設定裝置 Proxy 和網際網路連線能力設定

適用於:

想要體驗 Defender for Endpoint? 注册免費試用版。

Defender for endpoint 感應器需要 Microsoft Windows HTTP (WinHTTP) 才能報告感應器資料,並與 defender for Endpoint service 進行通訊。

內嵌的 Defender for Endpoint 感應器會在使用 LocalSystem 帳戶的系統內容中執行。 感應器會使用 Microsoft Windows HTTP 服務 (WinHTTP) 來啟用與 Defender for Endpoint cloud service 的通訊。

提示

對於使用轉寄 proxy 做為網際網路閘道的組織,您可以使用網路保護來 調查正向 proxy 背後發生的連接事件

WinHTTP 設定設定獨立于 Windows Internet (WinINet) 流覽 proxy 設定,而且只能使用下列探索方法來探索 proxy 伺服器:

  • 自動探索方法:

  • 手動靜態 Proxy 組態:

    • 基於登錄的設定

    • WinHTTP 使用 netsh 命令設定:僅適用于穩定拓撲中的桌面 (例如,公司網路中位於相同 proxy 後面的桌面)

使用基於登錄的靜態 Proxy 手動設定 Proxy 伺服器

設定供 defender 使用的登錄型靜態 proxy,以供 endpoint 偵測和回應 (EDR) 感應器報告診斷資料,並與使用 Defender for Endpoint service 通訊(如果不允許電腦連線至網際網路)。

注意

在 Windows 10 或 Windows Server 2019 上使用此選項時,建議使用下列 (或更新版本) 產生及累計更新彙總套件:

這些更新會改善 CnC (命令和控制) 通道的連線和可靠性。

靜態 proxy 也可透過群組原則 (GP) 進行設定。 可以在以下位置找到群組原則:

  • 系統 管理範本 > Windows 元件 > 資料收集和預覽版本 > 設定連線使用者經驗和遙測服務的已驗證 Proxy 使用方式

    設定為 [ 已啟用 ],然後選取 [ 停用已驗證的 Proxy 使用]。

    群組原則 setting1 的影像。

  • 系統 管理範本 > Windows 元件 > 資料收集和預覽版本 > 設定連線使用者體驗和遙測

    設定 Proxy

    群組原則 setting2 的影像。

群組原則 登錄機碼 登錄專案
設定連線使用者經驗和遙測服務的已驗證 proxy 使用方式 HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
設定連線的使用者經驗和遙測 HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer http://servername or ip:port

例如: http://10.0.0.6:8080 (REG_SZ)

設定 Microsoft Defender 防毒軟體的靜態 proxy

Microsoft Defender 防毒軟體雲端提供的保護可提供近乎立即、自動防護,以防禦新的和新興的威脅。 請注意,當 Defender 防毒軟體是使用中的反惡意程式碼解決方案時,自訂指示器必須連線;此外,即使使用非 Microsoft 方案做為主要反惡意軟體解決方案,還是會在封鎖模式中 EDR

使用這裡找到的群組原則設定靜態 proxy:

  1. 系統 管理範本 > Windows 元件 > Microsoft Defender 防毒軟體 > 定義 proxy 伺服器以連接至網路

  2. 將它設定為 [ 啟用 ] 並定義 proxy 伺服器。 請注意,此 URL 必須是 HTTP://或 HTTPs://。 如需 HTTPs://支援的版本,請參閱Manage Microsoft Defender 防毒軟體 updates

    Microsoft defender 防病毒的 Proxy 伺服器。

  3. 在登錄機碼底下  HKLM\Software\Policies\Microsoft\Windows Defender ,原則會將登錄值設定  ProxyServer   為 REG_SZ。

    登錄值  ProxyServer   採用下列字串格式:

    <server name or ip>:<port>
    
    For example: http://10.0.0.6:8080
    

注意

為了保證恢復的目的,以及雲端提供之保護的即時性質,Microsoft Defender 防毒軟體會快取最後一個已知的運作 proxy。 確定 proxy 方案不執行 SSL 檢查,因為這會中斷安全雲端連線。

Microsoft Defender 防毒軟體將不會使用靜態 proxy 連線至 Windows 更新,或下載更新的 Microsoft 更新。 相反地,它會使用系統範圍的 proxy (如果設定為使用 Windows 更新),或根據設定的回退順序設定的內部更新來源。

