Konfigurera enhetsproxy och internetanslutningsinställningar
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Defender för slutpunkts sensor kräver Microsoft Windows HTTP (WinHTTP) för att rapportera sensordata och kommunicera med Defender för slutpunktstjänsten. Den inbäddade Defender för slutpunkts sensor körs i systemkontext med localSystem-kontot. Sensorn använder Microsoft Windows HTTP-tjänster (WinHTTP) för att aktivera kommunikation med Defender för slutpunktens molntjänst.
Tips
Organisationer som använder proxy proxy som en gateway till Internet kan använda nätverksskydd för att undersöka anslutningshändelser som inträffar bakom proxy proxy.
WinHTTP-konfigurationsinställningen är oberoende av inställningarna för webbläsarproxy Windows (WinINet) (se WinINet kontra WinHTTP). Den kan bara identifiera en proxyserver med hjälp av följande identifieringsmetoder:
Metoder för automatisk upptäckt:
Transparent proxy
WPAD (Web Proxy Auto-discovery Protocol)
Anteckning
Om du använder Transparent proxy eller WPAD i nätverkstopologin behöver du inga särskilda konfigurationsinställningar. Mer information om undantag för Slutpunkts-URL för Defender i proxyn finns i Aktivera åtkomst till Defender för slutpunktstjänst-URL:er på proxyservern
Manuell konfiguration av statisk proxy:
Registerbaserad konfiguration
WinHTTP som konfigurerats med netsh-kommandot: Lämpligt endast för stationära datorer i en stabil topologi (till exempel: ett skrivbord i ett företagsnätverk bakom samma proxy)
Anteckning
Antivirus- Identifiering och åtgärd på slutpunkt Defender-proxy kan ställas in oberoende av varandra. Tänk på dessa skillnader i följande avsnitt.
Konfigurera proxyservern manuellt med hjälp av en registerbaserad statisk proxy
Konfigurera en registerbaserad statisk proxyserver för Defender för identifiering av slutpunkt och svar (Identifiering och åtgärd på slutpunkt) för att rapportera diagnostikdata och kommunicera med Defender för slutpunktstjänster om en dator inte har tillåtelse att ansluta till Internet.
Anteckning
När du använder det här alternativet på Windows 10, Windows 11, eller Windows Server 2019 eller Windows Server 2022, rekommenderar vi att du har följande (eller senare) samlad uppdatering och kumulativ uppdatering:
- Windows 11
- Windows 10 version 1809 eller Windows Server 2019 eller Windows Server 2022 -https://support.microsoft.com/kb/5001384
- Windows 10, version 1909 -https://support.microsoft.com/kb/4601380
- Windows 10, version 2004 –https://support.microsoft.com/kb/4601382
- Windows 10, version 20H2 -https://support.microsoft.com/kb/4601382
Dessa uppdateringar förbättrar anslutningen och tillförlitligheten för CnC-kanalen (kommando- och kontrollkanal).
Den statiska proxyn kan konfigureras via grupprincip (GP). Båda inställningarna under grupprincipvärden ska konfigureras till proxyservern för användning med Identifiering och åtgärd på slutpunkt. Grupprincipen finns i Administrativa mallar.
Administrativa mallar > Windows komponenter > datainsamlings- och förhandsversioner > Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänsten.
Ställ in den på Aktiverad och välj Inaktivera autentiserad proxyanvändning.

Administrativa mallar > Windows komponenter > datainsamlings- och förhandsversioner > Konfigurera anslutna användarupplevelser och telemetri:
Konfigurera proxyn.

| Grupprincip | Registernyckel | Registerpost | Värde |
|---|---|---|---|
| Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänsten | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
| Konfigurera anslutna användarupplevelser och telemetri | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Till exempel: 10.0.0.6:8080 (REG_SZ) |
Konfigurera en statisk proxyserver för Microsoft Defender Antivirus
Microsoft Defender Antivirus skydd mot nya och nya hot ger snabbt och automatiskt skydd mot nya och nya hot. Observera att anslutningen krävs för anpassade indikatorer när Defender Antivirus är den aktiva lösningen mot skadlig programvara. Ett Identifiering och åtgärd på slutpunkt i blockeringsläge har en primär lösning mot skadlig programvara när du använder en lösning som inte är en Microsoft-lösning.
Konfigurera den statiska proxyn med grupprincipen i administrativa mallar:
Administrativa mallar > Windows komponenter > Microsoft Defender Antivirus > Definiera proxyserver för anslutning till nätverket.
Ställ in den på Aktiverad och definiera proxyservern. Observera att URL-adressen måste ha antingen http:// eller https://. Information om versioner som https:// går till Hantera Microsoft Defender Antivirus uppdateringar.
Under registernyckeln anger
HKLM\Software\Policies\Microsoft\Windows Defenderprincipen registervärdet som det REG_SZProxyServer.Registervärdet
ProxyServerhar följande strängformat:<server name or ip>:<port> For example: http://10.0.0.6:8080
Anteckning
För motståndskraftsändamål och realtidsskyddets natur kommer Microsoft Defender Antivirus att cachelagra den senast kända fungerande proxyn. Kontrollera att din proxylösning inte utför SSL-kontrollen. Då bryts den säkra molnanslutningen.
Microsoft Defender Antivirus den statiska proxyn för att ansluta till ett Windows eller Microsoft Update för nedladdning av uppdateringar. I stället används en systemomfattande proxyserver om den konfigureras för att använda Windows Update eller den konfigurerade interna uppdateringskällan enligt den konfigurerade reservordningen.
Om det behövs kan du använda administrativa mallar > Windows komponenter > Microsoft Defender Antivirus > Definiera automatisk proxykonfiguration (.pac) för att ansluta till nätverket. Om du behöver konfigurera avancerade konfigurationer med flera proxyservrar kan du använda administrativa mallar > Windows-komponenter > Microsoft Defender Antivirus > Definiera adresser för att kringgå proxyservern och förhindra att Microsoft Defender Antivirus använder en proxyserver för dessa destinationer.
Du kan använda PowerShell med Set-MpPreference cmdleten för att konfigurera följande alternativ:
- ProxyBypass
- ProxyPacUrl
- ProxyServer
Anteckning
Konfigurera följande tre olika proxyinställningar om du vill använda proxyn korrekt:
- Microsoft Defender för slutpunkt (MDE)
- AV (Antivirus)
- Identifiering och svar av slutpunkt (Identifiering och åtgärd på slutpunkt)
Konfigurera proxyservern manuellt med netsh-kommandot
Använd netsh för att konfigurera en systemomfattande statisk proxy.
Anteckning
- Detta påverkar alla program, inklusive Windows-tjänster som använder WinHTTP med standardproxyn.
- Bärbara datorer som ändrar topologi (till exempel: från kontor till hem) fungerar inte med Netsh-kommandot. Använd den registerbaserade statiska proxykonfigurationen.
Öppna en upphöjd kommandorad:
- Gå till Start och skriv cmd.
- Högerklicka på Kommandotolken och välj Kör som administratör.
Skriv följande kommando och tryck på Retur:
netsh winhttp set proxy <proxy>:<port>Till exempel:
netsh winhttp set proxy 10.0.0.6:8080
Återställ winhttp-proxyn genom att ange följande kommando och trycka på Retur:
netsh winhttp reset proxy
Se Netsh-kommandosyntax, kontexter och formatering för mer information.
Aktivera åtkomst till URL-adresser för Microsoft Defender för slutpunktstjänsten på proxyservern
Om en proxy eller brandvägg blockerar all trafik som standard och bara tillåter vissa domäner, lägger du till de domäner som visas i det nedladdningsbara bladet i listan över tillåtna domäner.
I följande nedladdningsbara kalkylblad finns de tjänster och deras tillhörande URL:er som nätverket måste kunna ansluta till. Se till att det inte finns några brandväggs- eller nätverksfiltreringsregler för att neka åtkomst för dessa URL:er. Valfritt, du kan behöva skapa en tillåta-regel specifikt för dem.
| Kalkylblad med domänlista | Beskrivning |
|---|---|
| Url-lista för Microsoft Defender för slutpunkt för kommersiella kunder | Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för kommersiella kunder. |
| Microsoft Defender för slutpunkts-URL-lista för gov-/GCC-/DoD-kunder | Kalkylblad med specifika DNS-poster för tjänstplatser, geografiska platser och operativsystem för Gov/GCC/DoD-kunder. |
Om en proxy eller brandvägg har HTTPS-skanning (SSL-inspektion) aktiverad, utesluter du domänerna som visas i tabellen ovan från HTTPS-skanningen. I brandväggen öppnar du alla URL:er där den geografiska kolumnen är WW. För rader där den geografiska kolumnen inte är WW öppnar du WEBBADRESSerna till din specifika dataplats. Information om hur du verifierar din inställning för dataplats finns i Verifiera datalagringsplatsen och uppdatera inställningarna för datalagring för Microsoft Defender för Slutpunkt.
Anteckning
Windows enheter som körs med version 1803 eller tidigare behov settings-win.data.microsoft.com.
URL-adresser som innehåller v20 i dem behövs bara om du har Windows enheter med version 1803 eller senare. Till exempel krävs us-v20.events.data.microsoft.com en mobil Windows version 1803 eller senare och är inbyggd i USA Data Storage region.
Om en proxy eller brandvägg blockerar anonym trafik som Defender för Slutpunkts sensor, och den ansluter från systemkontext för att säkerställa att anonym trafik tillåts i tidigare listade URL:er.
Anteckning
Microsoft tillhandahåller ingen proxyserver. Dessa URL:er är åtkomliga via proxyservern som du konfigurerar.
Microsoft Monitoring Agent (MMA) – proxy- och brandväggskrav för äldre versioner Windows klient eller Windows Server
Informationen i listan över konfigurationsinformation för proxy och brandvägg krävs för att kommunicera med loganalysagenten (kallas ofta Microsoft monitoring agent) för tidigare versioner av Windows, till exempel Windows 7 SP1, Windows 8.1 och Windows Server 2008 R2*.
| Agentreurs | Portar | Riktning | Kringgå HTTPS-inspektion |
|---|---|---|---|
| *.ods.opinsights.azure.com | Port 443 | Utgående | Ja |
| *.oms.opinsights.azure.com | Port 443 | Utgående | Ja |
| *.blob.core.windows.net | Port 443 | Utgående | Ja |
| *.azure-automation.net | Port 443 | Utgående | Ja |
Anteckning
*De här anslutningskraven gäller för den tidigare Microsoft Defender för slutpunkten för Windows Server 2016 och Windows Server 2012 R2 som kräver MMA. Instruktioner för hur du onboardar dessa operativsystem med den nya enhetliga lösningen finns på Onboard Windows-servrar eller migrerar till den nya enhetliga lösningen för servermigreringsscenarier i Microsoft Defender för Endpoint.
Anteckning
Som en molnbaserad lösning kan IP-intervallet ändras. Vi rekommenderar att du går över till DNS-lösningsinställningen.
Bekräfta URL-krav för Tjänst-URL för Microsoft Monitoring Agent (MMA)
Se följande vägledning för att ta bort jokertecknet (*) för din specifika miljö när du använder Microsoft Monitoring Agent (MMA) för tidigare versioner av Windows.
Introducera ett tidigare operativsystem med Microsoft Monitoring Agent (MMA) i Defender för Slutpunkt (mer information finns i Informera tidigare versioner av Windows på Defender för slutpunkt och onboard Windows-servrar).
Kontrollera att datorn rapporterar till Microsoft 365 Defender portalen.
Kör verktyget TestCloudConnection.exe microsoft-övervakningsagenten från "C:\Program Files\Microsoft Monitoring Agent\Agent" för att validera anslutningen och få de URL-adresser som krävs för din specifika arbetsyta.
