步骤 2:将设备配置为使用代理连接到 Defender for Endpoint 服务

  • 项目

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

重要

不支持为仅 IPv6 流量配置的设备。

Defender for Endpoint 传感器需要 Microsoft Windows HTTP (WinHTTP) 来报告传感器数据并与 Defender for Endpoint 服务通信。 嵌入式 Defender for Endpoint 传感器使用 LocalSystem 帐户在系统上下文中运行。

提示

对于使用正向代理作为 Internet 网关的组织,可以使用网络保护 来调查转发代理后发生的连接事件

WinHTTP 配置设置独立于 Windows Internet (WinINet) 浏览代理设置 (请参阅 WinINet 与 WinHTTP) 。 它只能使用以下发现方法发现代理服务器:

  • 自动发现方法:

    • 透明代理

    • Web 代理自动发现协议 (WPAD)

      注意

      如果在网络拓扑中使用透明代理或 WPAD,则不需要特殊的配置设置。

  • 手动静态代理配置:

    • 基于注册表的配置

    • 使用 netsh 命令配置的 WinHTTP:仅适用于稳定拓扑中的桌面 (例如:同一代理后面的公司网络中桌面)

注意

可以独立设置 Defender 防病毒和 EDR 代理。 在以下各节中,请注意这些区别。

使用基于注册表的静态代理手动配置代理服务器

为 Defender for Endpoint 检测和响应配置基于注册表的静态代理, (EDR) 传感器报告诊断数据,并在不允许计算机连接到 Internet 时与 Defender for Endpoint 服务通信。

注意

在 Windows 10、Windows 11、Windows Server 2019 或 Windows Server 2022 上使用此选项时,建议使用以下 (或更高版本,) 生成和累积更新汇总:

这些更新改进了 CnC (命令和控制) 通道的连接性和可靠性。

静态代理可通过组策略 (GP) 进行配置,组策略值下的两个设置都应配置为代理服务器以使用 EDR。 组策略在管理模板中可用。

  • 管理模板 > Windows 组件 > 数据收集和预览版本 > 为连接的用户体验和遥测服务配置经过身份验证的代理用法

    将其设置为 “已启用 ”,然后选择“ 禁用经过身份验证的代理用法”。

    组策略设置1 状态窗格

  • 管理模板 > Windows 组件 > 数据收集和预览版本 > 配置连接的用户体验和遥测

    配置代理。

    “组策略设置2 状态”窗格

组策略 注册表项 注册表项
为连接的用户体验和遥测服务配置经过身份验证的代理用法 HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
配置连接的用户体验和遥测 HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

例如: 10.0.0.6:8080 (REG_SZ)

注意

如果在其他完全脱机的设备上使用“TelemetryProxyServer”设置,这意味着操作系统无法连接联机证书吊销列表或Windows 更新,则需要添加值为 的其他1注册表设置PreferStaticProxyForHttpRequest

“PreferStaticProxyForHttpRequest”的父注册表路径位置为“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection”

以下命令可用于在正确的位置插入注册表值:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

上述注册表值仅适用于 MsSense.exe 版本 10.8210.* 及更高版本或版本 10.8049.* 及更高版本。

为 Microsoft Defender 防病毒配置静态代理

Microsoft Defender防病毒云提供的保护提供近乎即时的自动保护,以抵御新的和新兴的威胁。 请注意,当 Defender 防病毒是有效的反恶意软件解决方案时, 自定义指示器 需要连接。 对于 处于阻止模式的 EDR ,在使用非 Microsoft 解决方案时,具有主要的反恶意软件解决方案。

使用管理模板中提供的组策略配置静态代理:

  1. 管理模板>Windows 组件>Microsoft Defender防病毒 > 定义用于连接到网络的代理服务器

  2. 将其设置为 Enabled 并定义代理服务器。 请注意,URL 必须具有 http:// 或 https://。 有关 https:// 支持的版本,请参阅管理Microsoft Defender防病毒更新

    Microsoft Defender防病毒的代理服务器

  3. 在注册表项 HKLM\Software\Policies\Microsoft\Windows Defender下,策略将注册表值 ProxyServer 设置为REG_SZ。

    注册表值 ProxyServer 采用以下字符串格式:

    <server name or ip>:<port>

    例如:http://10.0.0.6:8080

注意

如果在其他完全脱机的设备上使用静态代理设置,这意味着操作系统无法连接联机证书吊销列表或Windows 更新,则需要添加 dword 值为 0 的其他注册表设置 SSLOptions。 “SSLOptions”的父注册表路径位置为“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet”
出于复原能力和云提供保护的实时性,Microsoft Defender防病毒将缓存上一个已知工作代理。 确保代理解决方案不执行 SSL 检查。 这会中断安全的云连接。

Microsoft Defender防病毒不会使用静态代理连接到 Windows 更新 或 Microsoft 更新来下载更新。 相反,它将使用系统范围的代理(如果配置为使用Windows 更新),或者使用根据配置的回退顺序配置的内部更新源。

如果需要,可以使用管理模板 > Windows 组件>Microsoft Defender防病毒 > 定义代理自动配置 (.pac) 连接到网络。 如果需要使用多个代理设置高级配置,请使用管理模板 > Windows 组件>Microsoft Defender防病毒>定义地址来绕过代理服务器并阻止Microsoft Defender防病毒对这些目标使用代理服务器。

可以将 PowerShell 与 cmdlet 配合使用 Set-MpPreference 来配置以下选项:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

注意

若要正确使用代理,请配置以下三个不同的代理设置:

  • Microsoft Defender for Endpoint (MDE)
  • AV (防病毒)
  • 终结点检测和响应 (EDR)

使用 netsh 命令手动配置代理服务器

使用 netsh 配置系统范围的静态代理。

注意

  • 这将影响所有应用程序,包括使用带默认代理的 WinHTTP 的 Windows 服务。

  1. 打开提升的命令行:

    1. 转到“开始”并键入“cmd”。
    2. 右键单击“命令提示符”,然后选择“以管理员身份运行”。

  2. 输入以下命令,再按 Enter

    netsh winhttp set proxy <proxy>:<port>

    例如:netsh winhttp set proxy 10.0.0.6:8080

要重置 winhttp 代理,请输入以下命令并按 Enter 键:

netsh winhttp reset proxy

若要了解详细信息。,请参见 Netsh 命令语法、上下文和格式

后续步骤

步骤 3:验证客户端与Microsoft Defender for Endpoint服务 URL 的连接

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区