在這裡下載試算表。

請注意,適用於端點的 Microsoft Defender方案 1 和方案 2 共用相同的 Proxy 服務 URL。
適用於端點的 Microsoft Defender/GCC/DoD 的 URL 清單 適用于 Gov/GCC/DoD 客戶的服務位置、地理位置和 OS 的特定 DNS 記錄試算表。

在這裡下載試算表。

如果 Proxy 或防火牆啟用了 HTTPS 掃描 (SSL 檢查),則從 HTTPS 掃描中排除上表中列出的網域。 在防火牆中,開啟 geography 資料行為 WW 的所有 URL。 對於 geography 資料行不是 WW 的資料列,請開啟特定資料位置的 URL。 若要確認您的資料位置設定,請參閱驗證資料儲存位置並更新適用於端點的 Microsoft Defender的資料保留設定。 請勿將 URL *.blob.core.windows.net 從任何類型的網路檢查中排除。

注意事項

執行 1803 版或更舊版本的 Windows 裝置需要 settings-win.data.microsoft.com

只有當您有執行 1803 版或更新版本的 Windows 裝置時,才需要包含 v20 的 URL。 例如, us-v20.events.data.microsoft.com 執行 1803 版或更新版本並上線至美國資料儲存體區域的 Windows 裝置需要 。

如果 Proxy 或防火牆封鎖來自適用于端點的 Defender 感應器的匿名流量,而且它是從系統內容連線,請務必確定您 Proxy 或防火牆中允許匿名流量使用先前列出的 URL。

注意事項

Microsoft 不提供 Proxy 伺服器。 這些 URL 可透過您設定的 Proxy 伺服器來存取。

Microsoft Monitoring Agent (MMA) - 舊版 Windows 用戶端或 Windows Server 的 Proxy 和防火牆需求

必須要有 Proxy 和防火牆組態資訊清單中的資訊,才能與 Log Analytics 代理程式通訊, (通常稱為舊版 Windows 的 Microsoft Monitoring Agent) ,例如 Windows 7 SP1、Windows 8.1 和 Windows Server 2008 R2*。


代理程式資源 連接埠 方向 略過 HTTPS 檢查
*.ods.opinsights.azure.com 連接埠 443 出埠
*.oms.opinsights.azure.com 連接埠 443 出埠
*.blob.core.windows.net 連接埠 443 出埠
*.azure-automation.net 連接埠 443 出埠

注意事項

*這些連線需求適用于先前的Windows Server 2016適用於端點的 Microsoft Defender,以及需要 MMA 的 Windows Server 2012 R2。 使用新的整合解決方案將這些作業系統上線的指示位於將Windows 伺服器上線,或在適用於端點的 Microsoft Defender 的伺服器移轉案例中移轉至新的整合解決方案。

注意事項

作為雲端式解決方案,IP 範圍可能會變更。 建議您移至 DNS 解析設定。

確認 Microsoft Monitoring Agent (MMA) 服務 URL 需求

請參閱下列指引,以在使用舊版 Windows 的 Microsoft Monitoring Agent (MMA) 時,消除特定環境的萬用字元 (*) 需求。

  1. 使用 Microsoft Monitoring Agent (MMA 將先前的作業系統上線) 至適用于端點的 Defender (,如需詳細資訊,請參閱在適用于 端點的 Defender 上將舊版 Windows 上線,並將 Windows 伺服器 上線) 。

  2. 確定電腦已成功向Microsoft 365 Defender入口網站回報。

  3. 從 「C:\Program Files\Microsoft Monitoring Agent\Agent」 執行TestCloudConnection.exe工具來驗證連線能力,以及取得特定工作區所需的 URL。

  4. 請查看適用於端點的 Microsoft Defender URL 清單,以取得您區域需求的完整清單 (請參閱服務 URL試算表) 。

    這是系統管理員 PowerShell。

在 *.ods.opinsights.azure.com、*.oms.opinsights.azure.com 和 *.agentsvc.azure-automation.net URL 端點中使用的萬用字元 (*) 可以取代為您的特定工作區識別碼。 工作區識別碼專屬於您的環境和工作區。 您可以在租使用者的 [上線] 區段中找到Microsoft 365 Defender入口網站。

*.blob.core.windows.net URL 端點可以取代為測試結果的 [防火牆規則: *.blob.core.windows.net] 區段中顯示的 URL。

注意事項

若要透過雲端Microsoft Defender上線,可以使用多個工作區。 您必須在每個工作區 (的上線電腦上執行TestCloudConnection.exe程式,以判斷工作區) 之間的 *.blob.core.windows.net URL 是否有任何變更。

確認用戶端連線至適用於端點的 Microsoft Defender服務 URL

確認 Proxy 設定已順利完成。 然後,WinHTTP 可以探索並透過您環境中的 Proxy 伺服器進行通訊,然後 Proxy 伺服器會允許流向適用于端點的 Defender 服務 URL 的流量。

  1. 適用於端點的 Microsoft Defender用戶端分析器工具下載到執行適用于端點的 Defender 感應器所在的電腦。 針對舊版伺服器,請使用最新的預覽版本來下載適用於端點的 Microsoft Defender用戶端分析器工具 Beta

  2. 擷取裝置上MDEClientAnalyzer.zip的內容。

  3. 開啟提高權限的命令列:

    1. 轉至 [開始] 並鍵入「cmd」
    2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]

  4. 輸入以下命令,再按 Enter

    HardDrivePath\MDEClientAnalyzer.cmd

    HardDrivePath 取代為下載 MDEClientAnalyzer 工具的路徑。 例如:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

  5. 此工具會建立並擷取資料夾中要在HardDrivePath中使用的MDEClientAnalyzerResult.zip檔。

  6. 啟MDEClientAnalyzerResult.txt ,並確認您已執行 Proxy 設定步驟,以啟用伺服器探索和存取服務 URL。

    此工具會檢查適用于端點的 Defender 服務 URL 的連線能力。 確定適用于端點的 Defender 用戶端已設定為互動。 此工具會針對每個可能用來與適用于端點的 Defender 服務通訊的 URL,將結果列印在 MDEClientAnalyzerResult.txt 檔案中。 例如:

    Testing URL : https://xxx.microsoft.com/xxx
1 - Default proxy: Succeeded (200)
2 - Proxy auto discovery (WPAD): Succeeded (200)
3 - Proxy disabled: Succeeded (200)
4 - Named proxy: Doesn't exist
5 - Command line proxy: Doesn't exist

如果任何一個連線選項傳回 (200) 狀態,則適用于端點的 Defender 用戶端可以使用此連線方法正確地與測試的 URL 通訊。

但是,如果連線檢查結果顯示失敗,則會顯示 HTTP 錯誤 (請參閱 HTTP 狀態碼)。 然後,您可以使用在 Proxy 伺服器中啟用適用于端點的 Defender 服務 URL 存取中所示表格中的 URL。 可用的 URL 將取決於上執行緒序期間選取的區域。

注意事項

連線分析器工具的雲端連線能力檢查與攻擊面縮小規則 封鎖源自 PSExec 和 WMI 命令的進程建立不相容。 您必須暫時停用此規則,才能執行連線工具。 或者,您可以在執行分析器時暫時新增 ASR 排除 專案。

在登錄中或透過 群組原則 設定 TelemetryProxyServer 時,適用于端點的 Defender 會回復,而無法存取定義的 Proxy。