Condividi tramite

Configurare le impostazioni di connettività Internet e proxy dell'endpoint

  • Articolo

Ogni sensore Microsoft Defender per identità richiede la connettività Internet al servizio cloud Defender for Identity per segnalare i dati dei sensori e funzionare correttamente.

In alcune organizzazioni, i controller di dominio non sono connessi direttamente a Internet, ma sono connessi tramite una connessione proxy Web e i proxy di ispezione e intercettazione SSL non sono supportati per motivi di sicurezza. In questi casi, il server proxy deve consentire ai dati di passare direttamente dai sensori di Defender per identità agli URL pertinenti senza intercettazione.

Importante

Microsoft non fornisce un server proxy. Questo articolo descrive come garantire che gli URL necessari siano accessibili tramite un server proxy configurato.

Abilitare l'accesso agli URL del servizio Defender per identità nel server proxy

Per garantire la massima sicurezza e privacy dei dati, Defender per identità usa l'autenticazione reciproca basata su certificati tra ogni sensore defender per identità e il back-end cloud defender per identità. L'ispezione e l'intercettazione SSL non sono supportate perché interferiscono nel processo di autenticazione.

Per abilitare l'accesso a Defender per identità, assicurarsi di consentire il traffico verso l'URL del sensore usando la sintassi seguente: <your-workspace-name>sensorapi.atp.azure.com. Ad esempio, contoso-corpsensorapi.atp.azure.com.

  • Se il proxy o il firewall usa elenchi consentiti espliciti, è anche consigliabile assicurarsi che siano consentiti gli URL seguenti:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • In alcuni casi, gli indirizzi IP del servizio Defender per identità possono cambiare. Se si configurano manualmente gli indirizzi IP o se il proxy risolve automaticamente i nomi DNS nel relativo indirizzo IP e li usa, è consigliabile verificare periodicamente che gli indirizzi IP configurati siano ancora aggiornati.

  • Se il proxy è stato configurato in precedenza usando opzioni legacy, tra cui WiniNet o un aggiornamento della chiave del Registro di sistema, sarà necessario apportare eventuali modifiche usando il metodo usato in origine. Per altre informazioni, vedere Modificare la configurazione del proxy usando metodi legacy.

Abilitare l'accesso con un tag di servizio

Anziché abilitare manualmente l'accesso a endpoint specifici, scaricare gli intervalli IP e i tag del servizio di Azure - Cloud pubblico e usare gli intervalli di indirizzi IP nel tag del servizio Azure Azure AzureAdvancedThreatProtection per abilitare l'accesso a Defender per identità.

Per altre informazioni, vedere Tag del servizio di rete virtuale. Per le offerte del governo degli Stati Uniti, vedere Introduzione alle offerte del governo degli Stati Uniti.

Modificare la configurazione del proxy usando l'interfaccia della riga di comando

Prerequisiti: individuare il Microsoft.Tri.Sensor.Deployment.Deployer.exe file. Questo file si trova insieme all'installazione del sensore. Per impostazione predefinita, questa posizione è C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Per modificare la configurazione proxy del sensore corrente:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Per rimuovere completamente la configurazione proxy del sensore corrente:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Modificare la configurazione del proxy usando PowerShell

Prerequisiti: prima di eseguire i comandi di PowerShell di Defender per identità, assicurarsi di aver scaricato il modulo PowerShell defender per identità.

È possibile visualizzare e modificare la configurazione del proxy per il sensore usando PowerShell. A tale scopo, accedere al server del sensore ed eseguire i comandi come illustrato negli esempi seguenti:

Per visualizzare la configurazione proxy del sensore corrente:

Get-MDISensorProxyConfiguration

Per modificare la configurazione proxy del sensore corrente:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

In questo esempio viene impostata la configurazione del proxy per il sensore Defender per identità in modo che usi il server proxy specificato senza credenziali.

Per rimuovere completamente la configurazione proxy del sensore corrente:

Clear-MDISensorProxyConfiguration

Per altre informazioni, vedere i riferimenti di PowerShell DefenderForIdentity seguenti:

Modificare la configurazione del proxy usando metodi legacy

Se le impostazioni proxy sono state configurate in precedenza tramite WinINet o una chiave del Registro di sistema ed è necessario aggiornarle, è necessario usare lo stesso metodo usato in origine.

Durante la configurazione del proxy dalla riga di comando durante l'installazione garantisce che solo i servizi del sensore Defender per identità comunichino tramite il proxy, l'uso di WinINet o di un registro consente ad altri servizi in esecuzione nel contesto come sistema locale o servizio locale di indirizzare anche il traffico attraverso il proxy.

Configurare un server proxy usando WinINet

Quando si configura il proxy usando WinINet, tenere presente che il servizio sensore Defender per identità incorporato viene eseguito nel contesto di sistema usando l'account LocalService e che il servizio di aggiornamento defender per il sensore di identità viene eseguito nel contesto di sistema usando l'account LocalSystem .

  • Se usi WinHTTP per la configurazione del proxy, devi comunque configurare le impostazioni proxy del browser Windows Internet (WinINet) per la comunicazione tra il sensore e il servizio cloud Defender for Identity.

  • Se si usa transparent proxy o WPAD nella topologia di rete, non è necessario configurare WinINet per il proxy.

Configurare un server proxy usando il Registro di sistema

Questa sezione descrive come configurare manualmente un server proxy statico usando un proxy statico basato sul Registro di sistema.

Importante

La configurazione di un proxy tramite il Registro di sistema influisce su tutte le applicazioni che usano WinINet con gli account LocalService e LocalSystem , inclusi i servizi Windows.

Applicare le modifiche del Registro di sistema solo agli account LocalService e LocalSystem .

Per configurare il proxy, copiare la configurazione del proxy nel contesto utente negli account LocalSystem e LocalService come indicato di seguito:

  1. Eseguire il backup delle chiavi del Registro di sistema.

  2. Nel Registro di sistema cercare il DefaultConnectionSettings valore come REG_BINARY, nella chiave del HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro di sistema e copiarlo.

  3. Se l'oggetto LocalSystem non dispone delle impostazioni proxy corrette, copiare l'impostazione del proxy da Current_User a LocalSystem, nella chiave del HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro di sistema.

    Assicurarsi di incollare il valore della Current_Userchiave del Registro di sistema come REG_BINARYDefaultConnectionSettings .

    Ciò può verificarsi se le impostazioni proxy non sono configurate o se sono diverse da Current_User.

  4. Se l'oggetto LocalService non dispone delle impostazioni proxy corrette, copiare l'impostazione del proxy da Current_User a LocalServicenella chiave del HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro di sistema.

    Assicurarsi di incollare il valore della Current_Userchiave del Registro di sistema come REG_BINARYDefaultConnectionSettings .

Contenuto correlato

Per altre informazioni, vedere:

Passaggio successivo

Testare la connettività Microsoft Defender per identità »