步驟 2:設定您的裝置以使用 Proxy 連線到適用於端點的 Defender 服務

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

重要事項

不支持針對僅限 IPv6 流量設定的裝置。

適用於端點的 Defender 感測器需要 Microsoft Windows HTTP (WinHTTP) 來報告感測器數據,並與適用於端點的 Defender 服務通訊。 適用於端點的內嵌Defender感測器會使用LocalSystem帳戶在系統內容中執行。

提示

對於使用正向 Proxy 作為因特網閘道的組織,您可以使用網路保護來調查向前 Proxy 後方發生的連線事件

WinHTTP 組態設定與 Windows Internet (WinINet) 流覽 Proxy 設定無關, (參閱 WinINet 與 WinHTTP) 。 它只能使用下列發現方法來探索 Proxy 伺服器:

  • 自動探索方法:

    • 透明Proxy

    • 網頁 Proxy 自動探索通訊協定(WPAD)

      注意事項

      如果您在網路拓撲中使用透明 Proxy 或 WPAD,則不需要特殊的組態設定。

  • 手動靜態 Proxy 組態:

    • 基於登錄的設定

    • 使用 netsh 命令設定的 WinHTTP:僅適用於穩定拓撲中的桌面 (例如:公司網路中位於相同 Proxy 後方的桌面)

注意事項

您可以獨立設定 Defender 防病毒軟體和 EDR Proxy。 在後續各節中,請留意這些差異。

使用基於登錄的靜態 Proxy 手動設定 Proxy 伺服器

設定適用於端點的 Defender 偵測和回應的登錄式靜態 Proxy (EDR) 感測器,以報告診斷數據,並在計算機不允許連線到因特網時與適用於端點的 Defender 服務通訊。

注意事項

在 Windows 10、Windows 11、Windows Server 2019 或 Windows Server 2022 上使用此選項時,建議您在組建和累積更新匯總) 使用下列 (或更新版本:

這些更新可改善 CnC (Command and Control) 通道的連線能力和可靠性。

靜態 Proxy 可透過組策略 (GP) 來設定,組策略值下的兩個設定都應該設定為 Proxy 伺服器以使用 EDR。 組策略可在系統管理範本中取得。

  • 系統管理範 > 本Windows 元件 > 數據收集和預覽組建 > 設定已連線用戶體驗和遙測服務的已驗證 Proxy 使用方式

    將它設定為 [已啟用 ],然後選取 [ 停用已驗證的 Proxy 使用方式]

    群組原則 設定 1 狀態窗格

  • 系統管理範 > 本Windows 元件 > 數據收集和預覽組建 > 設定連線的使用者體驗和遙測

    設定 Proxy。

    [群組原則 設定 2 狀態] 窗格

群組原則 登錄機碼 登錄專案
設定已連線用戶體驗和遙測服務的已驗證 Proxy 使用方式 HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
設定連線的用戶體驗和遙測 HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

例如: 10.0.0.6:8080 (REG_SZ)

注意事項

如果您在其他完全離線的裝置上使用 『TelemetryProxyServer』 設定,表示操作系統無法連線到在線證書吊銷清單或 Windows Update,則必須新增值為 的其他1登錄設定PreferStaticProxyForHttpRequest

“PreferStaticProxyForHttpRequest” 的父登錄路徑位置為 “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection”

下列命令可用來將登入值插入正確的位置:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

上述登錄值僅適用於從 MsSense.exe 10.8210.* 版和更新版本,或 10.8049.* 版和更新版本開始。

設定 Microsoft Defender 防病毒軟體的靜態 Proxy

Microsoft Defender 防病毒軟體雲端式保護提供近乎即時的自動化保護,以抵禦新的和新興的威脅。 請注意,當 Defender 防病毒軟體是作用中的反惡意程式碼解決方案時, 自定義指標 需要連線能力。 針對 封鎖模式中的 EDR ,使用非 Microsoft 解決方案時,有主要的反惡意代碼解決方案。

使用[系統管理範本] 中提供的 群組原則 來設定靜態 Proxy:

  1. 系統管理範>本Windows 元件 > Microsoft Defender 防病毒軟體>定義 Proxy 伺服器以連線到網路

  2. 將它設定為 [已啟用 ],並定義 Proxy 伺服器。 請注意,URL 必須具有 http:// 或 https://。 如需 https:// 的支援版本,請參閱管理 Microsoft Defender 防病毒軟體更新

    Microsoft Defender 防病毒軟體的 Proxy 伺服器

  3. 在登錄機碼 HKLM\Software\Policies\Microsoft\Windows Defender底下,原則會將登錄值 ProxyServer 設定為 REG_SZ。

    登入值 ProxyServer 採用下列字串格式:

    <server name or ip>:<port>

    例如:http://10.0.0.6:8080

注意事項

如果您在其他完全離線的裝置上使用靜態 Proxy 設定,表示操作系統無法連線到在線證書吊銷清單或 Windows Update,則必須新增 dword 值為 0 的額外登入設定 SSLOptions。 “SSLOptions” 的父登錄路徑位置為 “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet”
基於復原目的和雲端式保護的實時本質,Microsoft Defender 防病毒軟體會快取最後一個已知的工作 Proxy。 請確定您的 Proxy 解決方案不會執行 SSL 檢查。 這會中斷安全的雲端連線。

Microsoft Defender 防病毒軟體將不會使用靜態 Proxy 連線到 Windows Update 或 Microsoft Update 以下載更新。 相反地,如果設定為使用 Windows Update,或根據設定的後援順序設定的內部更新來源,則會使用全系統的 Proxy。

如有需要,您可以使用系統管理範本 > Windows 元件 > Microsoft Defender 防病毒軟體>定義 proxy 自動設定 (.pac) 以連線到網路。 如果您需要設定具有多個 Proxy 的進階組態,請使用系統管理範>本 Windows 元件 > Microsoft Defender 防病毒軟體>定義位址來略過 Proxy 伺服器,並防止 Microsoft Defender 防病毒軟體針對這些目的地使用 Proxy 伺服器。

您可以使用 PowerShell 搭配 Set-MpPreference Cmdlet 來設定這些選項:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

注意事項

若要正確使用 Proxy,請設定這三個不同的 Proxy 設定:

  • 適用於端點的 Microsoft Defender (MDE)
  • 防病毒軟體 ()
  • 端點偵測和回應 (EDR)

使用 netsh 命令手動設定 Proxy 伺服器

使用 netsh 設定全系統的靜態 Proxy。

注意事項

  • 這將影響所有應用程式,包括使用帶預設 Proxy 之 WinHTTP 的 Windows 服務。

  1. 開啟提高權限的命令列:

    1. 轉至 [開始] 並鍵入「cmd」
    2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]

  2. 輸入以下命令,再按 Enter

    netsh winhttp set proxy <proxy>:<port>

    例如:netsh winhttp set proxy 10.0.0.6:8080

要重設 winhttpProxy,請輸入以下命令並按 Enter 鍵:

netsh winhttp reset proxy

若要瞭解詳細資訊。,請參見 Netsh 命令語法、上下文和格式

下一步

步驟 3:確認用戶端連線至 適用於端點的 Microsoft Defender 服務 URL

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。