VAIHE 2: Määritä laitteet muodostamaan yhteys Defender for Endpoint -palveluun välityspalvelimen avulla
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tärkeää
Laitteita, jotka on määritetty vain IPv6-liikennettä varten, ei tueta.
Käyttöjärjestelmästä riippuen Microsoft Defender for Endpoint käytettävä välityspalvelin voidaan määrittää automaattisesti, yleensä automaattisen haun tai automaattisen määritystiedoston avulla tai staattisesti laitteessa suoritettavan Defender for Endpoint -palveluiden mukaan.
- Lisätietoja Windows-laitteista on artikkelissa Laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen (tämä artikkeli)
- Linux-laitteissa katso Microsoft Defender for Endpoint määrittäminen Linuxissa staattista välityspalvelimen etsintää varten
- MacOS-laitteille katso Microsoft Defender for Endpoint Macissa
Defender for Endpoint -tunnistin edellyttää, että Microsoft Windows HTTP (WinHTTP) raportoi tunnistimen tiedot ja viestii Defender for Endpoint -palvelun kanssa. Upotettu Defender for Endpoint -tunnistin suoritetaan järjestelmäkontekstissa LocalSystem-tilin avulla.
Vihje
Organisaatioissa, jotka käyttävät välitysvälitysvälityspalveluita yhdyskäytävänä Internetiin, voit käyttää verkon suojausta tutkiaksesi yhteystapahtumia, jotka tapahtuvat välitysvälitysvälitysten takana.
WinHTTP-määritysasetus on riippumaton Windows Internet (WinINet) -selausvälityspalvelimen asetuksista (katso, WinINet vs. WinHTTP). Se voi löytää välityspalvelimen vain seuraavilla etsintämenetelmillä:
Automaattisen haun menetelmät:
Läpinäkyvä välityspalvelin
Verkkovälityspalvelimen automaattisen etsinnän protokolla (WPAD)
Huomautus
Jos käytät läpinäkyvää välityspalvelinta tai WPAD:ia verkkotopologiassa, et tarvitse erityisiä määritysasetuksia.
Manuaalinen staattisen välityspalvelimen määritys:
Rekisteripohjainen määritys
WinHTTP määritetty käyttämällä netsh-komentoa: Sopii vain työpöydälle vakaassa topologiassa (esimerkiksi työpöytä yritysverkossa saman välityspalvelimen takana)
Huomautus
Defenderin virustentorjuntaohjelma ja EDR-välitysohjelmat voidaan määrittää erikseen. Muista seuraavissa osioissa nämä erot.
Määritä välityspalvelin manuaalisesti käyttämällä rekisteripohjaista staattista välityspalvelinasetusta
Määritä rekisteripohjainen staattinen välityspalvelin Defender for Endpoint detection and Response (EDR) -tunnistinta varten diagnostiikkatietojen raportoimiseksi ja kommunikoimiseksi Defender for Endpoint -palveluiden kanssa, jos tietokone ei saa muodostaa suoraa yhteyttä Internetiin.
Huomautus
Varmista aina, että käytät uusimpia päivityksiä, jotta yhteys Defender for Endpoint -palveluihin onnistuu.
Staattiset välityspalvelimen asetukset voidaan määrittää ryhmäkäytännön (GP) avulla. Molemmat ryhmäkäytäntöarvojen asetukset on määritettävä. Ryhmäkäytäntö on käytettävissä hallintamalleissa.
Hallintamallit > Windowsin osat > Tietojen kerääminen ja esiversiot Määrittävät todennetun välityspalvelimen > käytön yhdistetylle käyttökokemukselle ja telemetriapalvelulle.
Määritä sen arvoksi Käytössä ja valitse Poista todennettu välityspalvelimen käyttö käytöstä.
Hallintamallit > Windowsin osat > Tietojen kerääminen ja esiversiot Määritä yhdistetyt käyttökokemukset > ja telemetria:
Anna välityspalvelimen tiedot.
