Konfigurera enhetsproxy och internetanslutningsinställningarConfigure device proxy and Internet connectivity settings

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Defender för slutpunkts sensor kräver Microsoft Windows HTTP (WinHTTP) för att rapportera sensordata och kommunicera med Defender för slutpunktstjänsten.The Defender for Endpoint sensor requires Microsoft Windows HTTP (WinHTTP) to report sensor data and communicate with the Defender for Endpoint service.

Den inbäddade Defender för slutpunkts sensor körs i systemkontext med localSystem-kontot.The embedded Defender for Endpoint sensor runs in system context using the LocalSystem account. Sensorn använder Microsoft Windows HTTP-tjänster (WinHTTP) för att aktivera kommunikation med Defender för slutpunktsmolntjänsten.The sensor uses Microsoft Windows HTTP Services (WinHTTP) to enable communication with the Defender for Endpoint cloud service.

Tips

Organisationer som använder proxyservrar för vidarebefordran som en gateway till Internet, kan använda nätverksskydd till undersökningar bakom en proxy.For organizations that use forward proxies as a gateway to the Internet, you can use network protection to investigate behind a proxy. Mer information finns i Undersöka anslutningshändelser som inträffar bakom proxyservrar för vidarebefordran.For more information, see Investigate connection events that occur behind forward proxies.

WinHTTP-konfigurationsinställningen är oberoende av proxyinställningarna för Internetsurfning på Windows Internet (WinINet) på Internet och kan bara identifiera en proxyserver med hjälp av följande identifieringsmetoder:The WinHTTP configuration setting is independent of the Windows Internet (WinINet) Internet browsing proxy settings and can only discover a proxy server by using the following discovery methods:

  • Metoder för automatisk identifiering:Auto-discovery methods:

    • Transparent proxyTransparent proxy

    • WPAD (Web Proxy Auto-discovery Protocol)Web Proxy Auto-discovery Protocol (WPAD)

      Anteckning

      Om du använder Transparent proxy eller WPAD i nätverkstopologin behöver du inga särskilda konfigurationsinställningar.If you're using Transparent proxy or WPAD in your network topology, you don't need special configuration settings. Mer information om undantag för Slutpunkts-URL för Defender i proxyn finns i Aktivera åtkomst till Defender för slutpunktstjänst-URL:er i proxyservern.For more information on Defender for Endpoint URL exclusions in the proxy, see Enable access to Defender for Endpoint service URLs in the proxy server.

  • Manuell konfiguration av statisk proxy:Manual static proxy configuration:

    • Registerbaserad konfigurationRegistry based configuration

    • WinHTTP som är konfigurerat med ett netsh-kommando – Endast lämpligt för stationära datorer i en stabil topologi (t.ex. en stationär dator i ett företagsnätverk bakom samma proxy)WinHTTP configured using netsh command – Suitable only for desktops in a stable topology (for example: a desktop in a corporate network behind the same proxy)

Konfigurera proxyservern manuellt med hjälp av en registerbaserad statisk proxyConfigure the proxy server manually using a registry-based static proxy

Konfigurera en registerbaserad statisk proxy så att endast Defender för slutpunkts sensor kan rapportera diagnostikdata och kommunicera med Defender för Slutpunktstjänster om en dator inte har tillåtelse att ansluta till Internet.Configure a registry-based static proxy to allow only Defender for Endpoint sensor to report diagnostic data and communicate with Defender for Endpoint services if a computer is not permitted to connect to the Internet.

Anteckning

När du använder det här alternativet på Windows 10 eller Windows Server 2019 rekommenderas du att ha följande (eller senare) samlad uppdatering och kumulativ uppdatering:When using this option on Windows 10 or Windows Server 2019, it is recommended to have the following (or later) build and cumulative update rollup:

Dessa uppdateringar förbättrar anslutningen och tillförlitligheten för CnC-kanalen (kommando- och kontrollkanal).These updates improve the connectivity and reliability of the CnC (Command and Control) channel.

Den statiska proxyn kan konfigureras via en grupprincip.The static proxy is configurable through Group Policy (GP). Grupprincipen finns under:The group policy can be found under:

  • Administrativa mallar > Windows komponenter > datainsamlings- och förhandsversioner > Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänstenAdministrative Templates > Windows Components > Data Collection and Preview Builds > Configure Authenticated Proxy usage for the Connected User Experience and Telemetry Service

    Ställ in den på Aktiverad och välj Inaktivera autentiserad proxyanvändning.Set it to Enabled and select Disable Authenticated Proxy usage.

    Bild av grupprincipinställning1

  • Administrativa mallar > Windows komponenter > datainsamlings- och förhandsversioner > Konfigurera anslutna användarupplevelser och telemetri:Administrative Templates > Windows Components > Data Collection and Preview Builds > Configure connected user experiences and telemetry:

    Konfigurera proxynConfigure the proxy

    Bild av grupprincipinställning2

    Principen anger två registervärden, TelemetryProxyServer som REG_SZ och som DisableEnterpriseAuthProxy REG_DWORD, under registernyckeln HKLM\Software\Policies\Microsoft\Windows\DataCollection .The policy sets two registry values, TelemetryProxyServer as REG_SZ and DisableEnterpriseAuthProxy as REG_DWORD, under the registry key HKLM\Software\Policies\Microsoft\Windows\DataCollection.

    Registervärdet TelemetryProxyServer har följande strängformat:The registry value TelemetryProxyServer takes the following string format:

    <server name or ip>:<port>
    

    Till exempel: 10.0.0.6:8080For example: 10.0.0.6:8080

    Registervärdet DisableEnterpriseAuthProxy anges till 1.The registry value DisableEnterpriseAuthProxy should be set to 1.

Konfigurera proxyservern manuellt med netsh-kommandotConfigure the proxy server manually using netsh command

Använd netsh för att konfigurera en systemomfattande statisk proxy.Use netsh to configure a system-wide static proxy.

Anteckning

  • Detta påverkar alla program, inklusive Windows-tjänster som använder WinHTTP med standardproxyn.This will affect all applications including Windows services which use WinHTTP with default proxy.
  • Bärbara datorer som ändrar topologi (till exempel från kontor till hem) fungerar inte på netsh.Laptops that are changing topology (for example: from office to home) will malfunction with netsh. Använd den registerbaserade statiska proxykonfigurationen.Use the registry-based static proxy configuration.
  1. Öppna en upphöjd kommandorad:Open an elevated command-line:

    1. Gå till Start och skriv cmd.Go to Start and type cmd.

    2. Högerklicka på Kommandotolken och välj Kör som administratör.Right-click Command prompt and select Run as administrator.

  2. Skriv följande kommando och tryck på Retur:Enter the following command and press Enter:

    netsh winhttp set proxy <proxy>:<port>
    

    Till exempel: netsh winhttp set proxy 10.0.0.6:8080For example: netsh winhttp set proxy 10.0.0.6:8080

Återställ winhttp-proxyn genom att ange följande kommando och trycka på Retur:To reset the winhttp proxy, enter the following command and press Enter:

netsh winhttp reset proxy

Se Netsh-kommandosyntax, kontexter och formatering för mer information.See Netsh Command Syntax, Contexts, and Formatting to learn more.

Aktivera åtkomst till URL-adresser för Microsoft Defender för slutpunktstjänsten på proxyservernEnable access to Microsoft Defender for Endpoint service URLs in the proxy server

Om en proxy eller brandvägg blockerar all trafik som standard och endast tillåter vissa domäner, lägger du till domänerna som visas på det nedladdningsbara bladet i listan med tillåtna domäner.If a proxy or firewall is blocking all traffic by default and allowing only specific domains through, add the domains listed in the downloadable sheet to the allowed domains list.

I följande nedladdningsbara kalkylblad finns de tjänster och deras tillhörande URL:er som nätverket måste kunna ansluta till.The following downloadable spreadsheet lists the services and their associated URLs that your network must be able to connect to. Du bör kontrollera att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er, eller att du kan behöva skapa en tillåta-regel specifikt för dem.You should ensure that there are no firewall or network filtering rules that would deny access to these URLs, or you may need to create an allow rule specifically for them.

Kalkylblad med domänlistaSpreadsheet of domains list BeskrivningDescription
Miniatyrbild för Microsoft Defender för slutpunkts-URL:er-kalkylblad
Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem.Spreadsheet of specific DNS records for service locations, geographic locations, and OS.

Ladda ned kalkylbladet här.Download the spreadsheet here.

Om en proxy eller brandvägg har HTTPS-skanning (SSL-inspektion) aktiverad, utesluter du domänerna som visas i tabellen ovan från HTTPS-skanningen.If a proxy or firewall has HTTPS scanning (SSL inspection) enabled, exclude the domains listed in the above table from HTTPS scanning.

Anteckning

settings-win.data.microsoft.com bara om du har en Windows 10 som kör version 1803 eller tidigare.settings-win.data.microsoft.com is only needed if you have Windows 10 devices running version 1803 or earlier.

Anteckning

URL-adresser som innehåller v20 i dem behövs bara om du har Windows 10 enheter med version 1803 eller senare.URLs that include v20 in them are only needed if you have Windows 10 devices running version 1803 or later. For example, us-v20.events.data.microsoft.com is needed for a Windows 10 device running version 1803 or later and onboarded to US Data Storage region.For example, us-v20.events.data.microsoft.com is needed for a Windows 10 device running version 1803 or later and onboarded to US Data Storage region.

Anteckning

Om du använder Microsoft Defender Antivirus i din miljö kan du gå till Konfigurera nätverksanslutningar till Microsoft Defender Antivirus molntjänsten.If you are using Microsoft Defender Antivirus in your environment, see Configure network connections to the Microsoft Defender Antivirus cloud service.

Om en proxy eller brandvägg blockerar anonym trafik, som Defender för Slutpunkts sensor ansluter från systemkontext, kontrollerar du att anonym trafik tillåts i tidigare angivna URL:er.If a proxy or firewall is blocking anonymous traffic, as Defender for Endpoint sensor is connecting from system context, make sure anonymous traffic is permitted in the previously listed URLs.

Microsoft Monitoring Agent (MMA) – proxy- och brandväggskrav för äldre versioner Windows klient eller Windows ServerMicrosoft Monitoring Agent (MMA) - proxy and firewall requirements for older versions of Windows client or Windows Server

Informationen nedan innehåller den konfigurationsinformation för proxy och brandvägg som krävs för att kommunicera med loganalysagenten (kallas ofta Microsoft monitoring agent) för tidigare versioner av Windows, till exempel Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2 och Windows Server 2016.The information below list the proxy and firewall configuration information required to communicate with Log Analytics agent (often referred to as Microsoft Monitoring Agent) for the previous versions of Windows such as Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, and Windows Server 2016.

AgentresursAgent Resource PortarPorts RiktningDirection Förbikoppling av HTTPS-kontrollBypass HTTPS inspection
*.ods.opinsights.azure.com*.ods.opinsights.azure.com Port 443Port 443 UtgåendeOutbound JaYes
*.oms.opinsights.azure.com*.oms.opinsights.azure.com Port 443Port 443 UtgåendeOutbound JaYes
*.blob.core.windows.net*.blob.core.windows.net Port 443Port 443 UtgåendeOutbound JaYes
*.azure-automation.net*.azure-automation.net Port 443Port 443 UtgåendeOutbound JaYes

Anteckning

Som en molnbaserad lösning kan IP-intervallet ändras.As a cloud-based solution, the IP range can change. Vi rekommenderar att du går över till DNS-lösningsinställningen.It's recommended you move to DNS resolving setting.

Bekräfta URL-krav för Tjänst-URL för Microsoft Monitoring Agent (MMA)Confirm Microsoft Monitoring Agent (MMA) Service URL Requirements

Läs följande vägledning för att ta bort jokertecknet (*) för din specifika miljö när du använder Microsoft Monitoring Agent (MMA) för tidigare versioner av Windows.Please see the following guidance to eliminate the wildcard (*) requirement for your specific environment when using the Microsoft Monitoring Agent (MMA) for previous versions of Windows.

  1. Introducera ett tidigare operativsystem med Microsoft Monitoring Agent (MMA) i Defender för Slutpunkt (mer information finns i Hantera tidigare versioner av Windows på Defender för slutpunkt och onboard Windows-servrar.Onboard a previous operating system with the Microsoft Monitoring Agent (MMA) into Defender for Endpoint (for more information, see Onboard previous versions of Windows on Defender for Endpoint and Onboard Windows servers.

  2. Kontrollera att datorn rapporterar till Microsoft Defender Säkerhetscenter portalen.Ensure the machine is successfully reporting into the Microsoft Defender Security Center portal.

  3. Kör verktyget TestCloudConnection.exe C:\Program\Microsoft Monitoring Agent\Agent" för att verifiera anslutningen och visa de URL-adresser som krävs för den specifika arbetsytan.Run the TestCloudConnection.exe tool from “C:\Program Files\Microsoft Monitoring Agent\Agent” to validate the connectivity and to see the required URLs for your specific workspace.

  4. Titta i listan med URL-adresser för Microsoft Defender för slutpunkten för en fullständig lista över krav för din region (mer information finns i Tjänstwebbadresser för kalkylblad).Check the Microsoft Defender for Endpoint URLs list for the complete list of requirements for your region (please refer to the Service URLs Spreadsheet).

    Bild av administratör i Windows PowerShell

Jokert många (*) som används i *.ods.opinsights.azure.com-, *.oms.opinsights.azure.com- och *.agentsvc.azure-automation.net-URL-slutpunkter kan ersättas med ditt specifika arbetsyte-ID.The wildcards (*) used in *.ods.opinsights.azure.com, *.oms.opinsights.azure.com, and *.agentsvc.azure-automation.net URL endpoints can be replaced with your specific Workspace ID. Arbetsyte-ID:t är specifikt för din miljö och arbetsyta och finns i avsnittet Registrering för klientorganisationen i Microsoft Defender Säkerhetscenter portal.The Workspace ID is specific to your environment and workspace and can be found in the Onboarding section of your tenant within the Microsoft Defender Security Center portal.

Slutpunkten *.blob.core.windows.net-URL kan ersättas med WEBBADRESSerna som visas i avsnittet "Brandväggsregel: *.blob.core.windows.net" i testresultaten.The *.blob.core.windows.net URL endpoint can be replaced with the URLs shown in the “Firewall Rule: *.blob.core.windows.net” section of the test results.

Anteckning

När det gäller registrering via Azure Defender kan flera arbetsytor användas.In the case of onboarding via Azure Defender, multiple workspaces maybe used. Du måste utföra TestCloudConnection.exe ovan på en inbyggd dator från varje arbetsyta (för att avgöra om det finns några ändringar i URL blob.core.windows.net adresserna mellan arbetsytorna).You will need to perform the TestCloudConnection.exe procedure above on an onboarded machine from each workspace (to determine if there are any changes to the *.blob.core.windows.net URLs between the workspaces).

Verifiera klientanslutningen till URL-adresser för Microsoft Defender för slutpunktstjänstenVerify client connectivity to Microsoft Defender for Endpoint service URLs

Verifiera att proxykonfigurationen har slutförts, att WinHTTP kan identifiera och kommunicera via proxyservern i din miljö och att proxyservern tillåter trafik till URL:erna för Defender för Endpoint-tjänsten.Verify the proxy configuration completed successfully, that WinHTTP can discover and communicate through the proxy server in your environment, and that the proxy server allows traffic to the Defender for Endpoint service URLs.

  1. Ladda ned MDATP-verktyget Klientanalys till den dator där Defender för Slutpunkts sensor körs på.Download the MDATP Client Analyzer tool to the PC where Defender for Endpoint sensor is running on.

  2. Extrahera innehållet i MDATPClientAnalyzer.zip på enheten.Extract the contents of MDATPClientAnalyzer.zip on the device.

  3. Öppna en upphöjd kommandorad:Open an elevated command-line:

    1. Gå till Start och skriv cmd.Go to Start and type cmd.

    2. Högerklicka på Kommandotolken och välj Kör som administratör.Right-click Command prompt and select Run as administrator.

  4. Skriv följande kommando och tryck på Retur:Enter the following command and press Enter:

    HardDrivePath\MDATPClientAnalyzer.cmd
    

    Ersätt HardDrivePath med sökvägen dit verktyget MDATPClientAnalyzer laddades ned till, till exempel:Replace HardDrivePath with the path where the MDATPClientAnalyzer tool was downloaded to, for example:

    C:\Work\tools\MDATPClientAnalyzer\MDATPClientAnalyzer.cmd
    
  5. Extrahera den MDATPClientAnalyzerResult.zip som skapats av verktyget i mappen som används i HardDrivePath.Extract the MDATPClientAnalyzerResult.zip file created by tool in the folder used in the HardDrivePath.

  6. Öppna MDATPClientAnalyzerResult.txt och kontrollera att du har utfört proxykonfigurationsstegen som aktiverar serveridentifiering och åtkomst till tjänstens URL:er.Open MDATPClientAnalyzerResult.txt and verify that you have performed the proxy configuration steps to enable server discovery and access to the service URLs.

    Verktyget kontrollerar anslutningen av URL:erna för Defender för Endpoint-tjänsten som Defender för Endpoint-klienten har konfigurerats att interagera med.The tool checks the connectivity of Defender for Endpoint service URLs that Defender for Endpoint client is configured to interact with. Resultatet skrivs sedan i filen MDATPClientAnalyzerResult.txt för varje URL som kan användas till att kommunicera med Defender för Endpoint-tjänsterna.It then prints the results into the MDATPClientAnalyzerResult.txt file for each URL that can potentially be used to communicate with the Defender for Endpoint services. Till exempel:For example:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

Om minst ett av anslutningsalternativen returnerar en status (200) kan Defender för Endpoint-klienten kommunicera med den testade URL:en med anslutningsmetoden.If at least one of the connectivity options returns a (200) status, then the Defender for Endpoint client can communicate with the tested URL properly using this connectivity method.

Men om anslutningskontrollens resultat anger att ett fel uppstod, visas ett HTTP-fel (se HTTP-statuskoder).However, if the connectivity check results indicate a failure, an HTTP error is displayed (see HTTP Status Codes). Du kan sedan använda URL:erna i tabellen som visas i Aktivera åtkomst till Defender för slutpunktstjänst-URL:er i proxyservern.You can then use the URLs in the table shown in Enable access to Defender for Endpoint service URLs in the proxy server. Vilka URL-adresser du använder beror på vilken region du valde under registreringsprocessen.The URLs you'll use will depend on the region selected during the onboarding procedure.

Anteckning

Verktyget Connectivity Analyzer är inte kompatibelt med ASR-regeln Blockera processer som skapas från PSExec- och WMI-kommandon.The Connectivity Analyzer tool is not compatible with ASR rule Block process creations originating from PSExec and WMI commands. Du måste inaktivera regeln tillfälligt om du vill köra anslutningsverktyget.You will need to temporarily disable this rule to run the connectivity tool.

Anteckning

När telemetriproxyServer har angetts i registret eller via grupprincip hamnar Defender för Slutpunkt direkt om den inte har åtkomst till den definierade proxyn.When the TelemetryProxyServer is set, in Registry or via Group Policy, Defender for Endpoint will fall back to direct if it can't access the defined proxy.