Configurare le impostazioni di connettività Internet e proxy dell'endpoint

  • Articolo

Ogni sensore Microsoft Defender per identità richiede la connettività Internet al servizio cloud Defender per identità per segnalare i dati dei sensori e funzionare correttamente.

In alcune organizzazioni, i controller di dominio non sono direttamente connessi a Internet, ma sono connessi tramite una connessione proxy Web e l'ispezione SSL e l'intercettazione dei proxy non sono supportati per motivi di sicurezza. In questi casi, il server proxy deve consentire ai dati di passare direttamente dai sensori defender per identità agli URL pertinenti senza intercettare.

Importante

Microsoft non fornisce un server proxy. Questo articolo descrive come assicurarsi che gli URL necessari siano accessibili tramite un server proxy configurato.

Abilitare l'accesso agli URL del servizio Defender per identità nel server proxy

Per garantire la massima sicurezza e privacy dei dati, Defender per identità usa l'autenticazione reciproca basata su certificati tra ogni sensore defender per identità e il back-end cloud defender per identità. L'ispezione SSL e l'intercettazione non sono supportate perché interferiscono nel processo di autenticazione.

Per abilitare l'accesso a Defender per identità, assicurarsi di consentire il traffico verso l'URL del sensore usando la sintassi seguente: <your-workspace-name>sensorapi.atp.azure.com. Ad esempio: contoso-corpsensorapi.atp.azure.com.

  • Se il proxy o il firewall usa elenchi consentiti espliciti, è anche consigliabile assicurarsi che siano consentiti gli URL seguenti:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • In alcuni casi, gli indirizzi IP del servizio Defender per identità possono cambiare. Se si configurano manualmente gli indirizzi IP o se il proxy risolve automaticamente i nomi DNS nel relativo indirizzo IP e li usa, è consigliabile verificare periodicamente che gli indirizzi IP configurati siano ancora aggiornati.

  • Se il proxy è stato configurato in precedenza usando le opzioni legacy, tra cui WiniNet o un aggiornamento della chiave del Registro di sistema, sarà necessario apportare modifiche usando il metodo usato originariamente. Per altre informazioni, vedere Modificare la configurazione del proxy usando metodi legacy.

Abilitare l'accesso con un tag di servizio

Invece di abilitare manualmente l'accesso a endpoint specifici, scaricare gli intervalli IP di Azure e i tag di servizio - Cloud pubblico e usare gli intervalli di indirizzi IP nel tag del servizio Azure AzureAdvancedThreatProtection per abilitare l'accesso a Defender per identità.

Per altre informazioni, vedere Tag del servizio di rete virtuale. Per le offerte del governo degli Stati Uniti, vedere Introduzione alle offerte del governo degli Stati Uniti.

Modificare la configurazione del proxy usando l'interfaccia della riga di comando

Prerequisiti: individuare il Microsoft.Tri.Sensor.Deployment.Deployer.exe file. Questo file si trova insieme all'installazione del sensore. Per impostazione predefinita, questo percorso è C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Per modificare la configurazione proxy del sensore corrente:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Per rimuovere completamente la configurazione proxy del sensore corrente:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Modificare la configurazione del proxy con PowerShell

Prerequisiti: prima di eseguire i comandi di PowerShell di Defender per identità, assicurarsi di aver scaricato il modulo PowerShell defender per identità.

È possibile visualizzare e modificare la configurazione del proxy per il sensore usando PowerShell. A tale scopo, accedere al server del sensore ed eseguire comandi come illustrato negli esempi seguenti:

Per visualizzare la configurazione proxy del sensore corrente:

Get-MDISensorProxyConfiguration

Per modificare la configurazione proxy del sensore corrente:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

In questo esempio viene impostata la configurazione proxy per il sensore defender per identità per l'uso del server proxy specificato senza credenziali.

Per rimuovere completamente la configurazione proxy del sensore corrente:

Clear-MDISensorProxyConfiguration

Per altre informazioni, vedere i riferimenti a PowerShell di DefenderForIdentity seguenti:

Modificare la configurazione del proxy usando metodi legacy

Se le impostazioni proxy sono state configurate in precedenza tramite WinINet o una chiave del Registro di sistema ed è necessario aggiornarle, sarà necessario usare lo stesso metodo usato in origine.

Durante la configurazione del proxy dalla riga di comando durante l'installazione, solo i servizi del sensore Defender per identità comunicano tramite il proxy, usando WinINet o un Registro di sistema consentono ad altri servizi in esecuzione nel contesto come sistema locale o servizio locale di indirizzare anche il traffico attraverso il proxy.

Configurare un server proxy tramite WinINet

Quando si configura il proxy tramite WinINet, tenere presente che il servizio sensore di Defender per identità incorporato viene eseguito nel contesto di sistema usando l'account LocalService e che il servizio di aggiornamento del sensore di identità Defender per identità viene eseguito nel contesto di sistema usando l'account LocalSystem .

  • Se si usa WinHTTP per la configurazione proxy, è comunque necessario configurare le impostazioni proxy del browser Windows Internet (WinINet) per la comunicazione tra il sensore e il servizio cloud Defender per identità.

  • Se si usa transparent proxy o WPAD nella topologia di rete, non è necessario configurare WinINet per il proxy.

Configurare un server proxy usando il Registro di sistema

Questa sezione descrive come configurare manualmente un server proxy statico usando un proxy statico basato sul Registro di sistema.

Importante

La configurazione di un proxy tramite il Registro di sistema influisce su tutte le applicazioni che usano WinINet con gli account LocalService e LocalSystem , inclusi i servizi di Windows.

Applicare le modifiche del Registro di sistema solo agli account LocalService e LocalSystem .

Per configurare il proxy, copiare la configurazione proxy nel contesto utente negli account LocalSystem e LocalService come indicato di seguito:

  1. Eseguire il backup delle chiavi del Registro di sistema.

  2. Nel Registro di sistema cercare il DefaultConnectionSettings valore come REG_BINARY, sotto la HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings chiave del Registro di sistema e copiarlo.

  3. LocalSystem Se non dispone delle impostazioni proxy corrette, copiare l'impostazione proxy da Current_User a LocalSystem, sotto la chiave del HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro di sistema.

    Assicurarsi di incollare il valore dalla Current_Userchiave del Registro di sistema come REG_BINARYDefaultConnectionSettings .

    Questa situazione può verificarsi se le impostazioni proxy non sono configurate o se sono diverse da Current_User.

  4. Se non LocalService dispone delle impostazioni proxy corrette, copiare l'impostazione proxy da Current_User a LocalService, sotto la chiave del HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro di sistema.

    Assicurarsi di incollare il valore dalla Current_Userchiave del Registro di sistema come REG_BINARYDefaultConnectionSettings .

Contenuto correlato

Per altre informazioni, vedi:

Passaggio successivo

Testare la connettività Microsoft Defender per identità »