Ryhmäkäytäntö | Rekisteriavain | Rekisterimerkintä | Arvo |
---|---|---|---|
Yhdistetyn käyttökokemuksen ja telemetriapalvelun todennetun välityspalvelimen käytön määrittäminen | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Yhdistettyjen käyttökokemusten ja telemetrian määrittäminen | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Esimerkki: 10.0.0.6:8080 (REG_SZ) |
Huomautus
Jos käytät TelemetryProxyServer-asetusta laitteissa, jotka ovat muuten täysin offline-tilassa, mikä tarkoittaa, että käyttöjärjestelmä ei pysty muodostamaan yhteyttä online-varmenteen kumoamisluetteloon tai Windows Update, sinun on lisättävä ylimääräinen rekisteriasetus PreferStaticProxyForHttpRequest
arvolla 1
.
Päärekisteripolun sijainti kohteelle PreferStaticProxyForHttpRequest on "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Seuraavaa komentoa voidaan käyttää rekisteriarvon lisäämiseen oikeaan sijaintiin:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Yllä oleva rekisteriarvo on käytettävissä vain alkaen MsSense.exe versiosta 10.8210.* ja uudemmassa versiosta 10.8049.* ja uudemmassa.
Staattisen välityspalvelimen määrittäminen Microsoft Defender virustentorjuntaa varten
Microsoft Defender virustentorjuntaohjelman pilvipalvelun tarjoama suojaus tarjoaa lähes välittömän ja automaattisen suojauksen uusia ja uusia uhkia vastaan. Huomaa, että yhteys vaaditaan mukautetuille ilmaisimille , kun Defenderin virustentorjunta on aktiivinen haittaohjelmien torjuntaratkaisusi, sekä EDR:lle estotilassa , joka tarjoaa varavaihtoehdon, kun muu kuin Microsoft-ratkaisu ei suorittanut estoa.
Määritä staattinen välityspalvelin hallintamalleissa käytettävissä olevien ryhmäkäytäntö avulla:
Hallintamallit > Windowsin osat > Microsoft Defender virustentorjunta > Määritä välityspalvelin verkkoon yhdistämistä varten.
Määritä sen arvoksi Käytössä ja määritä välityspalvelin. Huomaa, että URL-osoitteessa on oltava joko http:// tai https://. Https:// tuetut versiot ovat kohdassa Microsoft Defender virustentorjuntapäivitysten hallinta.
Rekisteriavaimen
HKLM\Software\Policies\Microsoft\Windows Defender
alla käytäntö määrittää rekisteriarvoksiProxyServer
REG_SZ.Rekisteriarvo
ProxyServer
on seuraavassa merkkijonomuodossa:<server name or ip>:<port>
Esimerkiksi: http://10.0.0.6:8080
Huomautus
Jos käytät staattista välityspalvelinasetusta laitteissa, jotka ovat muuten täysin offline-tilassa, mikä tarkoittaa, että käyttöjärjestelmä ei voi muodostaa yhteyttä online-varmenteen kumoamisluetteloon tai Windows Update, sinun on lisättävä ylimääräinen rekisteriasetus SSLOptions, jonka dword-arvo on 0. SSLOptions-päärekisteripolun sijainti on "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Microsoft Defender virustentorjunta tallentaa välimuistiin viimeisimmän tunnetun toimivan välityspalvelimen, jotta se on toimintakuntoinen ja pilvipalvelulla toimitetun suojauksen reaaliaikainen luonne. Varmista, että välityspalvelinratkaisusi ei suorita SSL-tarkastusta. Tämä rikkoo suojatun pilviyhteyden.
Microsoft Defender virustentorjuntaohjelma ei käytä staattista välityspalvelinta yhteyden muodostamiseen Windows Update tai Microsoft Updateen päivitysten lataamista varten. Sen sijaan se käyttää järjestelmänlaajuista välityspalvelinta, jos se on määritetty käyttämään Windows Update, tai määritettyä sisäistä päivityslähdettä määritetyn varajärjestyksen mukaisesti.
