Configurare le impostazioni di connettività Proxy e Internet del dispositivo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Il sensore Defender per endpoint richiede Microsoft Windows HTTP (WinHTTP) per segnalare i dati del sensore e comunicare con il servizio Defender per endpoint. Il sensore Defender per endpoint incorporato viene eseguito nel contesto di sistema usando l'account LocalSystem. Il sensore usa Microsoft Windows HTTP Services (WinHTTP) per abilitare la comunicazione con il servizio cloud Defender per endpoint.

Suggerimento

Per le organizzazioni che usano proxy di inoltro come gateway a Internet, è possibile usare la protezione di rete per analizzare gli eventi di connessione che si verificano dietro i proxy di inoltro.

L'impostazione di configurazione WinHTTP è indipendente dalle impostazioni proxy di esplorazione Windows Internet (WinINet) (vedere WinINet e WinHTTP). È possibile individuare un server proxy solo usando i metodi di individuazione seguenti:

  • Metodi di individuazione automatica:

  • Configurazione manuale del proxy statico:

    • Configurazione basata sul registro

    • WinHTTP configurato usando il comando netsh: adatto solo per i desktop in una topologia stabile (ad esempio, un desktop in una rete aziendale dietro lo stesso proxy)

Nota

L'antivirus Defender e i proxy EDR possono essere impostati in modo indipendente. Nelle sezioni seguenti, tenere presente queste distinzioni.

Configurare manualmente il server proxy con un proxy statico basato sul registro

Configurare un proxy statico basato sul Registro di sistema per il sensore di rilevamento e risposta di Defender per endpoint (EDR) per segnalare i dati di diagnostica e comunicare con Defender per Endpoint Services se a un computer non è consentito connettersi a Internet.

Nota

Quando si usa questa opzione in Windows 10, Windows 11 o Windows Server 2019 o Windows Server 2022, è consigliabile eseguire la compilazione e l'aggiornamento cumulativo seguenti (o versioni successive):

Questi aggiornamenti migliorano la connettività e l'affidabilità del canale CnC (comando e controllo).

Il proxy statico è configurabile tramite Criteri di gruppo, entrambe le impostazioni in valori di Criteri di gruppo devono essere configurate per il server proxy per l'uso di EDR. I criteri di gruppo sono disponibili in Modelli amministrativi.

  • Modelli amministrativi > Windows componenti > raccolte dati e versioni di anteprima > Configurare l'utilizzo del proxy autenticato per il servizio Esperienza utente connessa e telemetria.

    Impostarlo su Abilitato e selezionare Disabilita l'utilizzo del proxy autenticato.

    Riquadro di stato Criteri di gruppo setting1

  • Modelli amministrativi > Windows Componenti > Raccolte dati e versioni di anteprima > Configurare esperienze utente connesse e dati di telemetria:

    Configurare il proxy.

    Riquadro stato Criteri di gruppo setting2

Criteri di gruppo Chiave del Registro di sistema Voce del Registro di sistema Valore
Configurare l'utilizzo del proxy autenticato per l'esperienza utente connessa e il servizio di telemetria HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Configurare esperienze utente connesse e dati di telemetria HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Ad esempio: 10.0.0.6:8080 (REG_SZ)

Configurare un proxy statico per Antivirus Microsoft Defender

Antivirus Microsoft Defender protezione fornita dal cloud offre una protezione quasi istantanea e automatizzata contro minacce nuove ed emergenti. Si noti che la connettività è necessaria per gli indicatori personalizzati quando Defender Antivirus è la soluzione antimalware attiva. Per EDR in modalità blocco ha una soluzione antimalware primaria quando si usa una soluzione non Microsoft.

Configurare il proxy statico usando il Criteri di gruppo disponibile in Modelli amministrativi:

  1. Modelli amministrativi > Windows Componenti > Antivirus Microsoft Defender > Definire il server proxy per la connessione alla rete.

