Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem

  • Artykuł

Każdy czujnik usługi Microsoft Defender for Identity wymaga łączności z Internetem z usługą Defender for Identity w chmurze w celu raportowania danych czujników i pomyślnego działania.

W niektórych organizacjach kontrolery domeny nie są bezpośrednio połączone z Internetem, ale są połączone za pośrednictwem połączenia internetowego serwera proxy, a inspekcja protokołu SSL i przechwytywanie serwerów proxy nie są obsługiwane ze względów bezpieczeństwa. W takich przypadkach serwer proxy musi zezwolić na bezpośrednie przekazywanie danych z czujników usługi Defender for Identity do odpowiednich adresów URL bez przechwytywania.

Ważne

Firma Microsoft nie udostępnia serwera proxy. W tym artykule opisano sposób zapewniania dostępności wymaganych adresów URL za pośrednictwem skonfigurowanego serwera proxy.

Włączanie dostępu do adresów URL usługi Defender for Identity na serwerze proxy

Aby zapewnić maksymalne bezpieczeństwo i prywatność danych, usługa Defender for Identity używa opartego na certyfikatach wzajemnego uwierzytelniania między każdym czujnikiem usługi Defender for Identity i zapleczem usługi Defender for Identity. Inspekcja i przechwytywanie protokołu SSL nie są obsługiwane, ponieważ zakłócają proces uwierzytelniania.

Aby włączyć dostęp do usługi Defender for Identity, upewnij się, że zezwalasz na ruch do adresu URL czujnika przy użyciu następującej składni: <your-workspace-name>sensorapi.atp.azure.com. Na przykład contoso-corpsensorapi.atp.azure.com.

  • Jeśli serwer proxy lub zapora używa jawnych list dozwolonych, zalecamy również upewnienie się, że następujące adresy URL są dozwolone:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • Czasami adresy IP usługi Defender for Identity mogą ulec zmianie. Jeśli ręcznie skonfigurujesz adresy IP lub serwer proxy automatycznie rozpozna nazwy DNS na ich adres IP i używa ich, zalecamy okresowe sprawdzanie, czy skonfigurowane adresy IP są nadal aktualne.

  • Jeśli wcześniej skonfigurowano serwer proxy przy użyciu starszych opcji, w tym WiniNet lub aktualizacji klucza rejestru, musisz wprowadzić wszelkie zmiany przy użyciu metody, która została użyta pierwotnie. Aby uzyskać więcej informacji, zobacz Zmienianie konfiguracji serwera proxy przy użyciu starszych metod.

Włączanie dostępu za pomocą tagu usługi

Zamiast ręcznie włączać dostęp do określonych punktów końcowych, pobierz zakresy adresów IP platformy Azure i tagi usług — chmura publiczna i użyj zakresów adresów IP w tagu usługi AzureAdvancedThreatProtection platformy Azure, aby umożliwić dostęp do usługi Defender for Identity.

Aby uzyskać więcej informacji, zobacz Tagi usługi dla sieci wirtualnej. Aby zapoznać się z ofertami dla instytucji rządowych USA, zobacz Wprowadzenie do ofert dla instytucji rządowych USA.

Zmienianie konfiguracji serwera proxy przy użyciu interfejsu wiersza polecenia

Wymagania wstępne: znajdź Microsoft.Tri.Sensor.Deployment.Deployer.exe plik. Ten plik znajduje się razem z instalacją czujnika. Domyślnie ta lokalizacja to C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Aby zmienić konfigurację serwera proxy bieżącego czujnika:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Aby całkowicie usunąć konfigurację serwera proxy bieżącego czujnika:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Zmienianie konfiguracji serwera proxy przy użyciu programu PowerShell

Wymagania wstępne: Przed uruchomieniem poleceń programu PowerShell usługi Defender for Identity upewnij się, że pobrano moduł Defender for Identity programu PowerShell.

