Configuración del proxy del punto de conexión y de la conectividad a Internet para el sensor de Microsoft Defender for Identity

  • Artículo
  • Tiempo de lectura: 6 minutos

Cada sensor de Microsoft Defender for Identity requiere conectividad a Internet al servicio en la nube de Defender for Identity para informar de los datos del sensor y funcionar correctamente. En algunas organizaciones, los controladores de dominio no están conectados directamente a Internet, pero se conectan a través de una conexión de proxy web.

Se recomienda usar la línea de comandos para configurar el servidor proxy, ya que garantiza que solo los servicios del sensor de Defender for Identity se comuniquen a través del proxy.

Nota:

Microsoft no proporciona un servidor proxy. Las direcciones URL serán accesibles a través del servidor proxy que configure.

Configuración del servidor proxy mediante la línea de comandos

Puede configurar el servidor proxy durante la instalación del sensor mediante los siguientes modificadores de línea de comandos.

Sintaxis

"Setup.exe del sensor de Azure ATP" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

Descripciones de los modificadores

Nombre Sintaxis ¿Obligatorio para la instalación silenciosa? Descripción
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" No Especifica el proxyUrl y el número de puerto del sensor de Defender for Identity.
ProxyUserName ProxyUserName="Contoso\ProxyUser" No Si el servicio de proxy requiere autenticación, proporcione un nombre de usuario con el formato DOMINIO\usuario.
ProxyUserPassword ProxyUserPassword="P@ssw0rd" No Especifica la contraseña del nombre de usuario del proxy. *Las credenciales se cifran y almacenan localmente mediante el sensor de Defender for Identity.

Métodos alternativos para configurar el servidor proxy

Puede usar uno de los siguientes métodos alternativos para configurar el servidor proxy. Al configurar el proxy con estos métodos, otros servicios que se ejecuten en el contexto como sistema local o servicio local también dirigirán el tráfico a través del proxy.

Configuración del servidor proxy mediante WinINet

Puede configurar el servidor proxy mediante la configuración de proxy de Microsoft Windows Internet (WinINet) para permitir que el sensor de Defender for Identity notifique los datos de diagnóstico y se comunique con el servicio en la nube de Defender for Identity cuando un equipo no pueda conectarse a Internet. Si usa WinHTTP para la configuración de proxy, todavía tiene que configurar Windows configuración de proxy de explorador de Internet (WinINet) para la comunicación entre el sensor y el servicio en la nube de Defender for Identity.

Al configurar el proxy, recuerde que el servicio del sensor de Defender for Identity insertado se ejecuta en el contexto del sistema mediante la cuenta LocalService y que el servicio Defender for Identity Sensor Updater se ejecuta en el contexto del sistema mediante la cuenta LocalSystem .

Nota:

Si usa proxy transparente o WPAD en la topología de red, no es necesario configurar WinINet para el proxy.

Configuración del servidor proxy mediante el registro

También puede configurar el servidor proxy manualmente mediante un proxy estático basado en el Registro, para permitir que el sensor de Defender for Identity notifique los datos de diagnóstico y se comunique con el servicio en la nube de Defender for Identity cuando un equipo no tiene permiso para conectarse a Internet.

Nota:

Los cambios del Registro deben aplicarse únicamente a LocalService y LocalSystem.

El proxy estático es configurable a través del Registro. Debe copiar la configuración de proxy que se usa en el contexto de usuario en LocalSystem y LocalService. Para copiar la configuración de proxy del contexto de usuario:

  1. Asegúrese de realizar una copia de seguridad de estas claves del Registro antes de modificarlas.

  2. En el Registro, busque el valor DefaultConnectionSettings como REG_BINARY en la clave del Registro HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings y cópielo.

  3. Si LocalSystem no tiene la configuración de proxy correcta (ya sea que no están configuradas o son diferentes de la Current_User), copie la configuración de proxy del Current_User en localSystem. En la clave del Registro HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

  4. Pegue el valor de Current_user DefaultConnectionSettings como REG_BINARY.

  5. Si LocalService no tiene la configuración de proxy correcta, copie la configuración de proxy de la Current_User en LocalService. En la clave del Registro HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

  6. Pegue el valor de Current_User DefaultConnectionSettings como REG_BINARY.

Nota:

Esto afectará a todas las aplicaciones, incluidos los servicios de Windows que utilizan WinINET con el contexto LocalService y LocalSystem.