  2. Impostarlo su Abilitato e definire il server proxy. Si noti che l'URL deve avere http:// o https://. Per le versioni supportate per https://, vedere Gestire gli aggiornamenti Antivirus Microsoft Defender.

    Server proxy per Antivirus Microsoft Defender

  3. Nella chiave HKLM\Software\Policies\Microsoft\Windows Defenderdel Registro di sistema i criteri impostano il valore ProxyServer del Registro di sistema come REG_SZ.

    Il valore ProxyServer del Registro di sistema accetta il formato stringa seguente:

    <server name or ip>:<port>
    
    For example: http://10.0.0.6:8080
    

Nota

Ai fini della resilienza e della natura in tempo reale della protezione fornita dal cloud, Antivirus Microsoft Defender memorizzano nella cache l'ultimo proxy funzionante noto. Assicurarsi che la soluzione proxy non esegua l'ispezione SSL. In questo modo la connessione cloud sicura verrà interrotta.

Antivirus Microsoft Defender non userà il proxy statico per connettersi a Windows Update o Microsoft Update per scaricare gli aggiornamenti. Al contrario, userà un proxy a livello di sistema se configurato per l'uso di Windows Update o l'origine di aggiornamento interna configurata in base all'ordine di fallback configurato.

Se necessario, è possibile usare Modelli amministrativi > Windows Componenti > Antivirus Microsoft Defender > Definire la configurazione automatica del proxy (pac) per la connessione alla rete. Se è necessario configurare configurazioni avanzate con più proxy, usare Modelli amministrativi > Windows Componenti > Antivirus Microsoft Defender > Definire gli indirizzi per ignorare il server proxy e impedire a Antivirus Microsoft Defender di usare un server proxy per tali destinazioni.

È possibile usare PowerShell con il Set-MpPreference cmdlet per configurare queste opzioni:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Nota

Per usare correttamente il proxy, configurare queste tre diverse impostazioni proxy:

  • Microsoft Defender per endpoint (MDE)
  • AV (Antivirus)
  • Rilevamento e risposta degli endpoint (EDR)

Configurare manualmente il server proxy usando il comando netsh

Usare netsh per configurare un proxy statico a livello di sistema.

Nota

  • Questa operazione avrà effetto su tutte le applicazioni, inclusi i servizi di Windows che usano WinHTTP con proxy predefinito.
  • I portatili che modificano la topologia (ad esempio, da ufficio a casa) non funzionano correttamente con il comando netsh. È consigliabile usare la configurazione del proxy statico basata sul registro.
  1. Aprire un prompt dei comandi con privilegi elevati:

    1. Passare a Start e digitare cmd.
    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
  2. Immettere il comando indicato di seguito e premere INVIO:

    netsh winhttp set proxy <proxy>:<port>
    

    Ad esempio: netsh winhttp set proxy 10.0.0.6:8080

Per reimpostare il proxy winhttp, immettere il comando indicato di seguito e premere INVIO:

netsh winhttp reset proxy

Per altre informazioni, vedere Sintassi comando netsh, contesti e formattazione.

Abilitare l'accesso agli URL del servizio Microsoft Defender per endpoint nel server proxy

Per impostazione predefinita, se un proxy o un firewall blocca tutto il traffico per impostazione predefinita e consente solo domini specifici, aggiungere i domini elencati nel foglio scaricabile all'elenco dei domini consentiti.

Il foglio di calcolo scaricabile seguente elenca i servizi e gli URL associati che la rete deve essere in grado di connettere. Assicurarsi che non siano presenti regole di filtro del firewall o di rete per negare l'accesso a questi URL. Facoltativo, potrebbe essere necessario creare una regola di autorizzazione specifica.


Foglio di calcolo dell'elenco dei domini Descrizione
Microsoft Defender per endpoint elenco URL per i clienti commerciali Foglio di calcolo di record DNS specifici per le località di servizio, le posizioni geografiche e il sistema operativo per i clienti commerciali.

Scaricare il foglio di calcolo qui.

Si noti che Microsoft Defender per endpoint Piano 1 e Piano 2 condividono gli stessi URL del servizio proxy.