Tarvittaessa voit käyttää hallintamalleja Windowsin osat > Microsoft Defender Virustentorjunta > Määritä välityspalvelimen > automaattinen määritys (.pac) yhteyden muodostamiseksi verkkoon. Jos haluat määrittää lisämäärityksiä useilla välityspalvelimilla, käytä hallintamalleja > Windowsin osat > Microsoft Defender virustentorjunta > Määritä osoitteet ohittaaksesi välityspalvelimen ja estääksesi Microsoft Defender virustentorjuntaohjelmaa käyttämästä välityspalvelinta kyseisissä kohteissa.
Voit määrittää seuraavat asetukset PowerShellin Set-MpPreference
ja cmdlet-komennon avulla:
- Välityspalvelimen välityspalvelin
- ProxyPacUrl
- ProxyServer
Huomautus
Jotta välityspalvelinta voidaan käyttää oikein, määritä nämä kolme eri välityspalvelinasetusta:
- Microsoft Defender for Endpoint (MDE)
- AV (virustentorjunta)
- Päätepisteen tunnistaminen ja vastaus (EDR)
Määritä välityspalvelin manuaalisesti netsh-komennon avulla
Netshin avulla voit määrittää järjestelmänlaajuisen staattisen välityspalvelimen.
Huomautus
- Tämä vaikuttaa kaikkiin sovelluksiin, mukaan lukien Windows-palveluihin, jotka käyttävät WinHTTP:ä oletusvälityspalvelimen kanssa.
Avaa laajennettu komentorivi:
- Siirry Aloitus-kohtaan ja kirjoita cmd.
- Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.
Kirjoita seuraava komento ja paina Enter-näppäintä:
netsh winhttp set proxy <proxy>:<port>
Esimerkiksi:
netsh winhttp set proxy 10.0.0.6:8080
Voit palauttaa winhttp-välityspalvelimen antamalla seuraavan komennon ja painamalla Enter-näppäintä:
netsh winhttp reset proxy
Lisätietoja on kohdassa Netsh-komentosyntaksi, kontekstit ja muotoilu .
Windows-laitteet, joissa on käytössä aiempi MMA-pohjainen ratkaisu
Laitteet, joiden käyttöjärjestelmä on Windows 7, Windows 8.1, Windows Server 2008 R2, ja palvelimet, joita ei ole päivitetty Unified Agentiksi, hyödyntävät Microsoftin valvonta-agenttia / kutsutaan myös Log Analytics Agentiksi muodostaakseen yhteyden Defender for Endpoint -palveluun.
Voit joko hyödyntää järjestelmänlaajuista välityspalvelinasetusta ja määrittää agentin muodostamaan yhteyden välityspalvelimen tai lokianalyysiyhdyskäytävän kautta.
Määritä agentti käyttämään välityspalvelinta: välityspalvelimen määritys
Azure Log Analyticsin (tunnettiin aiemmin nimellä OMS Gateway) määrittäminen toimimaan välityspalvelimena tai keskittimenä: Azure Log Analytics Agent
Edellisten Windows-versioiden käyttöönotto
Seuraavat vaiheet
VAIHE 3: Microsoft Defender for Endpoint palvelun URL-osoitteiden asiakasyhteyden tarkistaminen
Aiheeseen liittyviä artikkeleita
- Katkaistut ympäristöt, välitysliitteet ja Microsoft Defender for Endpoint
- ryhmäkäytäntö asetusten avulla voit määrittää ja hallita Microsoft Defender virustentorjuntaa
- Windows-laitteissa
- Microsoft Defender for Endpoint perehdytysongelmien vianmääritys
- Laivalaitteissa, joissa ei ole internet-yhteyttä Microsoft Defender for Endpoint
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle