KROK 2. Konfigurowanie urządzeń w celu nawiązania połączenia z usługą Defender for Endpoint przy użyciu serwera proxy

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ważna

Urządzenia skonfigurowane dla ruchu tylko dla protokołu IPv6 nie są obsługiwane.

Czujnik usługi Defender for Endpoint wymaga protokołu HTTP (WinHTTP) systemu Microsoft Windows do raportowania danych czujnika i komunikowania się z usługą Defender for Endpoint. Osadzony czujnik usługi Defender for Endpoint działa w kontekście systemu przy użyciu konta LocalSystem.

Porada

W przypadku organizacji korzystających z serwerów proxy przesyłania dalej jako bramy do Internetu można użyć ochrony sieci w celu zbadania zdarzeń połączenia występujących za serwerami proxy.

Ustawienie konfiguracji WinHTTP jest niezależne od ustawień serwera proxy przeglądania Internetu systemu Windows (WinINet) (zobacz WinINet a WinHTTP). Serwer proxy można odnajdywać tylko przy użyciu następujących metod odnajdywania:

  • Metody wykrywania automatycznego:

    • Przezroczysty serwer proxy

    • Protokół automatycznego odnajdywania serwera proxy sieci Web (WPAD)

      Uwaga

      Jeśli używasz przezroczystego serwera proxy lub WPAD w topologii sieci, nie potrzebujesz specjalnych ustawień konfiguracji.

  • Ręczna konfiguracja statycznego serwera proxy:

    • Konfiguracja oparta na rejestrze

    • WinHTTP skonfigurowane przy użyciu polecenia netsh: nadaje się tylko dla komputerów stacjonarnych w stabilnej topologii (na przykład: pulpit w sieci firmowej za tym samym serwerem proxy)

Uwaga

Oprogramowanie antywirusowe Defender i serwery proxy EDR można ustawić niezależnie. W poniższych sekcjach należy pamiętać o tych różnicach.

Ręczne konfigurowanie serwera proxy przy użyciu statycznego serwera proxy opartego na rejestrze

Skonfiguruj oparty na rejestrze statyczny serwer proxy dla czujnika wykrywania i reagowania punktu końcowego w usłudze Defender do raportowania danych diagnostycznych i komunikowania się z usługą Defender for Endpoint, jeśli komputer nie może łączyć się z Internetem.

Uwaga

W przypadku korzystania z tej opcji w systemie Windows 10, Windows 11, Windows Server 2019 lub Windows Server 2022 zaleca się utworzenie następującego (lub nowszego) zbiorczego pakietu zbiorczego aktualizacji:

Te aktualizacje zwiększają łączność i niezawodność kanału CnC (Command and Control).

Statyczny serwer proxy można skonfigurować za pomocą zasad grupy (GP), oba ustawienia w obszarze wartości zasad grupy powinny być skonfigurowane na serwerze proxy na potrzeby korzystania z EDR. Zasady grupy są dostępne w szablonach administracyjnych.

  • Szablony > administracyjne Zbieranie danych składników > systemu Windows i kompilacje w wersji zapoznawczej konfigurują > użycie uwierzytelnionego serwera proxy dla połączonego środowiska użytkownika i usługi telemetrii.

    Ustaw ją na wartość Włączone i wybierz pozycję Wyłącz użycie uwierzytelnionego serwera proxy.

    Okienko stanu ustawienia zasady grupy 1

  • Szablony > administracyjne Zbieranie danych składników > systemu Windows i kompilacje > w wersji zapoznawczej Konfigurowanie środowisk połączonych użytkowników i telemetrii:

    Skonfiguruj serwer proxy.

    Okienko stanu ustawienia zasady grupy 2

Zasady grupy Klucz rejestru Wpis rejestru Value
Konfigurowanie uwierzytelnionego użycia serwera proxy dla środowiska połączonego użytkownika i usługi telemetrii HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Konfigurowanie środowisk i danych telemetrycznych połączonych użytkowników HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Na przykład: 10.0.0.6:8080 (REG_SZ)

Uwaga

Jeśli używasz ustawienia "TelemetryProxyServer" na urządzeniach, które w przeciwnym razie są całkowicie w trybie offline, co oznacza, że system operacyjny nie może nawiązać połączenia z listą odwołania certyfikatów 1online lub Windows Update, konieczne jest dodanie dodatkowego ustawienia PreferStaticProxyForHttpRequest rejestru z wartością .

Lokalizacja ścieżki rejestru nadrzędnego dla elementu "PreferStaticProxyForHttpRequest" to "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"

Następujące polecenie może służyć do wstawiania wartości rejestru w prawidłowej lokalizacji:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

Powyższa wartość rejestru ma zastosowanie tylko od MsSense.exe wersji 10.8210.* lub nowszej lub wersji 10.8049.* i nowszych.