Microsoft Defender per endpoint elenco URL per Gov/GCC/DoD Foglio di calcolo di record DNS specifici per località di servizio, posizioni geografiche e sistema operativo per i clienti Gov/GCC/DoD.

Scaricare il foglio di calcolo qui.

Se un proxy o un firewall ha l’analisi HTTPS (ispezione SSL) abilitata, bisogna escludere i domini elencati nella tabella di analisi HTTPS di cui sopra. Nel firewall aprire tutti gli URL in cui la colonna geography è WW. Per le righe in cui la colonna geography non è WW, aprire gli URL nella posizione dei dati specifica. Per verificare l'impostazione della posizione dei dati, vedere Verificare il percorso di archiviazione dei dati e aggiornare le impostazioni di conservazione dei dati per Microsoft Defender per endpoint.

Nota

Windows dispositivi in esecuzione con la versione 1803 o precedente necessita di settings-win.data.microsoft.com.

Gli URL che includono la versione 20 sono necessari solo se sono presenti dispositivi Windows che eseguono la versione 1803 o successiva. Ad esempio, us-v20.events.data.microsoft.com è necessario per un dispositivo Windows che esegue la versione 1803 o successiva ed è stato eseguito l'onboarding nell'area Archiviazione dati degli Stati Uniti.

Se un proxy o un firewall blocca il traffico anonimo come sensore Defender per endpoint e si connette dal contesto di sistema per assicurarsi che il traffico anonimo sia consentito negli URL elencati in precedenza.

Nota

Microsoft non fornisce un server proxy. Questi URL sono accessibili tramite il server proxy configurato.

Microsoft Monitoring Agent (MMA): requisiti del proxy e del firewall per le versioni precedenti del client Windows o del server Windows

Le informazioni nell'elenco delle informazioni di configurazione del proxy e del firewall sono necessarie per comunicare con l'agente di Log Analytics (spesso definito Microsoft Monitoring Agent) per le versioni precedenti di Windows, ad esempio Windows 7 SP1, Windows 8.1 e Windows Server 2008 R2*.



Risorsa all'agente Porte Direzione Disabilita ispezione HTTP
*.ods.opinsights.azure.com Porta 443 In uscita
*.oms.opinsights.azure.com Porta 443 In uscita
*.blob.core.windows.net Porta 443 In uscita
*.azure-automation.net Porta 443 In uscita

Nota

*Questi requisiti di connettività si applicano alla Microsoft Defender per endpoint precedente di Windows Server 2016 e Windows Server 2012 R2 che richiede MMA. Le istruzioni per eseguire l'onboarding di questi sistemi operativi con la nuova soluzione unificata sono disponibili in Eseguire l'onboarding dei server Windows o eseguire la migrazione alla nuova soluzione unificata negli scenari di migrazione server in Microsoft Defender per endpoint.

Nota

Come soluzione basata sul cloud, l'intervallo IP può cambiare. È consigliabile passare all'impostazione di risoluzione DNS.

Verificare i requisiti dell'URL del servizio Microsoft Monitoring Agent (MMA)

Vedere le indicazioni seguenti per eliminare il requisito di caratteri jolly (*) per l'ambiente specifico quando si usa il Microsoft Monitoring Agent (MMA) per le versioni precedenti di Windows.

  1. Eseguire l'onboarding di un sistema operativo precedente con il Microsoft Monitoring Agent (MMA) in Defender per endpoint (per altre informazioni, vedere Onboarding di versioni precedenti di Windows in Defender per endpoint e Onboarding di server Windows).

  2. Verificare che il computer stia segnalando correttamente nel portale di Microsoft 365 Defender.

  3. Eseguire lo strumento TestCloudConnection.exe da "C:\Programmi\Microsoft Monitoring Agent\Agent" per convalidare la connettività e ottenere gli URL necessari per l'area di lavoro specifica.

  4. Controllare l'elenco degli URL Microsoft Defender per endpoint per l'elenco completo dei requisiti per l'area (fare riferimento al foglio di calcolo degli URL del servizio).