Konfigurację serwera proxy dla czujnika można wyświetlić i zmienić przy użyciu programu PowerShell. W tym celu zaloguj się do serwera czujnika i uruchom polecenia, jak pokazano w poniższych przykładach:

Aby wyświetlić konfigurację serwera proxy bieżącego czujnika:

Get-MDISensorProxyConfiguration

Aby zmienić konfigurację serwera proxy bieżącego czujnika:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

W tym przykładzie ustawia konfigurację serwera proxy dla czujnika usługi Defender for Identity, aby używać określonego serwera proxy bez żadnych poświadczeń.

Aby całkowicie usunąć konfigurację serwera proxy bieżącego czujnika:

Clear-MDISensorProxyConfiguration

Aby uzyskać więcej informacji, zobacz następujące odwołania do programu PowerShell defenderForIdentity:

Zmienianie konfiguracji serwera proxy przy użyciu starszych metod

Jeśli wcześniej skonfigurowano ustawienia serwera proxy za pośrednictwem sieci WinINet lub klucza rejestru i trzeba je zaktualizować, musisz użyć tej samej metody, której pierwotnie użyto.

Podczas konfigurowania serwera proxy z wiersza polecenia podczas instalacji zapewnia, że tylko usługi czujnika usługi Defender for Identity komunikują się za pośrednictwem serwera proxy, przy użyciu usługi WinINet lub rejestru zezwalają innym usługom działającym w kontekście jako system lokalny lub usługa lokalna, aby również kierować ruch przez serwer proxy.

Konfigurowanie serwera proxy przy użyciu usługi WinINet

Podczas konfigurowania serwera proxy przy użyciu usługi WinINet należy pamiętać, że osadzona usługa czujnika usługi Defender for Identity jest uruchamiana w kontekście systemu przy użyciu konta LocalService, a usługa aktualizatora defender for Identity działa w kontekście systemu przy użyciu konta LocalSystem.

  • Jeśli używasz winHTTP do konfiguracji serwera proxy, nadal musisz skonfigurować ustawienia serwera proxy przeglądarki Windows Internet (WinINet) na potrzeby komunikacji między czujnikiem i usługą Defender for Identity w chmurze.

  • Jeśli używasz przezroczystego serwera proxy lub WPAD w topologii sieci, nie musisz konfigurować sieci WinINet dla serwera proxy.

Konfigurowanie serwera proxy przy użyciu rejestru

W tej sekcji opisano sposób ręcznego konfigurowania statycznego serwera proxy przy użyciu statycznego serwera proxy opartego na rejestrze.

Ważne

Skonfigurowanie serwera proxy za pośrednictwem rejestru wpływa na wszystkie aplikacje korzystające z usługi WinINet z kontami LocalService i LocalSystem , w tym usługami systemu Windows.

Zastosuj zmiany rejestru tylko do kont LocalService i LocalSystem .

Aby skonfigurować serwer proxy, skopiuj konfigurację serwera proxy w kontekście użytkownika do kont LocalSystem i LocalService w następujący sposób:

  1. Tworzenie kopii zapasowej kluczy rejestru.

  2. W rejestrze wyszukaj DefaultConnectionSettings wartość jako REG_BINARY, w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings rejestru i skopiuj ją.

  3. Jeśli nie LocalSystem ma poprawnych ustawień serwera proxy, skopiuj ustawienie serwera proxy z Current_User folderu do , w kluczu LocalSystemHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings rejestru.

    Pamiętaj, aby wkleić wartość z Current_Userklucza rejestru jako DefaultConnectionSettingsREG_BINARY.

    Może się tak zdarzyć, jeśli ustawienia serwera proxy nie są skonfigurowane lub różnią się one od .Current_User

  4. Jeśli nie LocalService ma poprawnych ustawień serwera proxy, skopiuj ustawienie serwera proxy z Current_User folderu do LocalService, w kluczu HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings rejestru.

    Pamiętaj, aby wkleić wartość z Current_Userklucza rejestru jako DefaultConnectionSettingsREG_BINARY.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz:

Następny krok

Testowanie łączności usługi Microsoft Defender for Identity »