Habilitación del acceso a direcciones URL del servicio de Defender for Identity en el servidor proxy

Para habilitar el acceso a Defender for Identity, se recomienda permitir el tráfico a las siguientes direcciones URL. Las direcciones URL se asignan automáticamente a la ubicación de servicio correcta para la instancia de Defender for Identity.

  • <your-instance-name>.atp.azure.com: para la conectividad de la consola. Por ejemplo, contoso-corp.atp.azure.com.

  • <your-instance-name>sensorapi.atp.azure.com: para la conectividad de los sensores. Por ejemplo, contoso-corpsensorapi.atp.azure.com.

También puede usar los intervalos de direcciones IP en nuestra etiqueta de servicio de Azure (AzureAdvancedThreatProtection) para habilitar el acceso a Defender for Identity. Para más información sobre las etiquetas de servicio, consulte Etiquetas de servicio de red virtual.

Si desea descargar el archivo "Intervalos IP de Azure y etiquetas de servicio - Nube pública", puede hacerlo aquí. Para obtener ofertas de la Administración Pública de Estados Unidos, consulte Comenzar con ofertas del Gobierno de EE. UU.

Nota:

  • Para garantizar la máxima seguridad y privacidad de los datos, Defender for Identity usa la autenticación mutua basada en certificados entre cada sensor de Defender for Identity y el back-end en la nube de Defender for Identity. Si se usa la inspección de SSL en su entorno, asegúrese de que se configura para la autenticación mutua y, por tanto, no interfiere en el proceso de autenticación.
  • En ocasiones, las direcciones IP del servicio Defender for Identity pueden cambiar. Por lo tanto, si configura manualmente las direcciones IP o si el proxy resuelve automáticamente los nombres DNS en su dirección IP y los usa, debe comprobar periódicamente que las direcciones IP configuradas sigan estando actualizadas.

Prueba de la conectividad de proxy

El sensor de Defender for Identity requiere conectividad de red con el servicio Defender for Identity que se ejecuta en Azure. La mayoría de las organizaciones controlan el acceso a Internet a través del firewall o los servidores proxy. Al usar un proxy, puede permitir el acceso al puerto 443 a través de una única dirección URL. Para obtener más información sobre los puertos que requiere Defender for Identity, consulte Puertos necesarios.

Una vez configurado el proxy para permitir el acceso del sensor al servicio MDI, siga los pasos siguientes para confirmar que todo funciona según lo previsto. Esto se puede hacer:

  • antes de implementar el sensor
  • si el sensor experimenta problemas de conectividad después de instalarse

  1. Abra un explorador con la misma configuración de proxy que usa el sensor.

    Nota:

    Si la configuración de proxy se define para el sistema local, deberá usar PSExec para abrir una sesión como sistema local y abrir el explorador desde esa sesión.

  2. Vaya a la siguiente dirección URL: https://<your_workspace_name>sensorapi.atp.azure.com. Reemplace <your_workspace_name> por el nombre del área de trabajo de MDI.

    Importante

    Debe especificar HTTPS, no HTTP, para probar correctamente la conectividad.

  3. Resultado: debería obtener un error 503 El servicio no está disponible, lo que indica que se pudo enrutar correctamente al punto de conexión HTTPS de MDI. Este es el resultado deseado.

    Error 503 result.

  4. Si no recibe el error 503 El servicio no está disponible, es posible que tenga un problema con la configuración del proxy. Compruebe la configuración de red y proxy.

  5. Si recibe un error de certificado, asegúrese de que tiene instalados los certificados raíz de confianza necesarios antes de continuar. Para obtener más información, consulte El problema de autenticación de proxy presenta un error de conexión. Los detalles del certificado deben tener este aspecto:

    Certificate path.

Consulte también