Instellingen voor apparaatproxy en internetverbinding configurerenConfigure device proxy and Internet connectivity settings

Van toepassing op:Applies to:

Wilt u Defender voor Eindpunt ervaren?Want to experience Defender for Endpoint? Meld u aan voor een gratis proefversie.Sign up for a free trial.

Voor de Defender for Endpoint-sensor moet Microsoft Windows HTTP (WinHTTP) sensorgegevens rapporteren en communiceren met de Defender for Endpoint-service.The Defender for Endpoint sensor requires Microsoft Windows HTTP (WinHTTP) to report sensor data and communicate with the Defender for Endpoint service.

De ingesloten Defender voor Eindpunt-sensor wordt uitgevoerd in systeemcontext met behulp van het LocalSystem-account.The embedded Defender for Endpoint sensor runs in system context using the LocalSystem account. De sensor gebruikt Microsoft Windows HTTP Services (WinHTTP) om communicatie met de Defender for Endpoint-cloudservice in te stellen.The sensor uses Microsoft Windows HTTP Services (WinHTTP) to enable communication with the Defender for Endpoint cloud service.

Tip

Organisaties die forward proxy's gebruiken als gateway voor internet, kunt netwerkbeveiliging gebruiken om een proxy te onderzoeken.For organizations that use forward proxies as a gateway to the Internet, you can use network protection to investigate behind a proxy. Zie Verbindingsgebeurtenissen achter forward proxy's onderzoeken voor meer informatie.For more information, see Investigate connection events that occur behind forward proxies.

De configuratie-instelling WinHTTP is onafhankelijk van de instellingen Windows Internet (WinINet) voor internetbrowsingsproxy en kan alleen een proxyserver vinden met behulp van de volgende detectiemethoden:The WinHTTP configuration setting is independent of the Windows Internet (WinINet) Internet browsing proxy settings and can only discover a proxy server by using the following discovery methods:

  • Methoden voor automatische detectie:Auto-discovery methods:

    • Transparante proxyTransparent proxy

    • WPAD (Web Proxy Auto Discovery Protocol)Web Proxy Auto-discovery Protocol (WPAD)

      Notitie

      Als u Transparante proxy of WPAD gebruikt in de netwerktopologie, hebt u geen speciale configuratie-instellingen nodig.If you're using Transparent proxy or WPAD in your network topology, you don't need special configuration settings. Zie Access to Defender for Endpoint service URLLs inde proxy inschakelen voor meer informatie over URL-uitsluitingen van Defender voor eindpunten in de proxy.For more information on Defender for Endpoint URL exclusions in the proxy, see Enable access to Defender for Endpoint service URLs in the proxy server.

  • Hnadmatige statische proxyconfiguratieManual static proxy configuration:

    • Configuratie op basis van registerRegistry based configuration

    • WinHTTP geconfigureerd met de Netsh-opdracht– Alleen geschikt voor desktops in een stabiele topologie (bijvoorbeeld: een bureaublad in een bedrijfsnetwerk achter dezelfde proxy)WinHTTP configured using netsh command – Suitable only for desktops in a stable topology (for example: a desktop in a corporate network behind the same proxy)

De proxyserver handmatig configureren met een statische proxy op basis van het registerConfigure the proxy server manually using a registry-based static proxy

Configureer een statische proxy op basis van het register zodat alleen defender voor eindpunten-sensor diagnostische gegevens kan rapporteren en kan communiceren met Defender voor eindpuntservices als een computer geen verbinding mag maken met internet.Configure a registry-based static proxy to allow only Defender for Endpoint sensor to report diagnostic data and communicate with Defender for Endpoint services if a computer is not permitted to connect to the Internet.

Notitie

Wanneer u deze optie gebruikt op Windows 10 of Windows Server 2019, wordt het aanbevolen om de volgende (of latere) build- en cumulatieve update-rollup te hebben:When using this option on Windows 10 or Windows Server 2019, it is recommended to have the following (or later) build and cumulative update rollup:

Deze updates verbeteren de connectiviteit en betrouwbaarheid van het CnC-kanaal (Command and Control).These updates improve the connectivity and reliability of the CnC (Command and Control) channel.