Titta i listan URL-adresser för Microsoft Defender för slutpunkten för att se en fullständig lista över krav för din region (se kalkylbladet Tjänstwebbadresser).

De jokertecken (*) *som används i URL-slutpunkterna för .ods.opinsights.azure.com, *.oms.opinsights.azure.com *och .agentsvc.azure-automation.net kan ersättas med ditt specifika arbetsyte-ID. Arbetsyte-ID:t är specifikt för din miljö och arbetsyta. Den finns i avsnittet Registrering för klientorganisationen i den Microsoft 365 Defender portalen.
URL-blob.core.windows.net *.blob.core.windows.net kan ersättas med WEBBADRESSerna som visas i avsnittet "Brandväggsregel: *.blob.core.windows.net" i testresultaten.
Anteckning
När det gäller registrering via Microsoft Defender för molnet kan flera arbetsytor användas. Du måste utföra TestCloudConnection.exe-proceduren på den onboarded machine från varje arbetsyta (för att avgöra om det finns några ändringar av URL:erna för *.blob.core.windows.net mellan arbetsytorna).
Verifiera klientanslutningen till URL-adresser för Microsoft Defender för slutpunktstjänsten
Kontrollera att proxykonfigurationen har slutförts. WinHTTP kan sedan identifiera och kommunicera via proxyservern i din miljö, och sedan tillåter proxyservern trafik till URL:er för Defender för slutpunktstjänsten.
Ladda ned verktyget Microsoft Defender för slutpunktsklientanalys till datorn, där Defender för Slutpunkts sensor körs på.
Extrahera innehållet i MDEClientAnalyzer.zip på enheten.
Öppna en upphöjd kommandorad:
- Gå till Start och skriv cmd.
- Högerklicka på Kommandotolken och välj Kör som administratör.
Skriv följande kommando och tryck på Retur:
HardDrivePath\MDEClientAnalyzer.cmdErsätt HardDrivePath med sökvägen, där verktyget MDEClientAnalyzer har laddats ned. Till exempel:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmdVerktyget skapar och extraherar den MDEClientAnalyzerResult.zip i mappen som ska användas i HardDrivePath.
Öppna MDEClientAnalyzerResult.txt och verifiera att du har utfört proxykonfigurationsstegen för att aktivera serveridentifiering och åtkomst till tjänstens URL:er.
Verktyget kontrollerar anslutningen för Defender för slutpunktstjänst-URL:er. Se till att Defender för slutpunktsklienten är konfigurerad för interaktion. Verktyget skriver ut resultaten i filen MDEClientAnalyzerResult.txt url-adressen som potentiellt kan användas för att kommunicera med Defender för Slutpunktstjänster. Till exempel:
Testing URL : https://xxx.microsoft.com/xxx 1 - Default proxy: Succeeded (200) 2 - Proxy auto discovery (WPAD): Succeeded (200) 3 - Proxy disabled: Succeeded (200) 4 - Named proxy: Doesn't exist 5 - Command line proxy: Doesn't exist
Om något av anslutningsalternativen returnerar en (200) status kan Defender för Endpoint-klienten kommunicera med den testat URL-adressen korrekt med den här anslutningsmetoden.
Men om anslutningskontrollens resultat anger att ett fel uppstod, visas ett HTTP-fel (se HTTP-statuskoder). Du kan sedan använda URL:erna i tabellen som visas i Aktivera åtkomst till Defender för slutpunktstjänst-URL:er i proxyservern. Vilka URL:er som är tillgängliga för användning beror på vilken region som valdes under onboarding-proceduren.
Anteckning
Kontrollen av molnanslutningen för verktyget Connectivity Analyzer är inte kompatibel med blockeringsregeln för blockering av processskapanden i attackytan som kommer från PSExec- och WMI-kommandon. Du måste tillfälligt inaktivera den här regeln för att köra anslutningsverktyget. Alternativt kan du tillfälligt lägga till ASR-undantag när du kör analyseraren.
När TelemetryProxyServer har angetts i registret eller via grupprincipen kommer Defender för Endpoint inte att kunna använda den definierade proxyn.