PASSAGGIO 2: Configurare i dispositivi per la connessione al servizio Defender per endpoint tramite un proxy
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Importante
I dispositivi configurati per il traffico solo IPv6 non sono supportati.
Nota
Per usare correttamente il proxy, configurare queste due diverse impostazioni proxy in Defender per endpoint:
A seconda del sistema operativo, il proxy da usare per Microsoft Defender per endpoint può essere configurato automaticamente. È possibile usare l'individuazione automatica, un file autoconfig o un metodo statico specifico di Defender per Endpoint services in esecuzione nel dispositivo.
- Per i dispositivi Windows, vedere Configurare le impostazioni di connettività Internet e proxy del dispositivo (in questo articolo).
- Per i dispositivi Linux, vedere Configurare Microsoft Defender per endpoint in Linux per l'individuazione del proxy statico.
- Per i dispositivi macOS, vedere Microsoft Defender per endpoint in Mac.
Il sensore Defender per endpoint richiede HTTP di Microsoft Windows (WinHTTP
) per segnalare i dati del sensore e comunicare con il servizio Defender per endpoint. Il sensore defender per endpoint incorporato viene eseguito nel contesto di sistema usando l'account LocalSystem
.
Consiglio
Se si usano proxy di inoltro come gateway a Internet, è possibile usare la protezione di rete per analizzare gli eventi di connessione che si verificano dietro i proxy di inoltro.
L'impostazione WinHTTP
di configurazione è indipendente dalle impostazioni del proxy di esplorazione di Windows Internet (WinINet
vedere WinINet e WinHTTP). È possibile individuare un server proxy solo usando i metodi di individuazione seguenti:
Metodi di individuazione automatica:
Proxy trasparente
Protocollo Web Proxy Auto-discovery (WPAD)
Nota
Se si usa transparent proxy o WPAD nella topologia di rete, non sono necessarie impostazioni di configurazione speciali.
Configurazione manuale del proxy statico:
Configurazione basata sul registro
WinHTTP configurato usando il comando netsh: adatto solo per i desktop in una topologia stabile (ad esempio, un desktop in una rete aziendale dietro lo stesso proxy)
Nota
Microsoft Defender proxy antivirus ed EDR possono essere impostati in modo indipendente. Nelle sezioni seguenti, tenere presente queste distinzioni.
Configurare manualmente il server proxy usando un'impostazione proxy statica basata sul Registro di sistema
Configurare un proxy statico basato sul Registro di sistema per il sensore di rilevamento e risposta di Defender per endpoint (EDR) per segnalare i dati di diagnostica e comunicare con Defender per Endpoint Services se a un computer non è consentito connettersi direttamente a Internet.
Nota
Assicurarsi sempre di applicare gli aggiornamenti più recenti per garantire la corretta connettività ai servizi di Defender per endpoint.
Le impostazioni proxy statiche sono configurabili tramite Criteri di gruppo. Entrambe le impostazioni in valori di Criteri di gruppo devono essere configurate. I criteri di gruppo sono disponibili in Modelli amministrativi.
Modelli > amministrativi Raccolta dei dati dei componenti > di Windows e build di anteprima > Configurare l'utilizzo del proxy autenticato per il servizio Esperienza utente connessa e telemetria.
Impostarlo su Abilitato e selezionare Disabilita l'utilizzo del proxy autenticato.
Modelli > amministrativi Raccolta di dati e versioni di anteprima dei componenti > di Windows Configurare esperienze > utente connesse e dati di telemetria:
Immettere le informazioni sul proxy.
Criteri di gruppo | Chiave del Registro di sistema | Voce del Registro di sistema | Valore |
---|---|---|---|
Configurare l'utilizzo del proxy autenticato per l'esperienza utente connessa e il servizio di telemetria | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Configurare esperienze utente connesse e dati di telemetria | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Ad esempio: 10.0.0.6:8080 (REG_SZ) |
Nota
Se si usa l'impostazione TelemetryProxyServer
nei dispositivi altrimenti completamente offline, ovvero il sistema operativo non è in grado di connettersi per l'elenco di revoche di certificati online o Windows Update, è necessario aggiungere l'impostazione PreferStaticProxyForHttpRequest
aggiuntiva del Registro di 1
sistema con il valore .
Il percorso del percorso del Registro di sistema padre per PreferStaticProxyForHttpRequest
è HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
.
Il comando seguente può essere usato per inserire il valore del Registro di sistema nel percorso corretto:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Il valore del Registro di sistema indicato in precedenza è applicabile solo a partire da MsSense.exe versione 10.8210.*
e versioni successive, o versione 10.8049.*
e versioni successive.