如有需要,您可以使用系統 管理範本 > Windows 元件 > Microsoft Defender 防毒軟體 > 定義 proxy 自動 config (。 若要連線至網路,請使用系統 管理範本) > 元件 Windows > Microsoft Defender 防毒軟體定義位址 以略過 proxy 伺服器,以避免 > 對那些目的地使用 proxy 伺服器。

您也可以搭配 Cmdlet 使用 PowerShell Set-MpPreference 來設定這些選項:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

使用 netsh 命令手動設定 proxy 伺服器

使用 netsh 設定全系統的靜態 Proxy。

注意

  • 這將影響所有應用程式,包括使用帶預設 Proxy 之 WinHTTP 的 Windows 服務。
  • 變更拓撲的膝上型電腦 (例如:從 office 到 home) ,將無法使用 netsh。 使用基於登錄的靜態 Proxy 設定。
  1. 開啟提高權限的命令列:

    1. 轉至 [開始] 並鍵入 「cmd」
    2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]
  2. 輸入以下命令,再按 Enter

    netsh winhttp set proxy <proxy>:<port>
    

    例如:netsh winhttp set proxy 10.0.0.6:8080

要重設 winhttpProxy,請輸入以下命令並按 Enter 鍵:

netsh winhttp reset proxy

若要瞭解詳細資訊。,請參見 Netsh 命令語法、上下文和格式

在 proxy 伺服器中啟用 Microsoft Defender for Endpoint service URLs 的存取權

如果 Proxy 或防火牆在預設情況下封鎖所有流量,並且只允許特定網域通過,請將可下載工作表中列出的網域新增到允許的網域清單中。

下列可供下載的試算表會列出您網路必須能夠連線的服務及其相關 URLs。 確定沒有防火牆或網路篩選規則可拒絕這些 URLs 的存取權,否則您可能需要建立專用的 allow 規則。



網域清單的試算表 描述
Microsoft Defender for Endpoint URLs 試算表的縮圖影像。 服務位置、地理位置和作業系統的特定 DNS 記錄試算表。

在這裡下載試算表。

如果 Proxy 或防火牆啟用了 HTTPS 掃描 (SSL 檢查),則從 HTTPS 掃描中排除上表中列出的網域。 在您的防火牆中,開啟 geography 欄為 WW 的所有 URLs。 針對 geography 欄非 WW 的資料行,開啟特定資料位置的 URLs。 若要驗證您的資料位置設定,請參閱 驗證資料儲存位置和更新 Microsoft Defender For Endpoint 的資料保留設定

注意

settings-win.data.microsoft.com 只有 Windows 10 在執行版本1803或更早版本的裝置時才需要。

只有當您具有執行版本1803或更新版本的 Windows 10 裝置時,才需要在其中包含 v20 的 URLs。 例如, us-v20.events.data.microsoft.com 在執行版本1803或更新版本的 Windows 10 裝置,以及架至 US 資料儲存體地區時,是必要的。

如果您在環境中使用 Microsoft Defender 防毒軟體,請參閱設定 Microsoft Defender 防毒軟體雲端服務的網路連線。

如果 proxy 或防火牆封鎖匿名流量,則在端點感應器的 Defender 是從系統內容連線時,請確定先前所列的 URLs 允許匿名流量。

Microsoft Monitoring Agent (MMA) -舊版本 Windows 用戶端或 Windows 伺服器的 proxy 和防火牆需求

下表列出與 Log Analytics 代理程式通訊所需的 proxy 及防火牆設定資訊 (通常稱為 Microsoft Monitoring Agent) 舊版 Windows,例如 Windows 7 SP1、Windows 8.1 Windows Server 2008 R2、Windows Server 2012 R2 及 Windows Server 2016。



代理程式資源 連接埠 方向 略過 HTTPS 檢查
*.ods.opinsights.azure.com 連接埠 443 出埠
*.oms.opinsights.azure.com 連接埠 443 出埠
*.blob.core.windows.net 連接埠 443 出埠
*.azure-automation.net 連接埠 443 出埠

