PASSAGGIO 2: Configurare i dispositivi per la connessione al servizio Defender per endpoint tramite un proxy
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Importante
I dispositivi configurati per il traffico solo IPv6 non sono supportati.
A seconda del sistema operativo, il proxy da usare per Microsoft Defender per endpoint può essere configurato automaticamente, in genere usando l'individuazione automatica o un file autoconfig o in modo statico specifico di Defender per Endpoint Services in esecuzione nel dispositivo.
- Per i dispositivi Windows, vedere Configurare le impostazioni di connettività Internet e proxy del dispositivo (questo articolo)
- Per i dispositivi Linux, vedere Configurare Microsoft Defender per endpoint in Linux per l'individuazione del proxy statico
- Per i dispositivi macOS, vedere Microsoft Defender per endpoint in Mac
Il sensore Defender per endpoint richiede Microsoft Windows HTTP (WinHTTP) per segnalare i dati del sensore e comunicare con il servizio Defender per endpoint. Il sensore Defender per endpoint incorporato viene eseguito nel contesto di sistema usando l'account LocalSystem.
Consiglio
Per le organizzazioni che usano proxy di inoltro come gateway a Internet, è possibile usare la protezione di rete per analizzare gli eventi di connessione che si verificano dietro i proxy di inoltro.
L'impostazione di configurazione WinHTTP è indipendente dalle impostazioni proxy di esplorazione di Windows Internet (WinINet) (vedere WinINet e WinHTTP). È possibile individuare un server proxy solo usando i metodi di individuazione seguenti:
Metodi di individuazione automatica:
Proxy trasparente
Protocollo Web Proxy Auto-discovery (WPAD)
Nota
Se si usa transparent proxy o WPAD nella topologia di rete, non sono necessarie impostazioni di configurazione speciali.
Configurazione manuale del proxy statico:
Configurazione basata sul registro
WinHTTP configurato usando il comando netsh: adatto solo per i desktop in una topologia stabile (ad esempio, un desktop in una rete aziendale dietro lo stesso proxy)
Nota
È possibile impostare in modo indipendente l'antivirus Defender e i proxy EDR. Nelle sezioni seguenti, tenere presente queste distinzioni.
Configurare manualmente il server proxy usando un'impostazione proxy statica basata sul Registro di sistema
Configurare un proxy statico basato sul Registro di sistema per il sensore di rilevamento e risposta di Defender per endpoint (EDR) per segnalare i dati di diagnostica e comunicare con Defender per Endpoint Services se a un computer non è consentito connettersi direttamente a Internet.
Nota
Assicurarsi sempre di applicare gli aggiornamenti più recenti per garantire la corretta connettività ai servizi di Defender per endpoint.
Le impostazioni proxy statiche sono configurabili tramite Criteri di gruppo. Entrambe le impostazioni in valori di Criteri di gruppo devono essere configurate. I criteri di gruppo sono disponibili in Modelli amministrativi.
Modelli > amministrativi Raccolta dei dati dei componenti > di Windows e build di anteprima > Configurare l'utilizzo del proxy autenticato per il servizio Esperienza utente connessa e telemetria.
Impostarlo su Abilitato e selezionare Disabilita l'utilizzo del proxy autenticato.
Modelli > amministrativi Raccolta di dati e versioni di anteprima dei componenti > di Windows Configurare esperienze > utente connesse e dati di telemetria:
Immettere le informazioni sul proxy.
Criteri di gruppo | Chiave del Registro di sistema | Voce del Registro di sistema | Valore |
---|---|---|---|
Configurare l'utilizzo del proxy autenticato per l'esperienza utente connessa e il servizio di telemetria | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Configurare esperienze utente connesse e dati di telemetria | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Ad esempio: 10.0.0.6:8080 (REG_SZ) |
Nota
Se si usa l'impostazione "TelemetryProxyServer" nei dispositivi altrimenti completamente offline, ovvero il sistema operativo non è in grado di connettersi per l'elenco di revoche di certificati online o Windows Update, è necessario aggiungere l'impostazione PreferStaticProxyForHttpRequest
aggiuntiva del Registro di 1
sistema con il valore .
Il percorso del registro padre per "PreferStaticProxyForHttpRequest" è "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Il comando seguente può essere usato per inserire il valore del Registro di sistema nel percorso corretto:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Il valore del Registro di sistema precedente è applicabile solo a partire da MsSense.exe versione 10.8210.* e successive o dalla versione 10.8049.* e successive.
Configurare un proxy statico per Microsoft Defender Antivirus
Microsoft Defender protezione fornita dal cloud antivirus offre una protezione quasi istantanea e automatizzata contro minacce nuove ed emergenti. Si noti che la connettività è necessaria per gli indicatori personalizzati quando Defender Antivirus è la soluzione antimalware attiva, nonché EDR in modalità blocco che fornisce un'opzione di fallback quando una soluzione non Microsoft non ha eseguito un blocco.