Configurare un proxy statico per Microsoft Defender Antivirus
Microsoft Defender protezione fornita dal cloud antivirus offre una protezione quasi istantanea e automatizzata contro minacce nuove ed emergenti. La connettività è necessaria per gli indicatori personalizzati quando Microsoft Defender Antivirus è la soluzione antimalware attiva ed EDR in modalità blocco, che fornisce un'opzione di fallback quando una soluzione non Microsoft non ha eseguito un blocco.
Configurare il proxy statico usando il Criteri di gruppo disponibile in Modelli amministrativi:
Modelli > amministrativi Componenti di > Windows Microsoft Defender Antivirus > Definire il server proxy per la connessione alla rete.
Impostarlo su Abilitato e definire il server proxy. L'URL deve avere
http://
ohttps://
. Per le versioni supportate perhttps://
, vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus.Nella chiave
HKLM\Software\Policies\Microsoft\Windows Defender
del Registro di sistema i criteri impostano il valoreProxyServer
del Registro di sistema suREG_SZ
.Il valore
ProxyServer
del Registro di sistema accetta il formato stringa seguente:<server name or ip>:<port>
Ad esempio,
http://10.0.0.6:8080
Nota
Se si usa l'impostazione proxy statico nei dispositivi altrimenti completamente offline, ovvero il sistema operativo non è in grado di connettersi per l'elenco di revoche di certificati online o Windows Update, è necessario aggiungere l'impostazione SSLOptions
aggiuntiva del Registro di sistema con un valore DWORD pari 2
a . Il percorso del percorso del Registro di sistema padre per SSLOptions
è HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet
. Per altre informazioni su SSLOptions
, vedere Cloud Protection.
Ai fini della resilienza e della natura in tempo reale della protezione fornita dal cloud, Microsoft Defender Antivirus memorizza nella cache l'ultimo proxy funzionante noto. Assicurarsi che la soluzione proxy non esegua l'ispezione SSL, perché ciò interrompe la connessione cloud sicura.
Microsoft Defender Antivirus non usa il proxy statico per connettersi a Windows Update o Microsoft Update per scaricare gli aggiornamenti. Usa invece un proxy a livello di sistema se configurato per l'uso di Windows Update o l'origine di aggiornamento interna configurata in base all'ordine di fallback configurato. Se necessario, è possibile usare i modelli > amministrativi Componenti di > Windows Microsoft Defender Antivirus > Define proxy auto-config (pac) per la connessione alla rete. Se è necessario configurare configurazioni avanzate con più proxy, usare Modelli > amministrativi Componenti > di Windows Microsoft Defender Antivirus > Definire gli indirizzi per ignorare il server proxy e impedire a Microsoft Defender Antivirus di usare un server proxy per tali destinazioni.
È possibile usare PowerShell con il Set-MpPreference
cmdlet per configurare queste opzioni:
ProxyBypass
ProxyPacUrl
ProxyServer
Configurare manualmente il server proxy usando il netsh
comando
Usare netsh
per configurare un proxy statico a livello di sistema.
Nota
Questa configurazione influisce su tutte le applicazioni, inclusi i servizi Windows che usano WinHTTP
con il proxy predefinito.
Aprire un prompt dei comandi con privilegi elevati:
- Passare a Start e digitare
cmd
. - Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
- Passare a Start e digitare
Immettere il comando indicato di seguito e premere INVIO:
netsh winhttp set proxy <proxy>:<port>
Ad esempio:
netsh winhttp set proxy 10.0.0.6:8080
Per reimpostare il
winhttp
proxy, immettere il comando seguente e premere INVIO:netsh winhttp reset proxy
Per altre informazioni, vedere Sintassi comando netsh, contesti e formattazione.
Dispositivi Windows che eseguono la soluzione basata su MMA precedente
Per i dispositivi che eseguono Windows 7, Windows 8.1, Windows Server 2008 R2 e i server che non vengono aggiornati all'agente unificato e usare Microsoft Monitoring Agent (noto anche come agente di Log Analytics) per connettersi al servizio Defender per endpoint, è possibile usare un'impostazione proxy a livello di sistema oppure configurare l'agente per la connessione tramite un proxy o un gateway di log analytics.
- Configurare l'agente per l'uso di un proxy: configurazione del proxy
- Configurare Azure Log Analytics (in precedenza noto come gateway OMS) per fungere da proxy o hub: agente di Azure Log Analytics
Aggiungere versioni precedenti di Windows
Passaggio successivo
PASSAGGIO 3: Verificare la connettività client agli URL del servizio Microsoft Defender per endpoint
Articoli correlati
- Ambienti disconnessi, proxy e Microsoft Defender per endpoint
- Usare le impostazioni di Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus
- Aggiungere dispositivi Windows
- Risolvere i problemi di onboarding Microsoft Defender per endpoint
- Eseguire l'onboarding di dispositivi senza accesso a Internet a Microsoft Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.