SCHRITT 2: Konfigurieren Ihrer Geräte für die Verbindung mit dem Defender für Endpunkt-Dienst mithilfe eines Proxys
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Wichtig
Geräte, die nur für IPv6-Datenverkehr konfiguriert sind, werden nicht unterstützt.
Der Defender für Endpunkt-Sensor benötigt Microsoft Windows HTTP (WinHTTP), um Sensordaten zu melden und mit dem Defender für Endpunkt-Dienst zu kommunizieren. Der eingebettete Defender für Endpunkt-Sensor wird im Systemkontext unter dem Konto LocalSystem ausgeführt.
Tipp
Organisationen, die Weiterleitungsproxys als Gateway zum Internet verwenden, können mithilfe des Netzwerkschutzes Untersuchungen hinter einem Proxy durchführen.
Die WinHTTP-Konfigurationseinstellung ist unabhängig von den Browserproxyeinstellungen für Windows Internet (WinINet) (siehe WinINet und WinHTTP). Ein Proxyserver kann nur mithilfe der folgenden Ermittlungsmethoden ermittelt werden:
Autodiscovery-Methoden:
Transparenter Proxy
Web Proxy Auto-Discovery Protocol (WPAD)
Hinweis
Wenn Sie in Ihrem Netzwerk einen transparenten Proxy oder WPAD verwenden, benötigen Sie keine besonderen Konfigurationseinstellungen.
Manuelle Konfiguration von statischen Proxys:
Registrierungsbasierte Konfiguration
WinHTTP wird mit dem Befehl netsh konfiguriert: Nur für Desktops in einer stabilen Topologie geeignet (z. B.: ein Desktop in einem Firmennetzwerk hinter demselben Proxy)
Hinweis
Defender Antivirus und EDR-Proxys können unabhängig voneinander eingestellt werden. Achten Sie in den folgenden Abschnitten auf diese Unterscheidungen.
Manuelles Konfigurieren des Proxyservers mithilfe eines registrierungsbasierten statischen Proxys
Konfigurieren Sie einen registrierungsbasierten statischen Proxy für den Sensor von Defender für Endpunkt-Erkennung und -Reaktion (EDR), um Diagnosedaten zu melden und mit den Diensten von Defender für Endpunkt zu kommunizieren, wenn ein Computer nicht mit dem Internet verbunden werden darf.
Hinweis
Wenn Sie diese Option unter Windows 10 oder Windows 11 oder Windows Server 2019 oder Windows Server 2022 verwenden, wird empfohlen, dass Sie das folgende (oder spätere) Build und kumulative Update Rollup haben:
- Windows 11
- Windows 10, Version 1809 oder Windows Server 2019 oder Windows Server 2022:https://support.microsoft.com/kb/5001384
- Windows 10, Version 1909 – https://support.microsoft.com/kb/4601380
- Windows 10, Version 2004 – https://support.microsoft.com/kb/4601382
- Windows 10, Version 20H2 – https://support.microsoft.com/kb/4601382
Diese Updates verbessern die Konnektivität und Zuverlässigkeit des CnC (Command and Control)-Kanals.
Der statische Proxy kann über die Gruppenrichtlinie (GP) konfiguriert werden. Beide Einstellungen unter den Gruppenrichtlinienwerten sollten für den Proxyserver konfiguriert werden, um EDR zu verwenden. Die Gruppenrichtlinie ist in den Administrativen Vorlagen verfügbar.
Administrative Vorlagen > Windows Components Data Collection and Preview Builds Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service.Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service.
Legen Sie dies auf Aktiviert fest, und wählen Sie Verwendung von authentifiziertem Proxy deaktivieren.
Administrative Vorlagen > Windows-Komponenten > – Datensammlung und Vorschaubuilds > Konfigurieren sie verbundene Benutzeroberflächen und Telemetriedaten:
Konfigurieren Sie den Proxy.
| Gruppenrichtlinien | Registrierungsschlüssel | Registrierungseintrag | Wert |
|---|---|---|---|
| Konfigurieren Sie die Verwendung eines authentifizierten Proxys für die verbundene Benutzererfahrung und den Telemetriedienst | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| Konfigurieren Sie verbundene Benutzererfahrungen und Telemetrie | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Beispiel: 10.0.0.6:8080 (REG_SZ) |
Hinweis
Wenn Sie die Einstellung "TelemetryProxyServer" auf Geräten verwenden, die ansonsten vollständig offline sind, was bedeutet, dass das Betriebssystem keine Verbindung für die Onlinesperrliste für Zertifikate oder Windows Update herstellen kann, muss die zusätzliche Registrierungseinstellung PreferStaticProxyForHttpRequest mit dem Wert 1hinzugefügt werden.
Pfad des übergeordneten Registrierungspfads für "PreferStaticProxyForHttpRequest" ist "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Der folgende Befehl kann verwendet werden, um den Registrierungswert am richtigen Speicherort einzufügen:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Der oben genannte Registrierungswert gilt nur ab MsSense.exe Version 10.8210.* und höher oder ab Version 10.8049.* .
Konfigurieren Sie einen statischen Proxy für Microsoft Defender Antivirus
Microsoft Defender Antivirus aus der Cloud liefert einen nahezu sofortigen, automatisierten Schutz vor neuen und aufkommenden Bedrohungen. Beachten Sie, dass die Konnektivität für benutzerdefinierte Indikatoren erforderlich ist, wenn Defender Antivirus Ihre aktive Antischadsoftwarelösung ist. Denn EDR im Blockmodus hat eine primäre Antischadsoftwarelösung, wenn Sie eine Nicht-Microsoft-Lösung verwenden.
Konfigurieren Sie den statischen Proxy mit der Gruppenrichtlinie, die unter Administrative Vorlagen verfügbar ist:
Administrative Vorlagen > Windows-Komponenten > Microsoft Defender Antivirus-Proxyserver > definieren, um eine Verbindung mit dem Netzwerk herzustellen.
Legen Sie ihn auf Aktiviert fest, und definieren Sie den Proxyserver. Beachten Sie, dass die URL entweder http:// oder https:// haben muss. Unterstützte Versionen für https:// finden Sie unter Microsoft Defender Antivirus Updates verwalten.
Unter dem Registrierungsschlüssel
HKLM\Software\Policies\Microsoft\Windows Defenderlegt die Richtlinie den RegistrierungswertProxyServerals REG_SZ fest.Der Registrierungswert
ProxyServerhat das folgende Zeichenfolgenformat:<server name or ip>:<port>Beispiel: http://10.0.0.6:8080
Hinweis
Wenn Sie statische Proxyeinstellungen auf Geräten verwenden, die ansonsten vollständig offline sind, d. h. das Betriebssystem kann keine Verbindung für die Onlinesperrliste für Zertifikate oder Windows Update herstellen, müssen Sie die zusätzliche Registrierungseinstellung SSLOptions mit dem dword-Wert 0 hinzufügen. Übergeordneter Registrierungspfad für "SSLOptions" ist "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Aus Gründen der Ausfallsicherheit und der Echtzeit-Natur des aus der Cloud gelieferten Schutzes speichert Microsoft Defender Antivirus den letzten bekannten funktionierenden Proxy. Stellen Sie sicher, dass Ihre Proxylösung keine SSL-Überprüfung durchführt. Dadurch wird die sichere Cloudverbindung aufgehoben.
Microsoft Defender Antivirus verwendet nicht den statischen Proxy, um eine Verbindung mit Windows Update oder Microsoft Update zum Herunterladen von Updates herzustellen. Stattdessen wird ein systemweiter Proxy verwendet, wenn Windows Update konfiguriert ist, oder die konfigurierte interne Updatequelle gemäß der konfigurierten Fallbackreihenfolge.
Bei Bedarf können Sie administrative Vorlagen > windows Components > Microsoft Defender Antivirus > Define proxy auto-config (.pac) verwenden, um eine Verbindung mit dem Netzwerk herzustellen. Wenn Sie erweiterte Konfigurationen mit mehreren Proxys einrichten müssen, verwenden Sie Administrative Vorlagen > Windows-Komponenten > Microsoft Defender AntivirusAdressen > definieren, um den Proxyserver zu umgehen und zu verhindern, dass Microsoft Defender Antivirus einen Proxyserver für diese Ziele verwendet.
Sie können PowerShell mit dem Set-MpPreference Cmdlet verwenden, um diese Optionen zu konfigurieren:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Hinweis
Um den Proxy ordnungsgemäß zu verwenden, konfigurieren Sie diese drei verschiedenen Proxyeinstellungen:
- Microsoft Defender für Endpunkt (MDE)
- AV (Antivirus)
- Endpunkterkennung und -reaktion (EDR)
Konfigurieren Sie den Proxyserver manuell mit dem Befehl netsh
Verwenden Sie den netsh-Befehl, um einen systemweiten statischen Proxy zu konfigurieren.
Hinweis
- Dies wirkt sich auf alle Anwendungen aus, einschließlich Windows-Diensten, die WinHTTP mit Standardproxy verwenden.
Öffnen Sie eine Befehlszeile mit erhöhten Rechten:
- Wechseln Sie zu Start, und geben Sie cmd ein.
- Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
Geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:
netsh winhttp set proxy <proxy>:<port>Beispiel:
netsh winhttp set proxy 10.0.0.6:8080
Wenn Sie den WinHTTP-Proxy zurücksetzen möchten, geben Sie den folgenden Befehl ein, und drücken Sie dann die Eingabetaste:
netsh winhttp reset proxy
Weitere Informationen hierzu finden Sie unter netsh-Befehl: Syntax, Kontexte und Formatierung.
Nächster Schritt
SCHRITT 3: Überprüfen der Clientkonnektivität mit Microsoft Defender for Endpoint Dienst-URLs
Verwandte Artikel
- Getrennte Umgebungen, Proxys und Microsoft Defender for Endpoint
- Verwenden von Gruppenrichtlinieneinstellungen zum Verwalten von Microsoft Defender Antivirus
- Onboarding von Windows-Geräten
- Behandeln von Problemen mit dem Microsoft Endpoint DLP-Onboarding
- Integrieren von Geräten ohne Internetzugriff auf Microsoft Defender for Endpoint
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für