De statische proxy kan worden geconfigureerd via Group Policy (GP).The static proxy is configurable through Group Policy (GP). U vindt het groepsbeleid onder:The group policy can be found under:

  • Beheersjablonen > Windows Onderdelen > Gegevensverzameling en Preview-builds > Geverifieerd proxygebruik configureren voor de verbonden gebruikerservaring en telemetrieserviceAdministrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service

    Stel deze in op Ingeschakeld en selecteer Geverifieerd proxygebruik uitschakelen.Set it to Enabled and select Disable Authenticated Proxy usage.

    Afbeelding van groepsbeleidsinstelling1

  • Beheersjablonen > Windows Onderdelen > Gegevensverzameling en Preview-builds > Verbonden gebruikerservaringen en telemetrie configureren:Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure connected user experiences and telemetry:

    De peoxy configurerenConfigure the proxy

    Afbeelding van groepsbeleidsinstelling2

    Met het beleid worden twee registerwaarden, TelemetryProxyServer als REG_SZ en DisableEnterpriseAuthProxy REG_DWORD, onder de registersleutel. HKLM\Software\Policies\Microsoft\Windows\DataCollectionThe policy sets two registry values, TelemetryProxyServer as REG_SZ and DisableEnterpriseAuthProxy as REG_DWORD, under the registry key HKLM\Software\Policies\Microsoft\Windows\DataCollection.

    De registerwaarde TelemetryProxyServer heeft de volgende tekenreeksindeling:The registry value TelemetryProxyServer takes the following string format:

    <server name or ip>:<port>
    

    Bijvoorbeeld: 10.0.0.6:8080For example: 10.0.0.6:8080

    De registerwaarde DisableEnterpriseAuthProxy moet worden ingesteld op 1.The registry value DisableEnterpriseAuthProxy should be set to 1.

De proxyserver handmatig configureren met de opdracht NetshConfigure the proxy server manually using netsh command

Gebruik netsh om een statische proxy voor het hele systeem te configureren.Use netsh to configure a system-wide static proxy.

Notitie

  • Dit is van invloed op alle toepassingen, inclusief Windows-services die WinHTTP met standaardproxy gebruiken.This will affect all applications including Windows services which use WinHTTP with default proxy.
  • Laptops die de topologie wijzigen (bijvoorbeeld van kantoor naar thuis) werken niet goed met netsh.Laptops that are changing topology (for example: from office to home) will malfunction with netsh. Gebruik de statische proxyconfiguratie op basis van het register.Use the registry-based static proxy configuration.
  1. Open een verhoogde opdrachtregel:Open an elevated command-line:

    1. Go to Start and type cmd.Go to Start and type cmd.

    2. Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.Right-click Command prompt and select Run as administrator.

  2. Voer de volgende opdracht in en druk op Enter:Enter the following command and press Enter:

    netsh winhttp set proxy <proxy>:<port>
    

    Bijvoorbeeld:netsh winhttp set proxy 10.0.0.6:8080For example: netsh winhttp set proxy 10.0.0.6:8080

Voer de volgende opdracht in en druk op Enter om de winhttp proxy opnieuw in te stellen:To reset the winhttp proxy, enter the following command and press Enter:

netsh winhttp reset proxy

Zie Syntaxis, contexten en opmaak van Netsh meer informatie.See Netsh Command Syntax, Contexts, and Formatting to learn more.

Toegang tot URL's van microsoft Defender voor eindpuntservice inschakelen op de proxyserverEnable access to Microsoft Defender for Endpoint service URLs in the proxy server

Als door een proxy of firewall standaard al het verkeer wordt geblokkeerd en alleen bepaalde domeinen worden toegestaan, voegt u de domeinen die worden vermeld in het downloadbare blad toe aan de lijst met toegestane domeinen.If a proxy or firewall is blocking all traffic by default and allowing only specific domains through, add the domains listed in the downloadable sheet to the allowed domains list.

