Configurar definições de conectividade à Internet e proxy do dispositivo
Aplica-se a:
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O sensor do Defender para Pontos Finais necessita do Microsoft Windows HTTP (WinHTTP) para comunicar dados do sensor e comunicar com o serviço Defender para Pontos Finais. O Defender incorporado do sensor Endpoint é executado no contexto do sistema com a conta LocalSystem. O sensor utiliza o Microsoft Windows HTTP Services (WinHTTP) para ativar a comunicação com o serviço em nuvem do Defender para Ponto Final.
Dica
Para organizações que utilizam proxies encaminhados como um gateway para a Internet, pode utilizar a proteção de rede para investigar eventos de ligação que ocorrem atrás de proxies encaminhados.
A definição de configuração do WinHTTP é independente das definições de proxy de navegação no Windows Internet (WinINet) (consulte WinINet vs. WinHTTP). Só pode descobrir um servidor proxy através dos seguintes métodos de deteção:
Métodos de deteção automática:
Proxy transparente
Protocolo WPAD (Web Proxy Auto-Discovery Protocol)
Nota
Se estiver a utilizar o proxy Transparente ou o WPAD na topologia da sua rede, não precisa de definições de configuração especiais. Para obter mais informações sobre o Defender para exclusões de URL de Ponto Final no proxy, consulte Ativar o acesso ao Defender para URLs do serviço endpoint no servidor proxy
Configuração de proxy estática manual:
Configuração baseada no registo
WinHTTP configurado com o comando Netsh: adequado apenas para ambientes de trabalho numa topologia estável (por exemplo: um ambiente de trabalho numa rede empresarial atrás do mesmo proxy)
Nota
O antivírus e DRP proxies do defender podem ser definidos de forma independente. Nas secções seguintes, tenha em atenção essas distinções.
Configurar o servidor proxy manualmente através de um proxy estático baseado no registo
Configure um proxy estático baseado no registo para o Defender para sensor de resposta e de deteção de pontos finais (DRP) para comunicar dados de diagnóstico e comunicar com o Defender para serviços de Pontos Finais se um computador não tiver permissão para se ligar à Internet.
Nota
Ao utilizar esta opção no Windows 10, no Windows 11, no Windows Server 2019 ou no Windows Server 2022, recomenda-se que tenha a seguinte comtrução (ou posterior) e o rollup de atualizações cumulativas:
- Windows 11
- Windows 10, versão 1809 ou Windows Server 2019 ou Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10, versão 1909 -https://support.microsoft.com/kb/4601380
- Windows 10, versão 2004 -https://support.microsoft.com/kb/4601382
- Windows 10, versão 20H2 -https://support.microsoft.com/kb/4601382
Estas atualizações melhoram a conectividade e a fiabilidade do canal CnC (Comando e Controlo).
O proxy estático é configurável através da política de grupo (GP), ambas as definições nos valores da política de grupo devem ser configuradas no servidor proxy para utilizar DRP. A política de grupo está disponível em Modelos Administrativos.
Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service (Configurar a utilização do Proxy Autenticado para o Serviço de Telemetria e Experiência do Utilizador Ligado).
Defina-a como Ativada e selecione Desativar a utilização do Proxy Autenticado.
Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure experiências de utilizador ligadas e telemetria:
Configure o proxy.
| Política de Grupo | Chave de registo | Entrada de registo | Valor |
|---|---|---|---|
| Configurar a utilização autenticada do proxy para a experiência do utilizador ligado e o serviço de telemetria | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| Configurar experiências do utilizador ligadas e telemetria | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Por exemplo: 10.0.0.6:8080 (REG_SZ) |
Configurar um proxy estático para Antivírus do Microsoft Defender
Antivírus do Microsoft Defender proteção fornecida pela nuvem fornece proteção quase instantânea e automatizada contra ameaças novas e emergentes. Tenha em atenção que a conectividade é necessária para indicadores personalizados quando o Antivírus do Defender for a sua solução anti-software malicioso ativa. Para DRP no modo de bloqueio tem uma solução anti-software malware principal ao utilizar uma solução que não é da Microsoft.
Configure o proxy estático utilizando o Política de Grupo disponível em Modelos Administrativos:
Modelos Administrativos > Windows Componentes > Antivírus do Microsoft Defender > Definir servidor proxy para ligação à rede.
Defina-o como Ativado e defina o servidor proxy. Tenha em atenção que o URL tem de ter http:// ou https://. Para versões suportadas para https://, consulte Gerir Antivírus do Microsoft Defender atualizações.
Na chave de registo
HKLM\Software\Policies\Microsoft\Windows Defender, a política define o valor do registo comoProxyServerREG_SZ.O valor de registo tem
ProxyServero seguinte formato de cadeia:<server name or ip>:<port> For example: http://10.0.0.6:8080
Nota
Para efeitos de resiliência e a natureza em tempo real da proteção fornecida pela nuvem, o Antivírus do Microsoft Defender irá pôr em cache o último proxy de trabalho conhecido. Certifique-se de que a sua solução proxy não efetua uma inspeção SSL. Esta ação irá quebrar a ligação à nuvem segura.
Antivírus do Microsoft Defender utilizará o proxy estático para se ligar ao Windows Update ou Ao Microsoft Update para transferir atualizações. Em vez disso, irá utilizar um proxy para todo o sistema se estiver configurado para utilizar o Windows Update ou a origem de atualização interna configurada de acordo com a ordem de recuo configurada.
Se necessário, pode utilizar Modelos Administrativos > Windows Componentes > Antivírus do Microsoft Defender > Definir configuração automática do proxy (.pac) para ligar à rede. Se precisar de configurar configurações avançadas com múltiplos proxies, utilize os Modelos Administrativos > Windows Components > Antivírus do Microsoft Defender > Definir endereços para desaceder ao servidor proxy e impedir que o Antivírus do Microsoft Defender utilize um servidor proxy para esses destinos.
Pode utilizar o PowerShell com Set-MpPreference o cmdlet para configurar estas opções:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Nota
Para utilizar o proxy corretamente, configure estas três definições de proxy diferentes:
- Microsoft Defender para Endpoint (MDE)
- AV (Antivírus)
- Deteção e Resposta de Pontos Finais (DRP)
Configurar o servidor proxy manualmente utilizando o comando Netsh
Utilize o Netsh para configurar um proxy estático ao nível do sistema.
Nota
- Isto afetará todas as aplicações, incluindo Windows que utilizam o WinHTTP com o proxy predefinido.
- Os portáteis que estão a alterar a topologia (por exemplo: de escritório para casa) irão funcionar com o comando Netsh. Utilize a configuração de proxy estática baseada no registo.
Abrir uma linha de comandos elevada:
- Vá para Iniciar e escreva cmd.
- Clique com o botão direito do rato em Comando e selecione Executar como administrador.
Introduza o seguinte comando e prima Enter:
netsh winhttp set proxy <proxy>:<port>Por exemplo:
netsh winhttp set proxy 10.0.0.6:8080
Para repor o proxy Winhttp, introduza o seguinte comando e prima Enter:
netsh winhttp reset proxy
Consulte a Sintaxe de Comandos, Contextos e Formatação do Netsh para saber mais.
Ativar o acesso Microsoft Defender para Endpoint URLs de serviço no servidor proxy
Por predefinição, se um proxy ou firewall estiver a bloquear todo o tráfego por predefinição e permitir apenas domínios específicos, adicione os domínios listados na folha transferível à lista de domínios permitidos.
A seguinte lista de distribuição transferível indica os serviços e os URLs associados que a sua rede tem de conseguir ligar. Certifique-se de que não existem regras de filtragem de rede ou firewall para negar o acesso a estes URLs. Opcional, poderá ter de criar uma regra de permitir especificamente para as pessoas em geral.
| Lista de domínios da lista de domínios | Descrição |
|---|---|
| Microsoft Defender para Endpoint URL para clientes comerciais | Uma seleção de registos DNS específicos para localizações de serviço, localizações geográficas e SO para clientes comerciais. Tenha em atenção Microsoft Defender para Endpoint Plano 1 e Plano 2 partilham os mesmos URLs de serviço proxy. |
| Microsoft Defender para Endpoint urL para Gov/GCC/DoD | Uma seleção de registos DNS específicos para localizações de serviço, localizações geográficas e SO para clientes do Gov/GCC/DoD. |
Se um proxy ou firewall tiver a análise de HTTPS (inspeção SSL) ativada, exclua os domínios listados na tabela acima da análise de HTTPS. Na sua firewall, abra todos os URLs em que a coluna geográfica é WW. Para linhas em que a coluna geografia não seja WW, abra os URLs na sua localização de dados específica. Para verificar a sua definição de localização de dados, consulte Verificar a localização do armazenamento de dados e atualizar as definições de retenção de dados Microsoft Defender para Endpoint.
Nota
Windows com a versão 1803 ou anteriorsettings-win.data.microsoft.com.
Os URLs que incluam v20 apenas são necessários se tiver dispositivos Windows a executar a versão 1803 ou posterior. Por exemplo, é us-v20.events.data.microsoft.com necessário para um dispositivo Windows com a versão 1803 ou posterior e com os dados da Armazenamento dos EUA.
Se um proxy ou firewall estiver a bloquear o tráfego anónimo como o Defender para sensor de Ponto Final e estiver a ligar-se a partir do contexto do sistema para garantir que o tráfego anónimo é permitido nos URLs listados anteriormente.
Nota
A Microsoft não fornece um servidor proxy. Estes URLs estão acessíveis através do servidor proxy que configurar.
Agente de Monitorização da Microsoft (MMA) - requisitos de proxy e firewall para versões mais antigas do Windows cliente ou Windows Server
As informações na lista de informações de configuração do proxy e da firewall são necessárias para comunicar com o agente de Análise de Registos (frequentemente denominado Agente de Monitorização da Microsoft) para versões anteriores do Windows, como Windows 7 SP1, Windows 8.1 e Windows Server 2008 R2*.
| Agente Recurso | Portas | Direção | Inspeção DESapad HTTPS |
|---|---|---|---|
| *.ods.opinsights.azure.com | Porta 443 | Saída | Sim |
| *.oms.opinsights.azure.com | Porta 443 | Saída | Sim |
| *.blob.core.windows.net | Porta 443 | Saída | Sim |
| *.azure-automation.net | Porta 443 | Saída | Sim |
Nota
*Estes requisitos de conectividade aplicam-se à Microsoft Defender para Endpoint anterior Windows Server 2016 e Windows Server 2012 R2 que necessita de MMA. As instruções para ativar estes sistemas operativos com a nova solução unificada estão em Servidores Windows de Imigração ou migrar para a nova solução unificada em Cenários de migração do Server Microsoft Defender para Endpoint.
Nota
Como solução baseada na nuvem, o intervalo de IP pode mudar. É recomendado que mude para a definição de resolução de DNS.
Confirmar Requisitos de URL do Serviço do Agente de Monitorização da Microsoft (MMA)
Consulte as seguintes orientações para eliminar o requisito de postal (*) para o seu ambiente específico ao utilizar o Agente de Monitorização da Microsoft (MMA) para versões anteriores do Windows.
Utilize um sistema operativo anterior com o Agente de Monitorização da Microsoft (MMA) no Defender para Pontos Finais (para obter mais informações, consulte Versões anteriores do Windows no Defender para servidores de Endpoint e Windows de Ativação).
Certifique-se de que a máquina comunica com êxito para o portal Microsoft 365 Defender empresas.
Execute a TestCloudConnection.exe de Dados em "C:\Program Files\Microsoft Monitoring Agent\Agent" para validar a conectividade e obter os URLs necessários para a sua área de trabalho específica.
Consulte a Microsoft Defender para Endpoint urLs de Serviço para ver a lista completa de requisitos da sua região (consulte a Lista de UrLs de Serviço).
Os wildcards (*) *utilizados nos pontos finais .ods.opinsights.azure.com, *.oms.opinsights.azure.com *e .agentsvc.azure-automation.net URL podem ser substituídos pelo ID específico da Área de Trabalho. O ID da Área de Trabalho é específico do seu ambiente e área de trabalho. Pode encontrar o item na secção Iboarding do seu inquilino no portal Microsoft 365 Defender empresas.
O *ponto final .blob.core.windows.net URL pode ser substituído pelos URLs apresentados na secção "Regra da Firewall: *.blob.core.windows.net" dos resultados do teste.
Nota
No caso de a ido através Microsoft Defender para a Cloud, podem ser utilizadas múltiplas áreas de trabalho. Terá de efetuar o procedimento TestCloudConnection.exe na máquina onboarded a partir de cada área de trabalho (para determinar se existem alterações aos URLs *.blob.core.windows.net entre as áreas de trabalho).
Verificar a conectividade do cliente Microsoft Defender para Endpoint URLs do serviço
Verifique se a configuração do proxy foi concluída com êxito. Em seguida, o WinHTTP pode descobrir e comunicar através do servidor proxy no seu ambiente e, em seguida, o servidor proxy permitirá o tráfego para os URLs do serviço Defender para ponto final.
Transfira a Microsoft Defender para Endpoint de Análise de Clientes para o PC, onde o sensor Defender para Pontos Finais está em execução. Para servidores de nível para baixo, a versão de pré-visualização mais recente está disponível para transferir a Microsoft Defender para Endpoint de Análise de Clientes Beta.
Extraia os conteúdos MDEClientAnalyzer.zip conteúdo do dispositivo.
Abrir uma linha de comandos elevada:
- Vá para Iniciar e escreva cmd.
- Clique com o botão direito do rato em Comando e selecione Executar como administrador.
Introduza o seguinte comando e prima Enter:
HardDrivePath\MDEClientAnalyzer.cmdSubstitua o HardDrivePath pelo caminho, onde a ferramenta MDEClientAnalyzer foi transferida. Por exemplo:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmdA ferramenta cria e extrai oMDEClientAnalyzerResult.zip ficheiro na pasta a utilizar no HardDrivePath.
Abra MDEClientAnalyzerResult.txt e verifique se executou os passos de configuração do proxy para ativar a deteção e acesso ao serviço de URLs.
A ferramenta verifica a conectividade do Defender para os URLs do serviço Endpoint. Certifique-se de que o Defender para cliente de Pontos Finais está configurado para interagir. A ferramenta irá imprimir os resultados no ficheiroMDEClientAnalyzerResult.txt para cada URL que possa ser utilizado para comunicar com o Defender para serviços de Pontos Finais. Por exemplo:
Testing URL : https://xxx.microsoft.com/xxx 1 - Default proxy: Succeeded (200) 2 - Proxy auto discovery (WPAD): Succeeded (200) 3 - Proxy disabled: Succeeded (200) 4 - Named proxy: Doesn't exist 5 - Command line proxy: Doesn't exist
Se alguma das opções de conectividade devolver um estado (200), o Defender para cliente de Pontos Finais pode comunicar corretamente com o URL testado através deste método de conectividade.
No entanto, se os resultados da verificação de conectividade indicam uma falha, é apresentado um erro HTTP (consulte Códigos de Estado HTTP). Em seguida, pode utilizar os URLs na tabela apresentada em Ativar o acesso ao Defender para URLs do serviço de ponto final no servidor proxy. Os URLs disponíveis para utilização dependem da região selecionada durante o procedimento de ida e ação.
Nota
As verificações da conectividade da ferramenta Analisador de Conectividade não são compatíveis com as regras Redução da Superfície de Ataque Bloquear criação de processos com origem em comandos PSExec e WMI. Terá de desativar temporariamente esta regra para executar a ferramenta de conectividade. Em alternativa, pode adicionar temporariamente exclusões ASR ao executar o analisador.
Quando o TelemetryProxyServer é definido no Registry ou através do Política de Grupo, o Defender para Endpoint irá falhar ao aceder ao proxy definido.