KROK 2: Konfigurace zařízení pro připojení ke službě Defender for Endpoint pomocí proxy serveru
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Důležité
Zařízení, která jsou nakonfigurovaná pro přenosy pouze protokolu IPv6, se nepodporují.
V závislosti na operačním systému je možné proxy server, který se má použít pro Microsoft Defender for Endpoint, nakonfigurovat automaticky, obvykle pomocí automatické konfigurace nebo souboru automatické konfigurace nebo staticky specifické pro služby Defender for Endpoint spuštěné na zařízení.
- Informace o zařízeních s Windows najdete v tématu Konfigurace nastavení proxy serveru zařízení a připojení k internetu (tento článek).
- Informace o zařízeních s Linuxem najdete v tématu Konfigurace Microsoft Defender for Endpoint v Linuxu pro zjišťování statického proxy serveru.
- Informace o zařízeních s macOS najdete v tématu Microsoft Defender for Endpoint na Macu.
Senzor Defenderu for Endpoint vyžaduje k hlášení dat ze snímačů a komunikaci se službou Defender for Endpoint protokol HTTP (WinHTTP). Vložený senzor Defenderu for Endpoint běží v kontextu systému pomocí účtu LocalSystem.
Tip
V organizacích, které používají předávací proxy servery jako bránu k internetu, můžete použít ochranu sítě k prozkoumání událostí připojení, ke kterým dochází za dopředné proxy servery.
Nastavení konfigurace WinHTTP je nezávislé na nastavení procházení proxy serveru Windows Internet (WinINet) (viz WinINet vs. WinHTTP). Proxy server může zjistit pouze pomocí následujících metod zjišťování:
Metody automatické konfigurace:
Transparentní proxy server
Protokol WPAD (Web Proxy Auto-Discovery Protocol)
Poznámka
Pokud v síťové topologii používáte transparentní proxy server nebo WPAD, nepotřebujete speciální nastavení konfigurace.
Ruční konfigurace statického proxy serveru:
Konfigurace založená na registru
WinHTTP nakonfigurované pomocí příkazu netsh: Vhodné pouze pro stolní počítače ve stabilní topologii (například desktop v podnikové síti za stejným proxy serverem).
Poznámka
Antivirový program Defender a proxy servery EDR je možné nastavit nezávisle na sobě. V následujících částech mějte na paměti tyto rozdíly.
Ruční konfigurace proxy serveru pomocí nastavení statického proxy serveru založeného na registru
Nakonfigurujte statický proxy server založený na registru pro senzor detekce a odezvy defenderu for Endpoint (EDR) tak, aby hlásil diagnostická data a komunikoval se službami Defender for Endpoint, pokud počítač nemá povolené přímé připojení k internetu.
Poznámka
Vždy se ujistěte, že používáte nejnovější aktualizace, abyste zajistili úspěšné připojení ke službám Defenderu for Endpoint.
Nastavení statického proxy serveru je možné konfigurovat prostřednictvím zásad skupiny (GP). Obě nastavení by měla být nakonfigurovaná v rámci hodnot zásad skupiny. Zásady skupiny jsou k dispozici v šablonách pro správu.
Šablony pro správu > Shromažďování dat součástí > Systému Windows a buildy > Verze Preview Nakonfigurujte ověřené využití proxy serveru pro službu propojeného uživatelského prostředí a telemetrie.
Nastavte ho na Povoleno a vyberte Zakázat ověřené využití proxy serveru.
Šablony pro správu > Shromažďování dat součástí > Systému Windows a buildy > Preview Konfigurace propojených uživatelských prostředí a telemetrie:
Zadejte informace o proxy serveru.
| Zásady skupiny | Klíč registru | Položka registru | Hodnota |
|---|---|---|---|
| Konfigurace ověřeného využití proxy serveru pro propojené uživatelské prostředí a službu telemetrie | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| Konfigurace propojených uživatelských prostředí a telemetrie | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Příklad: 10.0.0.6:8080 (REG_SZ) |
Poznámka
Pokud používáte nastavení TelemetryProxyServer na zařízeních, která jsou jinak zcela offline, což znamená, že operační systém se nemůže připojit pro online seznam odvolaných certifikátů nebo služba Windows Update, je nutné přidat další nastavení PreferStaticProxyForHttpRequest registru s hodnotou 1.
Umístění cesty nadřazeného registru pro PreferStaticProxyForHttpRequest je "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
K vložení hodnoty registru do správného umístění můžete použít následující příkaz:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Výše uvedená hodnota registru je použitelná pouze od MsSense.exe verze 10.8210.* a novější nebo verze 10.8049.* a novější.
Konfigurace statického proxy serveru pro Microsoft Defender Antivirus
cloudová ochrana Microsoft Defender Antivirus poskytuje téměř okamžitou automatizovanou ochranu před novými a vznikajícími hrozbami. Mějte na paměti, že připojení je vyžadováno pro vlastní indikátory , když antivirová ochrana v programu Defender je aktivním antimalwarovým řešením a také EDR v režimu blokování , který poskytuje náhradní možnost, když řešení od jiné společnosti než Microsoft neprovedlo blokování.