In de volgende downloadbare spreadsheet vindt u de services en bijbehorende URL's waar uw netwerk verbinding mee moet kunnen maken.The following downloadable spreadsheet lists the services and their associated URLs that your network must be able to connect to. U moet ervoor zorgen dat er geen firewall- of netwerkfilterregels zijn die de toegang tot deze URL's weigeren, of u moet mogelijk een regel voor toestaan speciaal voor deze url's maken.You should ensure that there are no firewall or network filtering rules that would deny access to these URLs, or you may need to create an allow rule specifically for them.

Spreadsheet met domeinenlijstSpreadsheet of domains list OmschrijvingDescription
Thumb image for Microsoft Defender for Endpoint URLLs spreadsheet
Spreadsheet met specifieke DNS-records voor servicelocaties, geografische locaties en besturingssysteem.Spreadsheet of specific DNS records for service locations, geographic locations, and OS.

Download de spreadsheet hier.Download the spreadsheet here.

Als https-scannen (SSL-controle) is ingeschakeld voor een proxy of firewall, moet u de domeinen in de bovenstaande tabel uitsluiten van HTTPS-scannen.If a proxy or firewall has HTTPS scanning (SSL inspection) enabled, exclude the domains listed in the above table from HTTPS scanning.

Notitie

settings-win.data.microsoft.com is alleen nodig als u Windows 10 hebt met versie 1803 of eerder.settings-win.data.microsoft.com is only needed if you have Windows 10 devices running version 1803 or earlier.

URL's die v20 bevatten, zijn alleen nodig als u Windows 10 apparaten met versie 1803 of hoger hebt.URLs that include v20 in them are only needed if you have Windows 10 devices running version 1803 or later. Dit is bijvoorbeeld nodig voor een Windows 10 met versie 1803 of hoger en is aan boord van us us-v20.events.data.microsoft.com Data Storage regio.For example, us-v20.events.data.microsoft.com is needed for a Windows 10 device running version 1803 or later and onboarded to US Data Storage region.

Zie Netwerkverbindingen configureren Microsoft Defender Antivirus cloudservice als u Microsoft Defender Antivirus in uw omgeving gebruikt.If you are using Microsoft Defender Antivirus in your environment, see Configure network connections to the Microsoft Defender Antivirus cloud service.

Als een proxy of firewall anoniem verkeer blokkeert, aangezien defender voor eindpunten vanuit de systeemcontext verbinding maakt, moet u ervoor zorgen dat anoniem verkeer is toegestaan in de eerder genoemde URL's.If a proxy or firewall is blocking anonymous traffic, as Defender for Endpoint sensor is connecting from system context, make sure anonymous traffic is permitted in the previously listed URLs.

Microsoft Monitoring Agent (MMA) - proxy- en firewallvereisten voor oudere versies van Windows client of Windows ServerMicrosoft Monitoring Agent (MMA) - proxy and firewall requirements for older versions of Windows client or Windows Server

In de onderstaande informatie vindt u de configuratiegegevens van de proxy en firewall die nodig zijn om te communiceren met loganalyseagent (ook wel Microsoft Monitoring Agent genoemd) voor de vorige versies van Windows, zoals Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 en Windows Server 2016.The information below list the proxy and firewall configuration information required to communicate with Log Analytics agent (often referred to as Microsoft Monitoring Agent) for the previous versions of Windows such as Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, and Windows Server 2016.

Agent-resourceAgent Resource PoortenPorts RichtingDirection HTTPS-inspectie omzeilenBypass HTTPS inspection
*.ods.opinsights.azure.com*.ods.opinsights.azure.com Poort 443Port 443 UitgaandOutbound JaYes
*.oms.opinsights.azure.com*.oms.opinsights.azure.com Poort 443Port 443 UitgaandOutbound JaYes
*.blob.core.windows.net*.blob.core.windows.net Poort 443Port 443 UitgaandOutbound JaYes
*.azure-automation.net*.azure-automation.net Poort 443Port 443 UitgaandOutbound JaYes

Notitie

Als cloudoplossing kan het IP-bereik veranderen.As a cloud-based solution, the IP range can change. U wordt aangeraden over te gaan naar de instelling VOOR DNS-oplossing.It's recommended you move to DNS resolving setting.

