STAP 2: uw apparaten configureren om verbinding te maken met de Defender for Endpoint-service met behulp van een proxy
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Belangrijk
Apparaten die zijn geconfigureerd voor IPv6-verkeer, worden niet ondersteund.
Voor de Defender voor Eindpunt-sensor is Microsoft Windows HTTP (WinHTTP) vereist om sensorgegevens te rapporteren en te communiceren met de Defender for Endpoint-service. De ingesloten Defender for Endpoint-sensor wordt uitgevoerd in systeemcontext met behulp van het LocalSystem-account.
Tip
Voor organisaties die proxy's doorsturen als gateway naar internet gebruiken, kunt u netwerkbeveiliging gebruiken om verbindingsgebeurtenissen te onderzoeken die zich achter doorsturende proxy's voordoen.
De winHTTP-configuratie-instelling is onafhankelijk van de Windows Internet (WinINet) browseproxy-instellingen (zie WinINet versus WinHTTP). Een proxyserver kan alleen worden gedetecteerd met behulp van de volgende detectiemethoden:
Methoden voor automatische detectie:
Transparante proxy
WPAD (Web Proxy Auto Discovery Protocol)
Opmerking
Als u Transparante proxy of WPAD gebruikt in uw netwerktopologie, hebt u geen speciale configuratie-instellingen nodig.
Hnadmatige statische proxyconfiguratie
Configuratie op basis van register
WinHTTP geconfigureerd met behulp van netsh-opdracht: alleen geschikt voor desktops in een stabiele topologie (bijvoorbeeld: een bureaublad in een bedrijfsnetwerk achter dezelfde proxy)
Opmerking
Defender-antivirus- en EDR-proxy's kunnen onafhankelijk van elkaar worden ingesteld. Houd in de volgende secties rekening met deze verschillen.
De proxyserver handmatig configureren met een statische proxy op basis van het register
Configureer een op een register gebaseerde statische proxy voor EDR-sensor (Detectie en respons) van Defender for Endpoint om diagnostische gegevens te rapporteren en te communiceren met Defender for Endpoint-services als een computer geen verbinding met internet mag maken.
Opmerking
Wanneer u deze optie gebruikt in Windows 10, of Windows 11, of Windows Server 2019 of Windows Server 2022, wordt het aanbevolen om de volgende (of nieuwere) build en cumulatieve updatepakketten te gebruiken:
- Windows 11
- Windows 10 versie 1809 of Windows Server 2019 of Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10 versie 1909 -https://support.microsoft.com/kb/4601380
- Windows 10, versie 2004 -https://support.microsoft.com/kb/4601382
- Windows 10, versie 20H2 -https://support.microsoft.com/kb/4601382
Deze updates verbeteren de connectiviteit en betrouwbaarheid van het CnC-kanaal (Command and Control).
De statische proxy kan worden geconfigureerd via groepsbeleid (GP). Beide instellingen onder groepsbeleidswaarden moeten worden geconfigureerd op de proxyserver voor het gebruik van EDR. Het groepsbeleid is beschikbaar in Beheersjablonen.
Beheersjablonen > Gegevensverzameling en preview-builds > van Windows-onderdelen > Configureren geverifieerd proxygebruik voor de verbonden gebruikerservaring en telemetrieservice.
Stel deze in op Ingeschakeld en selecteer Geverifieerd proxygebruik uitschakelen.
Beheersjablonen > Gegevensverzameling en preview-versies > van Windows-onderdelen > Configureer verbonden gebruikerservaringen en telemetrie:
Configureer de proxy.
Groepsbeleid | Registersleutel | Registervermelding | Waarde |
---|---|---|---|
Geverifieerd proxygebruik configureren voor de verbonden gebruikerservaring en de telemetrieservice | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Verbonden gebruikerservaringen en telemetrie configureren | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Bijvoorbeeld: 10.0.0.6:8080 (REG_SZ) |
Opmerking
Als u de instelling 'TelemetryProxyServer' gebruikt op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling PreferStaticProxyForHttpRequest
toevoegen met de waarde .1
De locatie van het bovenliggende registerpad voor 'PreferStaticProxyForHttpRequest' is 'HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection'
De volgende opdracht kan worden gebruikt om de registerwaarde in te voegen op de juiste locatie:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
De bovenstaande registerwaarde is alleen van toepassing vanaf MsSense.exe versie 10.8210.* en hoger, of versie 10.8049.* en hoger.