Konfigurowanie statycznego serwera proxy dla programu antywirusowego Microsoft Defender

Microsoft Defender Ochrona antywirusowa dostarczana w chmurze zapewnia niemal natychmiastową, zautomatyzowaną ochronę przed nowymi i pojawiającym się zagrożeniami. Uwaga: łączność jest wymagana dla niestandardowych wskaźników , gdy program antywirusowy Defender jest aktywnym rozwiązaniem chroniącym przed złośliwym oprogramowaniem. W przypadku środowiska EDR w trybie bloku jest używane podstawowe rozwiązanie chroniące przed złośliwym oprogramowaniem w przypadku korzystania z rozwiązania innego niż Microsoft.

Skonfiguruj statyczny serwer proxy przy użyciu zasady grupy dostępnych w szablonach administracyjnych:

  1. Szablony > administracyjne Składniki > systemu Windows Microsoft Defender program antywirusowy > Zdefiniuj serwer proxy na potrzeby nawiązywania połączenia z siecią.

  2. Ustaw ją na wartość Włączone i zdefiniuj serwer proxy. Należy pamiętać, że adres URL musi mieć http:// lub https://. Aby uzyskać informacje o obsługiwanych wersjach https://, zobacz Zarządzanie aktualizacjami programu antywirusowego Microsoft Defender.

    Serwer proxy programu antywirusowego Microsoft Defender

  3. W kluczu rejestru HKLM\Software\Policies\Microsoft\Windows Defenderzasady ustawiają wartość ProxyServer rejestru jako REG_SZ.

    Wartość ProxyServer rejestru przyjmuje następujący format ciągu:

    <server name or ip>:<port>

    Przykład: http://10.0.0.6:8080

Uwaga

Jeśli używasz statycznego ustawienia serwera proxy na urządzeniach, które w przeciwnym razie są całkowicie w trybie offline, co oznacza, że system operacyjny nie może nawiązać połączenia dla listy odwołania certyfikatów online lub Windows Update, konieczne jest dodanie dodatkowego ustawienia rejestru SSLOptions z wartością dword 0. Lokalizacja ścieżki rejestru nadrzędnego dla "SSLOptions" to "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
W celu zapewnienia odporności i w czasie rzeczywistym ochrony dostarczanej przez chmurę program antywirusowy Microsoft Defender będzie buforować ostatni znany działający serwer proxy. Upewnij się, że rozwiązanie serwera proxy nie przeprowadza inspekcji protokołu SSL. Spowoduje to przerwanie bezpiecznego połączenia w chmurze.

Microsoft Defender Program antywirusowy nie będzie używać statycznego serwera proxy do nawiązywania połączenia z Windows Update lub microsoft update w celu pobierania aktualizacji. Zamiast tego będzie używać serwera proxy dla całego systemu, jeśli zostanie skonfigurowany do używania Windows Update lub skonfigurowanego wewnętrznego źródła aktualizacji zgodnie ze skonfigurowaną kolejnością rezerwową.

W razie potrzeby można użyć szablonów administracyjnych > Składniki > systemu Windows Microsoft Defender Program antywirusowy > Zdefiniuj automatyczną konfigurację serwera proxy (pac) na potrzeby nawiązywania połączenia z siecią. Jeśli chcesz skonfigurować zaawansowane konfiguracje z wieloma serwerami proxy, użyj szablonów administracyjnych Składników >> systemu Windows Microsoft Defender antywirusowego > definiowania adresów, aby pominąć serwer proxy i uniemożliwić programowi antywirusowemu Microsoft Defender korzystania z serwera proxy dla tych miejsc docelowych.

Aby skonfigurować następujące opcje, możesz użyć programu PowerShell z Set-MpPreference poleceniem cmdlet:

  • ProxyBypass
  • ProxyPacUrl
  • Serwer proxy

Uwaga

Aby prawidłowo używać serwera proxy, skonfiguruj te trzy różne ustawienia serwera proxy:

  • Ochrona punktu końcowego w usłudze Microsoft Defender (MDE)
  • AV (oprogramowanie antywirusowe)
  • Wykrywanie i reagowanie punktów końcowych (EDR)

Ręczne konfigurowanie serwera proxy przy użyciu polecenia netsh

Za pomocą programu netsh skonfiguruj statyczny serwer proxy w całym systemie.

Uwaga

  • Będzie to miało wpływ na wszystkie aplikacje, w tym usługi systemu Windows, które używają protokołu WinHTTP z domyślnym serwerem proxy.

  1. Otwórz wiersz polecenia z podwyższonym poziomem poziomu:

    1. Przejdź do pozycji Start i wpisz cmd.
    2. Kliknij prawym przyciskiem myszy wiersz polecenia i wybierz pozycję Uruchom jako administrator.

  2. Wprowadź następujące polecenie i naciśnij klawisz Enter:

    netsh winhttp set proxy <proxy>:<port>

    Przykład: netsh winhttp set proxy 10.0.0.6:8080

Aby zresetować serwer proxy winhttp, wprowadź następujące polecenie i naciśnij klawisz Enter:

netsh winhttp reset proxy

Aby dowiedzieć się więcej , zobacz Składnia poleceń netsh, konteksty i formatowanie .

Następny krok

KROK 3. Weryfikowanie łączności klienta z adresami URL usługi Ochrona punktu końcowego w usłudze Microsoft Defender

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.