Microsoft Monitoring Agent (MMA) Service URL-vereisten bevestigenConfirm Microsoft Monitoring Agent (MMA) Service URL Requirements

Raadpleeg de volgende richtlijnen om de vereiste jokerteken (*) voor uw specifieke omgeving te verwijderen wanneer u de Microsoft Monitoring Agent (MMA) gebruikt voor eerdere versies van Windows.Please see the following guidance to eliminate the wildcard (*) requirement for your specific environment when using the Microsoft Monitoring Agent (MMA) for previous versions of Windows.

  1. Onboard a previous operating system with the Microsoft Monitoring Agent (MMA) into Defender for Endpoint (for more information, see Onboard previous versions of Windows on Defender for Endpoint and Onboard Windows servers.Onboard a previous operating system with the Microsoft Monitoring Agent (MMA) into Defender for Endpoint (for more information, see Onboard previous versions of Windows on Defender for Endpoint and Onboard Windows servers.

  2. Controleer of de computer succesvol rapporteert in de Microsoft 365 Defender portal.Ensure the machine is successfully reporting into the Microsoft 365 Defender portal.

  3. Voer het TestCloudConnection.exe uit van 'C:\Program Files\Microsoft Monitoring Agent\Agent' om de connectiviteit te valideren en om de vereiste URL's voor uw specifieke werkruimte te bekijken.Run the TestCloudConnection.exe tool from “C:\Program Files\Microsoft Monitoring Agent\Agent” to validate the connectivity and to see the required URLs for your specific workspace.

  4. Controleer de lijst MET URL's van Microsoft Defender voor eindpunten voor de volledige lijst met vereisten voor uw regio (raadpleeg het spreadsheet Service-URL's).Check the Microsoft Defender for Endpoint URLs list for the complete list of requirements for your region (please refer to the Service URLs Spreadsheet).

    Afbeelding van beheerder in Windows PowerShell

De jokertekens () die worden gebruikt * in * .ods.opinsights.azure.com, .oms.opinsights.azure.com en .agentsvc.azure-automation.net URL-eindpunten kunnen worden vervangen door uw specifieke * werkruimte-id. *The wildcards (*) used in *.ods.opinsights.azure.com, *.oms.opinsights.azure.com, and *.agentsvc.azure-automation.net URL endpoints can be replaced with your specific Workspace ID. De werkruimte-id is specifiek voor uw omgeving en werkruimte en is te vinden in de sectie Onboarding van uw tenant binnen de Microsoft 365 Defender portal.The Workspace ID is specific to your environment and workspace and can be found in the Onboarding section of your tenant within the Microsoft 365 Defender portal.

Het .blob.core.windows.net URL-eindpunt kan worden vervangen door de URL's die worden weergegeven in de sectie * Firewallregel: * .blob.core.windows.net' van de testresultaten.The *.blob.core.windows.net URL endpoint can be replaced with the URLs shown in the "Firewall Rule: *.blob.core.windows.net" section of the test results.

Notitie

In het geval van onboarding via Azure Defender worden mogelijk meerdere werkruimten gebruikt.In the case of onboarding via Azure Defender, multiple workspaces maybe used. U moet de bovenstaande TestCloudConnection.exe uitvoeren op een onboarded machine vanuit elke werkruimte (om te bepalen of er wijzigingen zijn in de *.blob.core.windows.net-URL's tussen de werkruimten).You will need to perform the TestCloudConnection.exe procedure above on an onboarded machine from each workspace (to determine if there are any changes to the *.blob.core.windows.net URLs between the workspaces).

Clientconnectiviteit verifiëren met URL's van Microsoft Defender voor endpoint-serviceVerify client connectivity to Microsoft Defender for Endpoint service URLs

Controleer of de proxyconfiguratie is voltooid, of WinHTTP de proxyserver in uw omgeving kan vinden en communiceren, en of via de proxyserver verkeer wordt toegestaan naar de URL's van de Defender for Endpoint-service.Verify the proxy configuration completed successfully, that WinHTTP can discover and communicate through the proxy server in your environment, and that the proxy server allows traffic to the Defender for Endpoint service URLs.