Nakonfigurujte statický proxy server pomocí Zásady skupiny dostupných v šablonách pro správu:
Šablony pro správu > Součásti systému > Windows Microsoft Defender Antivirus>: Definujte proxy server pro připojení k síti.
Nastavte ho na Povoleno a definujte proxy server. Poznámka: Adresa URL musí mít buď http://, nebo https://. Podporované verze https:// najdete v tématu Správa aktualizací Microsoft Defender Antivirové ochrany.
V rámci klíče
HKLM\Software\Policies\Microsoft\Windows Defenderregistru zásady nastaví hodnotuProxyServerregistru na REG_SZ.Hodnota
ProxyServerregistru má následující formát řetězce:<server name or ip>:<port>Například: http://10.0.0.6:8080
Poznámka
Pokud používáte nastavení statického proxy serveru na zařízeních, která jsou jinak zcela offline, což znamená, že operační systém se nemůže připojit pro online seznam odvolaných certifikátů nebo služba Windows Update, je nutné přidat další nastavení registru SSLOptions s hodnotou dword 0. Umístění cesty nadřazeného registru pro SSLOptions je "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Pro účely odolnosti a povahu cloudové ochrany v reálném čase bude Microsoft Defender Antivirus ukládat poslední známý funkční proxy server do mezipaměti. Ujistěte se, že vaše řešení proxy neprovádí kontrolu SSL. Tím dojde k přerušení zabezpečeného cloudového připojení.
Microsoft Defender Antivirus nebude používat statický proxy server pro připojení ke službě služba Windows Update nebo službě Microsoft Update pro stahování aktualizací. Místo toho bude používat proxy server pro celý systém, pokud je nakonfigurovaný tak, aby používal služba Windows Update, nebo nakonfigurovaný interní zdroj aktualizací podle nakonfigurovaného pořadí náhradních aktualizací.
V případě potřeby můžete pro připojení k síti použít Šablony > pro správu Součásti > systému Windows Microsoft Defender Antivirus > Definovat automatickou konfiguraci proxy serveru (.pac). Pokud potřebujete nastavit pokročilé konfigurace s více proxy servery, použijte Šablony > pro správu Součásti > systému Windows Microsoft Defender Antivirus > Definovat adresy, pokud chcete obejít proxy server a zabránit Microsoft Defender Antivirové ochraně v používání proxy serveru pro tyto cíle.
Pomocí PowerShellu s rutinou Set-MpPreference můžete nakonfigurovat tyto možnosti:
- ProxyBypass
- ProxyPacUrl
- Proxy Server
Poznámka
Pokud chcete proxy server používat správně, nakonfigurujte tato tři různá nastavení proxy serveru:
- Microsoft Defender for Endpoint (MDE)
- AV (Antivirus)
- Detekce a odezva koncového bodu (EDR)
Ruční konfigurace proxy serveru pomocí příkazu netsh
Ke konfiguraci statického proxy serveru pro celý systém použijte netsh.
Poznámka
- To bude mít vliv na všechny aplikace včetně služeb Windows, které používají WinHTTP s výchozím proxy serverem.
Otevřete příkazový řádek se zvýšenými oprávněními:
- Přejděte na Start a zadejte cmd.
- Klikněte pravým tlačítkem na Příkazový řádek a vyberte Spustit jako správce.
Zadejte následující příkaz a stiskněte Enter:
netsh winhttp set proxy <proxy>:<port>Například:
netsh winhttp set proxy 10.0.0.6:8080
Pokud chcete resetovat proxy server winhttp, zadejte následující příkaz a stiskněte Enter:
netsh winhttp reset proxy
Další informace najdete v tématu Syntaxe příkazů Netsh, kontexty a formátování .
Zařízení s Windows, na kterých běží předchozí řešení založené na MMA
Zařízení se systémem Windows 7, Windows 8.1, Windows Server 2008 R2 a servery, které nejsou upgradovány na unified Agent, využívají k připojení ke službě Defender for Endpoint agenta Microsoft Monitoring Agent / označovaného také jako agent Log Analytics.
Můžete využít nastavení proxy serveru pro celý systém nebo nakonfigurovat agenta tak, aby se připojil přes proxy server nebo bránu Log Analytics.
Konfigurace agenta pro použití proxy serveru: Konfigurace proxy serveru
Nastavení služby Azure Log Analytics (dříve označované jako brána OMS) tak, aby fungovala jako proxy server nebo centrum: Agent Azure Log Analytics
Onboarding předchozích verzí Windows
Další krok
KROK 3: Ověření připojení klienta k adresám URL služby Microsoft Defender for Endpoint
Související články
- Odpojená prostředí, proxy servery a Microsoft Defender for Endpoint
- Konfigurace a správa Microsoft Defender Antivirové ochrany pomocí nastavení Zásady skupiny
- Onboarding zařízení s Windows
- Řešení potíží s onboardingem Microsoft Defender for Endpoint
- Onboarding zařízení bez přístupu k internetu k Microsoft Defender for Endpoint
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro