Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Der Defender für Endpunkt-Sensor erfordert, dass Microsoft Windows HTTP (WinHTTP) Sensordaten meldet und mit dem Defender für Endpunkt-Dienst kommuniziert.

Der eingebettete Defender für Endpunkt-Sensor wird im Systemkontext mithilfe des LocalSystem-Kontos ausgeführt. Der Sensor verwendet Microsoft Windows HTTP Services (WinHTTP), um die Kommunikation mit dem Defender für Endpunkt-Clouddienst zu ermöglichen.

Tipp

Für Organisationen, die Weiterleitungsproxys als Gateway zum Internet verwenden, können Sie den Netzwerkschutz verwenden, um Verbindungsereignisse zu untersuchen, die hinter Weiterleitungsproxys auftreten.

Die WinHTTP-Konfigurationseinstellung ist unabhängig von den Browserproxyeinstellungen Windows Internet (WinINet) und kann nur mithilfe der folgenden Ermittlungsmethoden einen Proxyserver ermitteln:

  • Methoden für die automatische Ermittlung:

    • Transparenter Proxy

    • Web Proxy Auto-Discovery Protocol (WPAD)

      Hinweis

      Wenn Sie einen transparenten Proxy oder WPAD in Ihrer Netzwerktopologie verwenden, benötigen Sie keine speziellen Konfigurationseinstellungen. Weitere Informationen zu Defender für Endpunkt-URL-Ausschlüssen im Proxy finden Sie unter Aktivieren des Zugriffs auf Defender für Endpunkt-Dienst-URLs auf dem Proxyserver.

  • Manuelle Konfiguration von statischen Proxys:

    • Registrierungsbasierte Konfiguration

    • WinHTTP konfiguriert mit netsh-Befehl: Nur für Desktops in einer stabilen Topologie geeignet (z. B. ein Desktop in einem Unternehmensnetzwerk hinter demselben Proxy)

Manuelles Konfigurieren des Proxyservers mithilfe eines registrierungsbasierten statischen Proxys

Konfigurieren Sie einen registrierungsbasierten statischen Proxy für den Erkennungs- und Antwortsensor für Defender für Endpunkt (EDR), um Diagnosedaten zu melden und mit Defender für Endpunkt-Diensten zu kommunizieren, wenn ein Computer keine Verbindung mit dem Internet herstellen darf.

Hinweis

Wenn Sie diese Option auf Windows 10 oder Windows Server 2019 verwenden, wird empfohlen, den folgenden (oder späteren) Build- und kumulativen Updaterollup zu verwenden:

Diese Updates verbessern die Konnektivität und Zuverlässigkeit des CnC(Command and Control)-Kanals.

Der statische Proxy kann auch über Gruppenrichtlinien (Group Policy, GP) konfiguriert werden. Die Gruppenrichtlinien finden Sie unter:

  • Administrative Vorlagen > Windows Komponenten > Datensammlungs- und Vorschaubuilds > Konfigurieren der Verwendung authentifizierter Proxys für den Dienst "Benutzererfahrung und Telemetrie im verbundenen Modus".

    Legen Sie sie auf "Aktiviert" fest, und wählen Sie "Authentifizierte Proxyverwendung deaktivieren" aus.

    Abbildung der Gruppenrichtlinieneinstellung1.

  • Administrative Vorlagen > Windows Komponenten > Datensammlungs- und Vorschaubuilds > Konfigurieren verbundener Benutzeroberflächen und Telemetrie:

    Konfigurieren des Proxys

    Abbildung der Gruppenrichtlinieneinstellung2.

Gruppenrichtlinien Registrierungsschlüssel Registrierungseintrag Wert
Konfigurieren der authentifizierten Proxynutzung für die verbundene Benutzeroberfläche und den Telemetriedienst HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Konfigurieren der benutzererfahrung und Telemetrie im verbundenen Zusammenhang HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer http://servername or ip:port

Beispiel: http://10.0.0.6:8080 (REG_SZ)

Konfigurieren eines statischen Proxys für Microsoft Defender Antivirus

Microsoft Defender Antivirus über die Cloud bereitgestellten Schutz bietet nahezu sofortigen, automatisierten Schutz vor neuen und neuen Bedrohungen. Beachten Sie, dass eine Konnektivität für benutzerdefinierte Indikatoren erforderlich ist, wenn Defender Antivirus Ihre aktive Antischadsoftwarelösung ist. und für EDR im Blockierungsmodus, auch wenn eine nicht von Microsoft stammende Lösung als primäre Antischadsoftwarelösung verwendet wird.

Konfigurieren Sie den statischen Proxy mithilfe der hier gefundenen Gruppenrichtlinie:

  1. Administrative Vorlagen > Windows Komponenten > Microsoft Defender Antivirus > Definieren des Proxyservers für die Verbindung mit dem Netzwerk.

  2. Legen Sie ihn auf "Aktiviert" fest, und definieren Sie den Proxyserver. Beachten Sie, dass die URL entweder http:// oder https:// haben muss. Unterstützte Versionen für https:// finden Sie unter Verwalten Microsoft Defender Antivirus Updates.

    Proxyserver für Microsoft Defender Antivirus.

  3. Unter dem Registrierungsschlüssel  HKLM\Software\Policies\Microsoft\Windows Defender legt die Richtlinie den Registrierungswert als REG_SZ  ProxyServer   fest.

    Der Registrierungswert  ProxyServer   hat das folgende Zeichenfolgenformat:

    <server name or ip>:<port>
    
    For example: http://10.0.0.6:8080
    

Hinweis

Aus Gründen der Ausfallsicherheit und der Echtzeitart des über die Cloud bereitgestellten Schutzes speichert Microsoft Defender Antivirus den letzten bekannten Arbeitsproxy zwischen. Stellen Sie sicher, dass Ihre Proxylösung keine SSL-Überprüfung durchführt, da dadurch die sichere Cloudverbindung beschädigt wird.

Microsoft Defender Antivirus verwendet nicht den statischen Proxy, um eine Verbindung mit Windows Update oder Microsoft Update zum Herunterladen von Updates herzustellen. Stattdessen wird ein systemweiter Proxy verwendet, wenn er für Windows Update konfiguriert ist, oder die konfigurierte interne Updatequelle gemäß der konfigurierten Fallbackreihenfolge.

Falls erforderlich, können Sie administrative Vorlagen > Windows Komponenten > Microsoft Defender Antivirus > Define proxy auto-config (.pac) for connecting to the network if you need to set up advanced configurations with multiple proxies, Use Administrative Templates > Windows Components > Microsoft Defender Antivirus > Define addresses to bypass proxy server to prevent Microsoft Defender Antivirus from using a proxy server for those destinations.

Sie können PowerShell auch mit dem Set-MpPreference Cmdlet verwenden, um diese Optionen zu konfigurieren:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Manuelles Konfigurieren des Proxyservers mithilfe des netsh-Befehls

Verwenden Sie den netsh-Befehl, um einen systemweiten statischen Proxy zu konfigurieren.

Hinweis

  • Dies wirkt sich auf alle Anwendungen aus, einschließlich Windows-Diensten, die WinHTTP mit Standardproxy verwenden.
  • Laptops, die die Topologie ändern (z. B. von Büro zu Zuhause), funktionieren nicht mit netsh. Verwenden Sie die registrierungsbasierte Konfiguration für statische Proxys.
  1. Öffnen Sie eine Befehlszeile mit erhöhten Rechten:

    1. Wechseln Sie zu Start, und geben Sie cmd ein.
    2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

    netsh winhttp set proxy <proxy>:<port>
    

    Beispiel: netsh winhttp set proxy 10.0.0.6:8080

Wenn Sie den WinHTTP-Proxy zurücksetzen möchten, geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

netsh winhttp reset proxy

Weitere Informationen hierzu finden Sie unter netsh-Befehl: Syntax, Kontexte und Formatierung.

Aktivieren des Zugriffs auf Microsoft Defender für Endpunktdienst-URLs auf dem Proxyserver

Wenn ein Proxy oder eine Firewall den gesamten Datenverkehr standardmäßig blockiert und nur bestimmte Domänen durchlässt, fügen Sie die im herunterladbaren Blatt aufgeführten Domänen der Liste der zulässigen Domänen hinzu.

In der folgenden herunterladbaren Tabelle sind die Dienste und die zugehörigen URLs aufgeführt, mit denen ihr Netzwerk eine Verbindung herstellen kann. Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, die den Zugriff auf diese URLs verweigern würden, oder Sie müssen möglicherweise eine spezielle Zulassungsregel erstellen.



Kalkulationstabelle der Domänenliste Beschreibung
Miniaturbild für die Microsoft Defender für Endpunkt-URLs-Kalkulationstabelle. Kalkulationstabelle für bestimmte DNS-Einträge für Dienststandorte, geografische Standorte und Das Betriebssystem.

Laden Sie das Arbeitsblatt hier herunter.

Wenn bei einem Proxy oder einer Firewall die HTTPS-Überprüfung aktiviert ist (SSL-Inspektion), schließen Sie die in der obigen Tabelle aufgeführten Domänen von der HTTPS-Überprüfung aus. Öffnen Sie in Ihrer Firewall alle URLs, bei denen die Geografiespalte WW ist. Öffnen Sie für Zeilen, bei denen die Geografiespalte nicht WW ist, die URLs für Ihren spezifischen Datenspeicherort. Informationen zum Überprüfen Ihrer Datenspeicherorteinstellung finden Sie unter Überprüfen des Datenspeicherorts und Aktualisieren der Datenaufbewahrungseinstellungen für Microsoft Defender für Endpunkt.

Hinweis

settings-win.data.microsoft.com ist nur erforderlich, wenn Sie über Windows 10 Geräte verfügen, auf denen Version 1803 oder früher ausgeführt wird.

URLs, die v20 enthalten, sind nur erforderlich, wenn Sie über Windows 10 Geräte mit Version 1803 oder höher verfügen. Beispielsweise wird für ein Windows 10 Gerät benötigt, auf us-v20.events.data.microsoft.com dem Version 1803 oder höher ausgeführt wird und das in die REGION "US Data Storage" integriert ist.

Wenn Sie Microsoft Defender Antivirus in Ihrer Umgebung verwenden, finden Sie weitere Informationen unter Konfigurieren von Netzwerkverbindungen mit dem Microsoft Defender Antivirus Clouddienst.

Wenn ein Proxy oder eine Firewall anonymen Datenverkehr blockiert, da sich der Defender für Endpunkt-Sensor aus dem Systemkontext verbindet, stellen Sie sicher, dass anonymer Datenverkehr in den zuvor aufgeführten URLs zulässig ist.

Microsoft Monitoring Agent (MMA) – Proxy- und Firewallanforderungen für ältere Versionen von Windows Client oder Windows Server

Die folgenden Informationen enthalten die Proxy- und Firewallkonfigurationsinformationen, die für die Kommunikation mit dem Log Analytics-Agent (häufig als Microsoft Monitoring Agent bezeichnet) für die vorherigen Versionen von Windows wie Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 und Windows Server 2016 erforderlich sind.



Agent-Ressource Ports Richtung HTTPS-Inspektion umgehen
*.ods.opinsights.azure.com Port 443 Ausgehend Ja
*.oms.opinsights.azure.com Port 443 Ausgehend Ja
*.blob.core.windows.net Port 443 Ausgehend Ja
*.azure-automation.net Port 443 Ausgehend Ja

Hinweis

Als cloudbasierte Lösung kann sich der IP-Bereich ändern. Es wird empfohlen, zur DNS-Auflösungseinstellung zu wechseln.

Bestätigen Microsoft Monitoring Agent (MMA)-Dienst-URL-Anforderungen

Lesen Sie die folgenden Anleitungen, um die Platzhalter (*)-Anforderung für Ihre spezifische Umgebung zu vermeiden, wenn Sie die Microsoft Monitoring Agent (MMA) für frühere Versionen von Windows verwenden.

  1. Integrieren Eines vorherigen Betriebssystems mit dem Microsoft Monitoring Agent (MMA) in Defender für Endpunkt (weitere Informationen finden Sie unter Onboarding vorheriger Versionen von Windows auf Defender für Endpunkt und Onboarding Windows Server).

  2. Stellen Sie sicher, dass der Computer erfolgreich Berichte im Microsoft 365 Defender-Portal anmeldet.

  3. Führen Sie das TestCloudConnection.exe-Tool unter "C:\Programme\Microsoft Monitoring Agent\Agent" aus, um die Konnektivität zu überprüfen und die erforderlichen URLs für Ihren spezifischen Arbeitsbereich anzuzeigen.

  4. Überprüfen Sie die Liste der UrLs von Microsoft Defender für Endpunkt, um die vollständige Liste der Anforderungen für Ihre Region zu erhalten (siehe Tabelle "Dienst-URLs").

    Abbildung des Administrators in Windows PowerShell.

Die * in * ODS.OPINSIGHTS.AZURE.COM-, * OMS.OPINSIGHTS.AZURE.COM- und * AGENTSVC.AZURE-AUTOMATION.NET-URL-Endpunkten verwendeten Platzhalter können durch Ihre spezifische Arbeitsbereichs-ID ersetzt werden. Die Arbeitsbereichs-ID ist für Ihre Umgebung und Ihren Arbeitsbereich spezifisch und befindet sich im Onboarding-Abschnitt Ihres Mandanten im Microsoft 365 Defender Portal.

Der * BLOB.CORE.WINDOWS.NET-URL-Endpunkt kann durch die URLs ersetzt werden, die im Abschnitt "Firewallregel: * .blob.core.windows.net" der Testergebnisse angezeigt werden.

Hinweis

Im Fall des Onboardings über Azure Defender werden möglicherweise mehrere Arbeitsbereiche verwendet. Sie müssen die oben beschriebene TestCloudConnection.exe Prozedur auf einem integrierten Computer aus jedem Arbeitsbereich ausführen (um festzustellen, ob änderungen an den *.blob.core.windows.net-URLs zwischen den Arbeitsbereichen vorhanden sind).

Überprüfen der Clientkonnektivität mit Microsoft Defender für Endpunkt-Dienst-URLs

Vergewissern Sie sich, dass die Proxykonfiguration erfolgreich abgeschlossen wurde, dass WinHTTP ermitteln und über den Proxyserver in Ihrer Umgebung kommunizieren kann und dass der Proxyserver Datenverkehr zu Defender für Endpunkt-Dienst-URLs zulässt.

  1. Laden Sie das Microsoft Defender für Endpunkt-Clientanalysetool auf den PC herunter, auf dem der Defender für Endpunkt-Sensor ausgeführt wird.

  2. Extrahieren Sie den Inhalt von MDEClientAnalyzer.zip auf dem Gerät.

  3. Öffnen Sie eine Befehlszeile mit erhöhten Rechten:

    1. Wechseln Sie zu Start, und geben Sie cmd ein.
    2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
  4. Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:

    HardDrivePath\MDEClientAnalyzer.cmd
    

    Ersetzen Sie HardDrivePath durch den Pfad, in den das MDEClientAnalyzer-Tool heruntergeladen wurde, z. B.:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. Extrahieren Sie die vom Tool erstellte MDEClientAnalyzerResult.zipdatei in den Ordner, der in HardDrivePath verwendet wird.

  6. Öffnen Sie MDEClientAnalyzerResult.txt, und stellen Sie sicher, dass Sie die Proxykonfigurationsschritte ausgeführt haben, um die Serverermittlung und den Zugriff auf die Dienst-URLs zu ermöglichen.

    Das Tool überprüft die Konnektivität von Defender für Endpunkt-Dienst-URLs, mit denen der Defender für Endpunkt-Client laut Konfiguration interagieren kann. Anschließend werden die Ergebnisse in der MDEClientAnalyzerResult.txt-Datei für jede URL gedruckt, die potenziell für die Kommunikation mit den Defender für Endpunkt-Diensten verwendet werden kann. Beispiel:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

Wenn mindestens eine der Verbindungsoptionen einen (200)-Status zurückgibt, kann der Defender für Endpunkt-Client über diese Verbindungsmethode ordnungsgemäß mit der getesteten URL kommunizieren.

Wenn die Ergebnisse der Verbindungsüberprüfung hingegen auf einen Fehler hindeuten, wird ein HTTP-Fehler angezeigt (siehe HTTP-Status-Codes). Sie können dann die URLs in der Tabelle unter Aktivieren des Zugriffs auf Defender für Endpunkt-Dienst-URLs auf dem Proxyserververwenden. Welche URLs Sie verwenden werden, hängt von der Region ab, die während des Onboardings ausgewählt wurde.

Hinweis

Die Cloudkonnektivitätsprüfungen des Connectivity Analyzer-Tools sind nicht mit Attack Surface Reduction-Regelblockierungs-Prozesserstellungen kompatibel, die von PSExec- und WMI-Befehlen stammen. Sie müssen diese Regel vorübergehend deaktivieren, um das Verbindungstool auszuführen. Alternativ können Sie beim Ausführen des Analyzers vorübergehend ASR-Ausschlüsse hinzufügen.

Wenn telemetryProxyServer in der Registrierung oder über eine Gruppenrichtlinie festgelegt ist, greift Defender für Endpunkt auf direct zurück, wenn er nicht auf den definierten Proxy zugreifen kann.