  1. Download het hulpprogramma MDATP Client Analyzer naar de pc waarop de Defender for Endpoint-sensor wordt uitgevoerd.Download the MDATP Client Analyzer tool to the PC where Defender for Endpoint sensor is running on.

  2. Pak de inhoud van MDATPClientAnalyzer.zip uit op het apparaat.Extract the contents of MDATPClientAnalyzer.zip on the device.

  3. Open een verhoogde opdrachtregel:Open an elevated command-line:

    1. Go to Start and type cmd.Go to Start and type cmd.

    2. Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.Right-click Command prompt and select Run as administrator.

  4. Voer de volgende opdracht in en druk op Enter:Enter the following command and press Enter:

    HardDrivePath\MDATPClientAnalyzer.cmd
    

    Vervang HardDrivePath door het pad waar het hulpprogramma MDATPClientAnalyzer naar is gedownload, bijvoorbeeld:Replace HardDrivePath with the path where the MDATPClientAnalyzer tool was downloaded to, for example:

    C:\Work\tools\MDATPClientAnalyzer\MDATPClientAnalyzer.cmd
    
  5. Haal het MDATPClientAnalyzerResult.zip bestand op dat is gemaakt met het hulpprogramma in de map die wordt gebruikt in HardDrivePath.Extract the MDATPClientAnalyzerResult.zip file created by tool in the folder used in the HardDrivePath.

  6. Open MDATPClientAnalyzerResult.txt en controleer of u de configuratiestappen voor de proxy hebt uitgevoerd om serverdetectie en toegang tot de service-URL's in te stellen.Open MDATPClientAnalyzerResult.txt and verify that you have performed the proxy configuration steps to enable server discovery and access to the service URLs.

    Het hulpprogramma controleert de verbindingen van URL's van Defender voor Endpoint-service die voor Defender voor Endpoint-client zijn geconfigureerd voor interactie.The tool checks the connectivity of Defender for Endpoint service URLs that Defender for Endpoint client is configured to interact with. Vervolgens worden de resultaten afgedrukt in het bestand MDATPClientAnalyzerResult.txt voor elke URL die mogelijk kan worden gebruikt voor communicatie met Defender voor Endpoint-services.It then prints the results into the MDATPClientAnalyzerResult.txt file for each URL that can potentially be used to communicate with the Defender for Endpoint services. Bijvoorbeeld:For example:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

Als minimaal één van de connectiviteitsopties een status (200) retourneert, kan de Defender voor Endpoint-client met deze connectiviteitsmethode correct communiceren met de geteste URL.If at least one of the connectivity options returns a (200) status, then the Defender for Endpoint client can communicate with the tested URL properly using this connectivity method.

Als de resultaten van de connectiviteitscontrole echter aangeven dat er een fout is, wordt een HTTP-fout weergegeven (zie HTTP-statuscodes).However, if the connectivity check results indicate a failure, an HTTP error is displayed (see HTTP Status Codes). U kunt vervolgens de URL's in de tabel gebruiken die wordt weergegeven in Toegang tot URL's van de Defender voor eindpuntservice inschakelen op de proxyserver.You can then use the URLs in the table shown in Enable access to Defender for Endpoint service URLs in the proxy server. De URL's die u gebruikt, zijn afhankelijk van de regio die tijdens de onboardingprocedure is geselecteerd.The URLs you'll use will depend on the region selected during the onboarding procedure.

Notitie

Het hulpprogramma Connectivity Analyzer is niet compatibel met de ASR-regel Maken van processen via PSExec- en WMI-opdrachten blokkeren.The Connectivity Analyzer tool is not compatible with ASR rule Block process creations originating from PSExec and WMI commands. Schakel deze regel tijdelijk uit om het hulpprogramma Connectivity Analyzer uit te voeren.You will need to temporarily disable this rule to run the connectivity tool.

Wanneer de TelemetryProxyServer is ingesteld, in register of via groepsbeleid, valt Defender voor Eindpunt terug naar direct als deze geen toegang heeft tot de gedefinieerde proxy.When the TelemetryProxyServer is set, in Registry or via Group Policy, Defender for Endpoint will fall back to direct if it can't access the defined proxy.