ШАГ 2. Настройка устройств для подключения к службе Defender для конечной точки с помощью прокси-сервера
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Важно!
Устройства, настроенные только для трафика IPv6, не поддерживаются.
Для использования датчика Defender для конечной точки требуется Microsoft Windows HTTP (WinHTTP), чтобы передавать данные датчика и общаться со службой Defender для конечной точки. Встроенный датчик Defender для конечной точки в контексте системы работает с учетной записью LocalSystem.
Совет
В организациях, в которых прокси-серверы переадресации используются в качестве шлюза в Интернет, можно использовать защиту сети для изучения событий подключения, происходящих за прокси-серверами переадресации.
Параметр конфигурации WinHTTP не зависит от параметров прокси-сервера для браузера Windows Internet (WinINet) (см . раздел WinINet и WinHTTP). Он может обнаружить прокси-сервер только с помощью следующих методов обнаружения:
Методы автоматического обнаружения:
Прозрачный прокси
Протокол автоматического обнаружения веб-прокси (WPAD)
Примечание.
При использовании прозрачного прокси или WPAD в топологии сети, не нужно использовать специальные параметры конфигурации.
Конфигурация статического прокси вручную:
Конфигурация на основе реестра
WinHTTP, настроенный с помощью команды netsh: подходит только для настольных компьютеров в стабильной топологии (например: настольный компьютер в корпоративной сети за тем же прокси-сервером)
Примечание.
Антивирусные программы Defender и прокси EDR можно устанавливать независимо друг от друга. В последующих разделах следует помнить об этих различиях.
Настройка прокси-сервера вручную с использованием статического прокси-сервера на основе реестра
Настройте статический прокси-сервер на основе реестра для датчика обнаружения и нейтрализации атак на конечные точки Defender (EDR), чтобы сообщать диагностические данные и взаимодействовать со службами Defender для конечной точки, если компьютеру запрещено подключение к Интернету.
Примечание.
При использовании этого параметра в Windows 10, Windows 11, Windows Server 2019 или Windows Server 2022 рекомендуется иметь следующую (или более позднюю) сборку и накопительный пакет обновления:
- Windows 11
- Windows 10, версия 1809, Windows Server 2019 или Windows Server 2022 —https://support.microsoft.com/kb/5001384
- Windows 10 версии 1909 — https://support.microsoft.com/kb/4601380
- Windows 10 версии 2004 — https://support.microsoft.com/kb/4601382
- Windows 10 версии 20H2 — https://support.microsoft.com/kb/4601382
Эти обновления улучшают соединение и надежность канала CnC (Command and Control).
Статический прокси-сервер настраивается с помощью групповой политики (GP). Оба параметра в значениях групповой политики должны быть настроены на прокси-сервер для использования EDR. Групповая политика доступна в административных шаблонах.
Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка использования прокси-сервера с проверкой подлинности для подключенной службы взаимодействия с пользователем и телеметрии.
Установите для этого параметра значение Включено и выберите пункт Отключить использование прокси с проверкой подлинности.
Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка подключенных пользовательских возможностей и телеметрии:
Настройка прокси-сервера.
Групповая политика | Раздел реестра | Запись реестра | Значение |
---|---|---|---|
Настройка использования проверенного прокси-сервера для подключенного пользователя и службы телеметрии | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Настройка телеметрии и функциональных возможностей подключенных пользователей | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Например: 10.0.0.6:8080 (REG_SZ) |
Примечание.
Если вы используете параметр "TelemetryProxyServer" на устройствах, которые в противном случае находятся в автономном режиме, что означает, что операционная система не может подключиться для списка отзыва сертификатов в сети или клиентский компонент Центра обновления Windows, необходимо добавить дополнительный параметр PreferStaticProxyForHttpRequest
реестра со значением 1
.
Расположение родительского пути реестра для PreferStaticProxyForHttpRequest — HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Для вставки значения реестра в правильное расположение можно использовать следующую команду:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Указанное выше значение реестра применимо только начиная с MsSense.exe версии 10.8210.* и более поздних версий или версии 10.8049.* и более поздних версий.
Настройка статического прокси-сервера для антивирусной программы в Microsoft Defender
Облачная защита антивирусной программы Microsoft Defender обеспечивает практически мгновенную автоматическую защиту от новых и возникающих угроз. Обратите внимание, что соединение требуется для настраиваемых индикаторов, когда антивирусная программа Defender является активным решением для защиты от вредоносных программ. EDR в режиме блокировки имеет основное решение для защиты от вредоносных программ при использовании решения, отличного от Майкрософт.
Настройте статический прокси-сервер с помощью групповой политики, доступной в административных шаблонах:
Административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная программа > Определите прокси-сервер для подключения к сети.
Установите для него значение Включен и определите прокси-сервер. Обратите внимание, что URL-адрес должен быть http:// или https://. Поддерживаемые версии для https:// см. в статье Управление обновлениями антивирусной программы Microsoft Defender.
В разделе реестра ключа
HKLM\Software\Policies\Microsoft\Windows Defender
политика устанавливает значение реестраProxyServer
как REG_SZ.Значение реестра
ProxyServer
принимает следующий формат строки:<server name or ip>:<port>
Пример: http://10.0.0.6:8080
Примечание.
Если параметр статического прокси-сервера используется на устройствах, которые в противном случае находятся в автономном режиме, то есть операционная система не может подключиться для списка отзыва сертификатов в сети или клиентский компонент Центра обновления Windows, необходимо добавить дополнительный параметр реестра SSLOptions со значением dword равным 0. Расположение родительского пути реестра для SSLOptions — "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
В целях обеспечения устойчивости и защиты в режиме реального времени антивирусная программа Microsoft Defender будет кэшировать последний известный работающий прокси-сервер. Убедитесь, что прокси-решение не выполняет проверку SSL. Это нарушит безопасное облачное соединение.
Антивирусная программа Microsoft Defender не будет использовать статический прокси-сервер для подключения к Центру обновления Windows или Центру обновления Майкрософт для загрузки обновлений. Вместо этого она будет использовать общесистемный прокси-сервер, если он настроен на использование Центра обновления Windows, или настроенный внутренний источник обновлений в соответствии с настроенным резервным порядком.
При необходимости можно использовать административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная > программа Определение автоматической конфигурации прокси-сервера (PAC) для подключения к сети. Если вам нужно настроить дополнительные конфигурации с несколькими прокси-серверами, используйте административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная > программа Определите адреса, чтобы обойти прокси-сервер и запретить Microsoft Defender антивирусной программе использовать прокси-сервер для этих назначений.
Для настройки этих параметров можно использовать PowerShell с cmdlet Set-MpPreference
:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Примечание.
Чтобы правильно использовать прокси-сервер, настройте три разных параметра прокси-сервера:
- Microsoft Defender для конечной точки (MDE)
- Антивирусная программа
- Обнаружение и нейтрализация атак на конечные точки (EDR)
Настройка прокси-сервера вручную с помощью команды netsh
Используйте команду netsh для настройки статического прокси на уровне системы.
Примечание.
- Это повлияет на все приложения, в том числе службы Windows, которые используют WinHTTP с прокси по умолчанию.
Откройте командную строку с повышенными правами:
- В меню Пуск введите cmd.
- Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
Введите следующую команду и нажмите клавишу ВВОД:
netsh winhttp set proxy <proxy>:<port>
Пример:
netsh winhttp set proxy 10.0.0.6:8080
Чтобы сбросить прокси winhttp, введите следующую команду и нажмите клавишу ВВОД:
netsh winhttp reset proxy
Дополнительные сведения см. в статье Синтаксис команд, контексты и форматирование Netsh.
Следующее действие
Шаг 3. Проверка подключения клиента к URL-адресам службы Microsoft Defender для конечной точки
Связанные статьи
- Отключенные среды, прокси-серверы и Microsoft Defender для конечной точки
- Использование параметров групповой политики для настройки и управления антивирусной программой в Microsoft Defender
- Подключение устройств Windows
- Устранение неполадок подключения Microsoft Defender для конечных точек
- Подключение устройств без доступа к Интернету к Microsoft Defender для конечной точки
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе:Отправить и просмотреть отзыв по