Configurare il proxy statico usando il Criteri di gruppo disponibile in Modelli amministrativi:
Modelli > amministrativi Componenti di > Windows Microsoft Defender Antivirus > Definire il server proxy per la connessione alla rete.
Impostarlo su Abilitato e definire il server proxy. Si noti che l'URL deve avere http:// o https://. Per le versioni supportate per https://, vedere Gestire gli aggiornamenti dell'antivirus Microsoft Defender.
Nella chiave
HKLM\Software\Policies\Microsoft\Windows Defender
del Registro di sistema i criteri impostano il valoreProxyServer
del Registro di sistema come REG_SZ.Il valore
ProxyServer
del Registro di sistema accetta il formato stringa seguente:<server name or ip>:<port>
Ad esempio: http://10.0.0.6:8080
Nota
Se si usa l'impostazione proxy statico nei dispositivi altrimenti completamente offline, ovvero il sistema operativo non è in grado di connettersi per l'elenco di revoche di certificati online o Windows Update, è necessario aggiungere l'impostazione aggiuntiva del Registro di sistema SSLOptions con un valore dword pari a 0. Il percorso del Registro di sistema padre per "SSLOptions" è "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
Ai fini della resilienza e della natura in tempo reale della protezione fornita dal cloud, Microsoft Defender Antivirus memorizza nella cache l'ultimo proxy funzionante noto. Assicurarsi che la soluzione proxy non esegua l'ispezione SSL. In questo modo la connessione cloud sicura verrà interrotta.
Microsoft Defender Antivirus non userà il proxy statico per connettersi a Windows Update o Microsoft Update per il download degli aggiornamenti. Al contrario, userà un proxy a livello di sistema se configurato per l'uso di Windows Update o l'origine di aggiornamento interna configurata in base all'ordine di fallback configurato.
Se necessario, è possibile usare i modelli > amministrativi Componenti > di Windows Microsoft Defender Antivirus > Define proxy auto-config (pac) per la connessione alla rete. Se è necessario configurare configurazioni avanzate con più proxy, usare i modelli > amministrativi Componenti > di Windows Microsoft Defender Antivirus > Definire gli indirizzi per ignorare il server proxy e impedire a Microsoft Defender Antivirus di usare un server proxy per tali destinazioni.
È possibile usare PowerShell con il Set-MpPreference
cmdlet per configurare queste opzioni:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Nota
Per usare correttamente il proxy, configurare queste tre diverse impostazioni proxy:
- Microsoft Defender per endpoint (MDE)
- AV (Antivirus)
- Rilevamento e risposta degli endpoint (EDR)
Configurare manualmente il server proxy usando il comando netsh
Usare netsh per configurare un proxy statico a livello di sistema.
Nota
- Questa operazione avrà effetto su tutte le applicazioni, inclusi i servizi di Windows che usano WinHTTP con proxy predefinito.
Aprire un prompt dei comandi con privilegi elevati:
- Passare a Start e digitare cmd.
- Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
Immettere il comando indicato di seguito e premere INVIO:
netsh winhttp set proxy <proxy>:<port>
Ad esempio:
netsh winhttp set proxy 10.0.0.6:8080
Per reimpostare il proxy winhttp, immettere il comando indicato di seguito e premere INVIO:
netsh winhttp reset proxy
Per altre informazioni, vedere Sintassi comando netsh, contesti e formattazione.
Dispositivi Windows che eseguono la soluzione basata su MMA precedente
I dispositivi in esecuzione in Windows 7, Windows 8.1, Windows Server 2008 R2 e i server non aggiornati all'agente unificato sfruttano Microsoft Monitoring Agent/ noto anche come agente di Log Analytics per connettersi al servizio Defender per endpoint.
È possibile sfruttare un'impostazione proxy a livello di sistema, configurare l'agente per la connessione tramite un proxy o un gateway di log analytics.
Configurare l'agente per l'uso di un proxy: configurazione del proxy
Configurare Azure Log Analytics (in precedenza noto come gateway OMS) per fungere da proxy o hub: agente di Azure Log Analytics
Aggiungere versioni precedenti di Windows
Passaggio successivo
PASSAGGIO 3: Verificare la connettività client agli URL del servizio Microsoft Defender per endpoint
Articoli correlati
- Ambienti disconnessi, proxy e Microsoft Defender per endpoint
- Usare le impostazioni di Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus
- Aggiungere dispositivi Windows
- Risolvere i problemi di onboarding Microsoft Defender per endpoint
- Eseguire l'onboarding di dispositivi senza accesso a Internet a Microsoft Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per