    Amministratore in Windows PowerShell

I caratteri jolly (*) usati negli *endpoint con estensione ods.opinsights.azure.com, *oms.opinsights.azure.com e *URL con estensione agentsvc.azure-automation.net possono essere sostituiti con l'ID area di lavoro specifico. L'ID area di lavoro è specifico per l'ambiente e l'area di lavoro. È disponibile nella sezione Onboarding del tenant all'interno del portale di Microsoft 365 Defender.

L'endpoint *URL con estensione blob.core.windows.net può essere sostituito con gli URL visualizzati nella sezione "Regola del firewall: *.blob.core.windows.net" dei risultati del test.

Nota

Nel caso dell'onboarding tramite Microsoft Defender per il cloud, è possibile usare più aree di lavoro. Sarà necessario eseguire la procedura TestCloudConnection.exe nel computer sottoposto a onboarding da ogni area di lavoro (per determinare se sono presenti modifiche agli URL *.blob.core.windows.net tra le aree di lavoro).

Verificare la connettività client agli URL del servizio Microsoft Defender per endpoint

Verificare che la configurazione del proxy sia stata completata correttamente. WinHTTP può quindi individuare e comunicare tramite il server proxy nell'ambiente e quindi il server proxy consentirà il traffico verso gli URL del servizio Defender per endpoint.

  1. Scaricare lo strumento Microsoft Defender per endpoint Analizzatore client nel PC in cui è in esecuzione il sensore Defender per endpoint. Per i server di livello inferiore, usare l'edizione di anteprima più recente disponibile per il download Microsoft Defender per endpoint strumento Analizzatore client Beta.

  2. Estrarre il contenuto di MDEClientAnalyzer.zip nel dispositivo.

  3. Aprire un prompt dei comandi con privilegi elevati:

    1. Passare a Start e digitare cmd.
    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
  4. Immettere il comando indicato di seguito e premere INVIO:

    HardDrivePath\MDEClientAnalyzer.cmd
    

    Sostituire HardDrivePath con il percorso in cui è stato scaricato lo strumento MDEClientAnalyzer. Ad esempio:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. Lo strumento crea ed estrae il file MDEClientAnalyzerResult.zip nella cartella da usare in HardDrivePath.

  6. Aprire MDEClientAnalyzerResult.txt e verificare di aver eseguito i passaggi di configurazione del proxy per abilitare l'individuazione del server e l'accesso agli URL del servizio.

    Lo strumento controlla la connettività degli URL del servizio Defender per endpoint. Verificare che il client Defender per endpoint sia configurato per l'interazione. Lo strumento stamperà i risultati nel file MDEClientAnalyzerResult.txt per ogni URL che può essere usato potenzialmente per comunicare con Defender per i servizi endpoint. Ad esempio:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

Se una delle opzioni di connettività restituisce uno stato (200), il client Defender per endpoint può comunicare correttamente con l'URL testato usando questo metodo di connettività.

Tuttavia, se i risultati della verifica della connettività indicano un errore, viene visualizzato un errore HTTP (vedere codici di stato HTTP). È quindi possibile usare gli URL nella tabella illustrata in Abilitare l'accesso agli URL del servizio Defender per endpoint nel server proxy. Gli URL disponibili per l'uso dipendono dall'area selezionata durante la procedura di onboarding.

Nota

I controlli di connettività cloud dello strumento Analizzatore connettività non sono compatibili con le creazioni di processi di processo di blocco della regola di riduzione della superficie di attacco provenienti dai comandi PSExec e WMI. Sarà necessario disabilitare temporaneamente questa regola per eseguire lo strumento di connettività. In alternativa, è possibile aggiungere temporaneamente esclusioni asr durante l'esecuzione dell'analizzatore.

Quando TelemetryProxyServer è impostato nel Registro di sistema o tramite Criteri di gruppo, Defender per endpoint restituirà il ritorno, non riesce ad accedere al proxy definito.