注意

作為雲端式解決方案,IP 範圍可能會變更。 建議您移至 DNS 解析設定。

確認 Microsoft Monitoring Agent (MMA) 服務 URL 需求

當您使用舊版) 的 Microsoft Monitoring Agent (MMA Windows 時,請參閱下列指導,以消除特定環境的萬用字元 ( * ) 需求。

  1. 使用 Microsoft Monitoring Agent (MMA) 的舊版作業系統 (如需詳細資訊,請參閱在 defender 上的上架先前版本 Windows板載 Windows server

  2. 確定機器已成功地報告 Microsoft 365 Defender 入口網站。

  3. 從 "C:\Program Files \ Microsoft Monitoring Agent \Agent] 執行 TestCloudConnection.exe 工具,以驗證連線,並查看特定工作區所需的 URLs。

  4. 在 [Microsoft Defender for Endpoint URLs] 清單中檢查您地區的完整需求清單 (參閱服務 URLs 試算表) 。

    Windows PowerShell 中的系統管理員影像。

* * Ods.opinsights.azure.com、oms.opinsights.azure.com 及 agentsvc.azure-automation.net URL 端點中所用的) (萬用字元, * * 都可以取代為您特定的工作區識別碼。 工作區識別碼是針對您的環境和工作區所特有,可在 Microsoft 365 Defender 入口網站的承租人內架區段中找到。

*BLOB.CORE.WINDOWS.NET URL 端點可以取代為測試結果的「防火牆規則: * blob.core.windows.net」一節中所示的 URLs。

注意

在使用 Azure Defender 進行上架時,可能會使用多個工作區。 您必須在每個工作區的架電腦上執行上述 TestCloudConnection.exe 程式 (,以判斷是否) 工作區之間的 blob.core.windows.net URLs 的任何變更。

驗證 Endpoint service URLs 的用戶端與 Microsoft Defender 的連線能力

驗證 Proxy 設定是否成功完成,WinHTTP 是否可以在您的環境中發現 Proxy 伺服器並透過 Proxy 伺服器進行通訊,以及 Proxy 伺服器是否允許到適用於端點的 Defender 服務 URL 的通訊息。

  1. Microsoft defender For Endpoint Client Analyzer 工具 下載至執行 Endpoint for endpoint 感應器的電腦。

  2. 在裝置上解壓縮 MDEClientAnalyzer.zip 的內容。

  3. 開啟提高權限的命令列:

    1. 轉至 [開始] 並鍵入 「cmd」
    2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]
  4. 輸入以下命令,再按 Enter

    HardDrivePath\MDEClientAnalyzer.cmd
    

    以 MDEClientAnalyzer 工具下載所在的路徑取代 HardDrivePath ,例如:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. HardDrivePath 中使用的資料夾中,解壓縮工具所建立的 MDEClientAnalyzerResult.zip 檔案。

  6. 開啟 MDEClientAnalyzerResult.txt ,並確認您已執行 proxy 設定步驟,以啟用伺服器探索,並對服務 URLs 進行存取。

    該工具檢查適用於端點的 Defender 用戶端設定為與之互動的適用於端點的 Defender 服務 URL 的連線性。 然後,它會將結果列印到每個 URL 的 MDEClientAnalyzerResult.txt 檔案中,該 URL 可能用來與端點服務的 Defender 進行通訊。 例如:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

如果至少有一個連線選項退回 (200) 適用於端點的 Defender 用戶端可以使用此連線方法與測試的 URL 正確通訊。

但是,如果連線檢查結果顯示失敗,則會顯示 HTTP 錯誤 (請參閱 HTTP 狀態碼)。 然後,您可以在 proxy 伺服器中,使用 [ 啟用 Endpoint To Defender For Endpoint service URLs] 中所示的表格中所示的 URLs。 您將使用的 URLs 取決於上架程式期間所選取的區域。

注意

Connectivity Analyzer 工具雲端連線檢查與 從 PSExec 和 WMI 命令產生的攻擊面降規則封鎖程式建立不相容。 需要暫時停用此規則才能執行連線工具。 或者,您可以在執行 analyzer 時暫時新增 ASR 排除

設定 TelemetryProxyServer 時,在 [登錄] 或 [透過群組原則] 中,當其無法存取定義的 proxy 時,它會回復為 [直屬]。