ШАГ 2. Настройка устройств для подключения к службе Defender для конечной точки с помощью прокси-сервера

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Важно!

Устройства, настроенные только для трафика IPv6, не поддерживаются.

Для использования датчика Defender для конечной точки требуется Microsoft Windows HTTP (WinHTTP), чтобы передавать данные датчика и общаться со службой Defender для конечной точки. Встроенный датчик Defender для конечной точки в контексте системы работает с учетной записью LocalSystem.

Совет

В организациях, в которых прокси-серверы переадресации используются в качестве шлюза в Интернет, можно использовать защиту сети для изучения событий подключения, происходящих за прокси-серверами переадресации.

Параметр конфигурации WinHTTP не зависит от параметров прокси-сервера для браузера Windows Internet (WinINet) (см . раздел WinINet и WinHTTP). Он может обнаружить прокси-сервер только с помощью следующих методов обнаружения:

  • Методы автоматического обнаружения:

    • Прозрачный прокси

    • Протокол автоматического обнаружения веб-прокси (WPAD)

      Примечание.

      При использовании прозрачного прокси или WPAD в топологии сети, не нужно использовать специальные параметры конфигурации.

  • Конфигурация статического прокси вручную:

    • Конфигурация на основе реестра

    • WinHTTP, настроенный с помощью команды netsh: подходит только для настольных компьютеров в стабильной топологии (например: настольный компьютер в корпоративной сети за тем же прокси-сервером)

Примечание.

Антивирусные программы Defender и прокси EDR можно устанавливать независимо друг от друга. В последующих разделах следует помнить об этих различиях.

Настройка прокси-сервера вручную с использованием статического прокси-сервера на основе реестра

Настройте статический прокси-сервер на основе реестра для датчика обнаружения и нейтрализации атак на конечные точки Defender (EDR), чтобы сообщать диагностические данные и взаимодействовать со службами Defender для конечной точки, если компьютеру запрещено подключение к Интернету.

Примечание.

При использовании этого параметра в Windows 10, Windows 11, Windows Server 2019 или Windows Server 2022 рекомендуется иметь следующую (или более позднюю) сборку и накопительный пакет обновления:

Эти обновления улучшают соединение и надежность канала CnC (Command and Control).

Статический прокси-сервер настраивается с помощью групповой политики (GP). Оба параметра в значениях групповой политики должны быть настроены на прокси-сервер для использования EDR. Групповая политика доступна в административных шаблонах.

  • Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка использования прокси-сервера с проверкой подлинности для подключенной службы взаимодействия с пользователем и телеметрии.

    Установите для этого параметра значение Включено и выберите пункт Отключить использование прокси с проверкой подлинности.

    Область состояния параметра1 групповой политики

  • Административные шаблоны > Сбор данных компонентов > Windows и предварительные сборки > Настройка подключенных пользовательских возможностей и телеметрии:

    Настройка прокси-сервера.

    Область состояния параметра2 групповой политики

Групповая политика Раздел реестра Запись реестра Значение
Настройка использования проверенного прокси-сервера для подключенного пользователя и службы телеметрии HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Настройка телеметрии и функциональных возможностей подключенных пользователей HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Например: 10.0.0.6:8080 (REG_SZ)

Примечание.

Если вы используете параметр "TelemetryProxyServer" на устройствах, которые в противном случае находятся в автономном режиме, что означает, что операционная система не может подключиться для списка отзыва сертификатов в сети или клиентский компонент Центра обновления Windows, необходимо добавить дополнительный параметр PreferStaticProxyForHttpRequest реестра со значением 1.

Расположение родительского пути реестра для PreferStaticProxyForHttpRequest — HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

Для вставки значения реестра в правильное расположение можно использовать следующую команду:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

Указанное выше значение реестра применимо только начиная с MsSense.exe версии 10.8210.* и более поздних версий или версии 10.8049.* и более поздних версий.

Настройка статического прокси-сервера для антивирусной программы в Microsoft Defender

Облачная защита антивирусной программы Microsoft Defender обеспечивает практически мгновенную автоматическую защиту от новых и возникающих угроз. Обратите внимание, что соединение требуется для настраиваемых индикаторов, когда антивирусная программа Defender является активным решением для защиты от вредоносных программ. EDR в режиме блокировки имеет основное решение для защиты от вредоносных программ при использовании решения, отличного от Майкрософт.

Настройте статический прокси-сервер с помощью групповой политики, доступной в административных шаблонах:

  1. Административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная программа > Определите прокси-сервер для подключения к сети.

  2. Установите для него значение Включен и определите прокси-сервер. Обратите внимание, что URL-адрес должен быть http:// или https://. Поддерживаемые версии для https:// см. в статье Управление обновлениями антивирусной программы Microsoft Defender.

    Прокси-сервер для антивирусной программы в Microsoft Defender

  3. В разделе реестра ключа HKLM\Software\Policies\Microsoft\Windows Defender политика устанавливает значение реестра ProxyServer как REG_SZ.

    Значение реестра ProxyServer принимает следующий формат строки:

    <server name or ip>:<port>

    Пример: http://10.0.0.6:8080

Примечание.

Если параметр статического прокси-сервера используется на устройствах, которые в противном случае находятся в автономном режиме, то есть операционная система не может подключиться для списка отзыва сертификатов в сети или клиентский компонент Центра обновления Windows, необходимо добавить дополнительный параметр реестра SSLOptions со значением dword равным 0. Расположение родительского пути реестра для SSLOptions — "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
В целях обеспечения устойчивости и защиты в режиме реального времени антивирусная программа Microsoft Defender будет кэшировать последний известный работающий прокси-сервер. Убедитесь, что прокси-решение не выполняет проверку SSL. Это нарушит безопасное облачное соединение.

Антивирусная программа Microsoft Defender не будет использовать статический прокси-сервер для подключения к Центру обновления Windows или Центру обновления Майкрософт для загрузки обновлений. Вместо этого она будет использовать общесистемный прокси-сервер, если он настроен на использование Центра обновления Windows, или настроенный внутренний источник обновлений в соответствии с настроенным резервным порядком.

При необходимости можно использовать административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная > программа Определение автоматической конфигурации прокси-сервера (PAC) для подключения к сети. Если вам нужно настроить дополнительные конфигурации с несколькими прокси-серверами, используйте административные шаблоны > Компоненты > Windows Microsoft Defender Антивирусная > программа Определите адреса, чтобы обойти прокси-сервер и запретить Microsoft Defender антивирусной программе использовать прокси-сервер для этих назначений.

Для настройки этих параметров можно использовать PowerShell с cmdlet Set-MpPreference:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Примечание.

Чтобы правильно использовать прокси-сервер, настройте три разных параметра прокси-сервера:

  • Microsoft Defender для конечной точки (MDE)
  • Антивирусная программа
  • Обнаружение и нейтрализация атак на конечные точки (EDR)

Настройка прокси-сервера вручную с помощью команды netsh

Используйте команду netsh для настройки статического прокси на уровне системы.

Примечание.

  • Это повлияет на все приложения, в том числе службы Windows, которые используют WinHTTP с прокси по умолчанию.
  1. Откройте командную строку с повышенными правами:

    1. В меню Пуск введите cmd.
    2. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
  2. Введите следующую команду и нажмите клавишу ВВОД:

    netsh winhttp set proxy <proxy>:<port>
    

    Пример: netsh winhttp set proxy 10.0.0.6:8080

Чтобы сбросить прокси winhttp, введите следующую команду и нажмите клавишу ВВОД:

netsh winhttp reset proxy

Дополнительные сведения см. в статье Синтаксис команд, контексты и форматирование Netsh.

Следующее действие

Шаг 3. Проверка подключения клиента к URL-адресам службы Microsoft Defender для конечной точки

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.