Sdílet prostřednictvím

Konfigurace proxy koncového bodu a nastavení připojení k internetu

  • Článek

Každý Microsoft Defender for Identity senzor vyžaduje připojení k internetu ke cloudové službě Defender for Identity, aby nahlásil data senzoru a úspěšně fungoval.

V některých organizacích nejsou řadiče domény připojené přímo k internetu, ale jsou připojené prostřednictvím připojení webového proxy serveru a z bezpečnostních důvodů se nepodporuje kontrola SSL a zachytávání proxy serverů. V takových případech musí váš proxy server povolit přímý přenos dat ze senzorů Defenderu for Identity na příslušné adresy URL bez zachycení.

Důležité

Společnost Microsoft neposkytuje proxy server. Tento článek popisuje, jak zajistit, aby požadované adresy URL byly přístupné prostřednictvím proxy serveru, který nakonfigurujete.

Povolení přístupu k adresám URL služby Defender for Identity na proxy serveru

K zajištění maximálního zabezpečení a ochrany osobních údajů používá Defender for Identity vzájemné ověřování založené na certifikátech mezi každým senzorem Defender for Identity a cloudovým back-endem Defenderu for Identity. Kontrola protokolu SSL a zachytávání se nepodporují, protože brání procesu ověřování.

Pokud chcete povolit přístup k Defenderu for Identity, nezapomeňte povolit provoz na adresu URL senzoru pomocí následující syntaxe: <your-workspace-name>sensorapi.atp.azure.com. Například: contoso-corpsensorapi.atp.azure.com.

  • Pokud váš proxy server nebo brána firewall používají explicitní seznamy povolených, doporučujeme také zajistit, aby byly povolené následující adresy URL:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • IP adresy služby Defender for Identity se můžou občas změnit. Pokud konfigurujete IP adresy ručně nebo pokud proxy server automaticky překládá názvy DNS na jejich IP adresu a používá je, doporučujeme pravidelně kontrolovat, jestli jsou nakonfigurované IP adresy stále aktuální.

  • Pokud jste proxy server dříve nakonfigurovali pomocí starších možností, včetně winiNet nebo aktualizace klíče registru, budete muset provést všechny změny metodou, kterou jste použili původně. Další informace najdete v tématu Změna konfigurace proxy serveru pomocí starších metod.

Povolení přístupu pomocí značky služby

Místo ručního povolení přístupu ke konkrétním koncovým bodům stáhněte rozsahy IP adres Azure a značky služeb – Veřejný cloud a pomocí rozsahů IP adres ve značce služby AzureAdvancedThreatProtection povolte přístup k Defenderu for Identity.

Další informace najdete v tématu Značky služeb virtuální sítě. Informace o nabídkách pro státní správu USA najdete v tématu Začínáme s nabídkami pro státní správu USA.

Změna konfigurace proxy serveru pomocí rozhraní příkazového řádku

Požadavky: Vyhledejte Microsoft.Tri.Sensor.Deployment.Deployer.exe soubor. Tento soubor se nachází společně s instalací senzoru. Ve výchozím nastavení je toto umístění C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Změna konfigurace proxy serveru aktuálního senzoru:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Úplné odebrání konfigurace proxy serveru aktuálního senzoru:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Změna konfigurace proxy serveru pomocí PowerShellu

Předpoklady: Před spuštěním příkazů PowerShellu pro Defender for Identity se ujistěte, že jste si stáhli modul PowerShellu defenderu for Identity.

Konfiguraci proxy serveru pro senzor můžete zobrazit a změnit pomocí PowerShellu. Provedete to tak, že se přihlásíte k serveru senzorů a spustíte příkazy, jak je znázorněno v následujících příkladech:

Zobrazení konfigurace proxy serveru aktuálního senzoru:

Get-MDISensorProxyConfiguration

Změna konfigurace proxy serveru aktuálního senzoru:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

Tento příklad nastaví konfiguraci proxy serveru pro senzor Defenderu for Identity tak, aby používal zadaný proxy server bez jakýchkoli přihlašovacích údajů.

Úplné odebrání konfigurace proxy serveru aktuálního senzoru:

Clear-MDISensorProxyConfiguration

Další informace najdete v následujících odkazech k Prostředí PowerShell DefenderForIdentity:

Změna konfigurace proxy serveru pomocí starších metod

Pokud jste dříve nakonfigurovali nastavení proxy serveru přes WinINet nebo klíč registru a potřebujete je aktualizovat, budete muset použít stejnou metodu, kterou jste použili původně.

Při konfiguraci proxy serveru z příkazového řádku během instalace se zajistí, že prostřednictvím proxy serveru komunikují pouze služby senzoru Defender for Identity, pomocí winINet nebo registru umožníte ostatním službám spuštěným v kontextu jako místní systém nebo místní služba směrovat provoz prostřednictvím proxy serveru.

Konfigurace proxy serveru pomocí winINetu

Při konfiguraci proxy serveru pomocí sítě WinINet mějte na paměti, že integrovaná služba senzoru Defender for Identity běží v kontextu systému pomocí účtu LocalService a že aktualizační služba senzoru Defender for Identity běží v kontextu systému pomocí účtu LocalSystem .

  • Pokud ke konfiguraci proxy serveru používáte WinHTTP, musíte nakonfigurovat nastavení proxy prohlížeče Windows Internet (WinINet) pro komunikaci mezi senzorem a cloudovou službou Defender for Identity.

  • Pokud v síťové topologii používáte transparentní proxy server nebo WPAD, nemusíte pro proxy server konfigurovat WinINet.

Konfigurace proxy serveru pomocí registru

Tato část popisuje ruční konfiguraci statického proxy serveru pomocí statického proxy serveru založeného na registru.

Důležité

Konfigurace proxy serveru prostřednictvím registru ovlivní všechny aplikace, které používají WinINet s účty LocalService a LocalSystem , včetně služeb Windows.

Změny registru použijte pouze u účtů LocalService a LocalSystem .

Pokud chcete nakonfigurovat proxy server, zkopírujte konfiguraci proxy serveru v kontextu uživatele do účtů LocalSystem a LocalService následujícím způsobem:

  1. Zálohujte klíče registru.

  2. V registru vyhledejte DefaultConnectionSettings hodnotu jako REG_BINARY, pod HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings klíčem registru a zkopírujte ji.

  3. LocalSystem Pokud objekt nemá správné nastavení proxy serveru, zkopírujte nastavení proxy serveru z Current_UserLocalSystemdo , pod HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings klíčem registru.

    Nezapomeňte vložit hodnotu z Current_UserDefaultConnectionSettings klíče registru jako REG_BINARY.

    K tomu může dojít, pokud vaše nastavení proxy serveru není nakonfigurované nebo pokud se liší od Current_User.

  4. LocalService Pokud objekt nemá správné nastavení proxy serveru, zkopírujte nastavení proxy serveru z Current_UserLocalServicedo , pod HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings klíčem registru.

    Nezapomeňte vložit hodnotu z Current_UserDefaultConnectionSettings klíče registru jako REG_BINARY.

Související obsah

Další informace najdete tady:

Další krok

Test připojení Microsoft Defender for Identity »