Een statische proxy configureren voor Microsoft Defender Antivirus
Microsoft Defender Antivirus-cloudbeveiliging biedt bijna directe, geautomatiseerde bescherming tegen nieuwe en opkomende bedreigingen. Opmerking: de connectiviteit is vereist voor aangepaste indicatoren wanneer Defender Antivirus uw actieve antimalwareoplossing is. Voor EDR in de blokmodus beschikt over een primaire antimalwareoplossing bij gebruik van een niet-Microsoft-oplossing.
Configureer de statische proxy met behulp van de groepsbeleid die beschikbaar zijn in Beheersjablonen:
Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Proxyserver definiƫren om verbinding te maken met het netwerk.
Stel deze in op Ingeschakeld en definieer de proxyserver. De URL moet http:// of https:// hebben. Zie Microsoft Defender Antivirus-updates beheren voor ondersteunde versies voor https://.
Onder de registersleutel
HKLM\Software\Policies\Microsoft\Windows Defender
stelt het beleid de registerwaardeProxyServer
in als REG_SZ.De registerwaarde
ProxyServer
heeft de volgende tekenreeksindeling:<server name or ip>:<port>
Bijvoorbeeld:http://10.0.0.6:8080
Opmerking
Als u een statische proxy-instelling gebruikt op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling SSLOptions toevoegen met de dword-waarde 0. De locatie van het bovenliggende registerpad voor SSLOptions is 'HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet'
Voor tolerantiedoeleinden en de realtime aard van cloudbeveiliging wordt Microsoft Defender Antivirus de laatst bekende werkende proxy in de cache opgeslagen. Zorg ervoor dat uw proxyoplossing geen SSL-inspectie uitvoert. Hierdoor wordt de beveiligde cloudverbinding verbroken.
Microsoft Defender Antivirus gebruikt de statische proxy niet om verbinding te maken met Windows Update of Microsoft Update voor het downloaden van updates. In plaats daarvan wordt een systeembrede proxy gebruikt als deze is geconfigureerd voor het gebruik van Windows Update, of de geconfigureerde interne updatebron volgens de geconfigureerde terugvalvolgorde.
Indien nodig kunt u Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Define proxy auto-config (.pac) gebruiken om verbinding te maken met het netwerk. Als u geavanceerde configuraties met meerdere proxy's wilt instellen, gebruikt u Beheersjablonen > Windows-onderdelen > Microsoft Defender AntivirusAdressen > definiƫren om de proxyserver te omzeilen en te voorkomen dat Microsoft Defender Antivirus een proxyserver gebruikt voor deze bestemmingen.
U kunt PowerShell met de Set-MpPreference
cmdlet gebruiken om deze opties te configureren:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Opmerking
Als u de proxy correct wilt gebruiken, configureert u deze drie verschillende proxy-instellingen:
- Microsoft Defender voor Eindpunt (MDE)
- AV (antivirus)
- Eindpuntdetectie en -respons (EDR)
De proxyserver handmatig configureren met de netsh-opdracht
Gebruik netsh om een statische proxy voor het hele systeem te configureren.
Opmerking
- Dit is van invloed op alle toepassingen, inclusief Windows-services die WinHTTP met standaardproxy gebruiken.
Open een opdrachtpromptregel met verhoogde bevoegdheid:
- Go to Start and type cmd.
- Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.
Voer de volgende opdracht in en druk op Enter:
netsh winhttp set proxy <proxy>:<port>
Bijvoorbeeld:
netsh winhttp set proxy 10.0.0.6:8080
Voer de volgende opdracht in en druk op Enter om de winhttp proxy opnieuw in te stellen:
netsh winhttp reset proxy
Zie Syntaxis, contexten en opmaak van Netsh meer informatie.
Volgende stap
STAP 3: De clientverbinding met Microsoft Defender voor Eindpunt service-URL's controleren
Verwante artikelen
- Niet-verbonden omgevingen, proxy's en Microsoft Defender voor Eindpunt
- Groepsbeleid-instellingen gebruiken om Microsoft Defender Antivirus te configureren en te beheren
- Onboard Windows-apparaten
- Problemen met Microsoft Defender voor Eindpunt onboarding oplossen
- Apparaten zonder internettoegang onboarden voor Microsoft Defender voor Eindpunt
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor