Delen via


STAP 2: uw apparaten configureren om verbinding te maken met de Defender for Endpoint-service met behulp van een proxy

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Belangrijk

Apparaten die zijn geconfigureerd voor IPv6-verkeer, worden niet ondersteund.

Opmerking

Als u de proxy correct wilt gebruiken, configureert u deze twee verschillende proxy-instellingen in Defender voor Eindpunt:

Afhankelijk van het besturingssysteem kan de proxy die moet worden gebruikt voor Microsoft Defender voor Eindpunt automatisch worden geconfigureerd. U kunt autodiscovery, een automatisch configuratiebestand of een methode gebruiken die statisch specifiek is voor Defender voor Eindpunt-services die op het apparaat worden uitgevoerd.

De Defender voor Eindpunt-sensor vereist Microsoft Windows HTTP (WinHTTP) om sensorgegevens te rapporteren en te communiceren met de Defender for Endpoint-service. De ingesloten Defender voor Eindpunt-sensor wordt uitgevoerd in systeemcontext met behulp van het LocalSystem account.

Tip

Als u doorsturen van proxy's gebruikt als gateway naar internet, kunt u netwerkbeveiliging gebruiken om verbindingsgebeurtenissen te onderzoeken die zich achter doorsturende proxy's voordoen.

De WinHTTP configuratie-instelling is onafhankelijk van de proxy-instellingen van Windows Internet (WinINet) (zie WinINet versus WinHTTP). Een proxyserver kan alleen worden gedetecteerd met behulp van de volgende detectiemethoden:

  • Methoden voor automatische detectie:

    • Transparante proxy

    • WPAD (Web Proxy Autodiscovery Protocol)

      Opmerking

      Als u Transparante proxy of WPAD gebruikt in uw netwerktopologie, hebt u geen speciale configuratie-instellingen nodig.

  • Hnadmatige statische proxyconfiguratie

    • Configuratie op basis van register

    • WinHTTP geconfigureerd met behulp van netsh-opdracht: alleen geschikt voor desktops in een stabiele topologie (bijvoorbeeld: een bureaublad in een bedrijfsnetwerk achter dezelfde proxy)

Opmerking

Microsoft Defender Antivirus- en EDR-proxy's kunnen onafhankelijk van elkaar worden ingesteld. Houd in de volgende secties rekening met deze verschillen.

De proxyserver handmatig configureren met behulp van een statische proxy-instelling op basis van een register

Configureer een registergebaseerde statische proxy voor EDR-sensor (Detectie en respons) van Defender for Endpoint om diagnostische gegevens te rapporteren en te communiceren met Defender for Endpoint-services als een computer niet rechtstreeks verbinding mag maken met internet.

Opmerking

Zorg ervoor dat u altijd de nieuwste updates toepast om een succesvolle verbinding met Defender for Endpoint-services te garanderen.

De statische proxy-instellingen kunnen worden geconfigureerd via groepsbeleid (GP). Beide instellingen onder groepsbeleidswaarden moeten worden geconfigureerd. Het groepsbeleid is beschikbaar in Beheersjablonen.

  • Beheersjablonen > Gegevensverzameling en preview-builds > van Windows-onderdelen > Configureren geverifieerd proxygebruik voor de verbonden gebruikerservaring en telemetrieservice.

    Stel deze in op Ingeschakeld en selecteer Geverifieerd proxygebruik uitschakelen.

    Het deelvenster groepsbeleid instelling1-status

  • Beheersjablonen > Gegevensverzameling en preview-versies > van Windows-onderdelen > Configureer verbonden gebruikerservaringen en telemetrie:

    Voer de proxygegevens in.

    Het deelvenster groepsbeleid instelling2-status

Groepsbeleid Registersleutel Registervermelding Waarde
Geverifieerd proxygebruik configureren voor de verbonden gebruikerservaring en de telemetrieservice HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Verbonden gebruikerservaringen en telemetrie configureren HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Bijvoorbeeld: 10.0.0.6:8080 (REG_SZ)

Opmerking

Als u instellingen gebruikt TelemetryProxyServer op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling PreferStaticProxyForHttpRequest toevoegen met de waarde 1.

De locatie van het bovenliggende registerpad voor PreferStaticProxyForHttpRequest is HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

De volgende opdracht kan worden gebruikt om de registerwaarde in te voegen op de juiste locatie:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

De eerder genoemde registerwaarde is alleen van toepassing vanaf MsSense.exe versie 10.8210.* en hoger, of versie 10.8049.* en hoger.

Een statische proxy configureren voor Microsoft Defender Antivirus

Microsoft Defender Antivirus-cloudbeveiliging biedt bijna directe, geautomatiseerde bescherming tegen nieuwe en opkomende bedreigingen. Connectiviteit is vereist voor aangepaste indicatoren wanneer Microsoft Defender Antivirus uw actieve antimalwareoplossing is en EDR in de blokmodus, wat een terugvaloptie biedt wanneer een niet-Microsoft-oplossing geen blok heeft uitgevoerd.

Configureer de statische proxy met behulp van de groepsbeleid die beschikbaar zijn in Beheersjablonen:

  1. Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Proxyserver definiƫren om verbinding te maken met het netwerk.

  2. Stel deze in op Ingeschakeld en definieer de proxyserver. De URL moet of https://hebbenhttp://. Zie Microsoft Defender Antivirus-updates beheren voor ondersteunde versies voorhttps://.

    De proxyserver voor Microsoft Defender Antivirus

  3. Onder de registersleutel HKLM\Software\Policies\Microsoft\Windows Defenderstelt het beleid de registerwaarde ProxyServer in op REG_SZ.

    De registerwaarde ProxyServer heeft de volgende tekenreeksindeling:

    <server name or ip>:<port>

    Bijvoorbeeld http://10.0.0.6:8080

Opmerking

Als u een statische proxy-instelling gebruikt op apparaten die anders volledig offline zijn, wat betekent dat het besturingssysteem geen verbinding kan maken voor de online certificaatintrekkingslijst of Windows Update, moet u de extra registerinstelling SSLOptions toevoegen met de DWORD-waarde .2 De locatie van het bovenliggende registerpad voor SSLOptions is HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet. Zie Cloud protection voor meer informatie over de SSLOptions.

Voor tolerantiedoeleinden en de realtime aard van cloudbeveiliging slaat Microsoft Defender Antivirus de laatst bekende werkende proxy in de cache op. Zorg ervoor dat uw proxyoplossing geen SSL-inspectie uitvoert, omdat hierdoor de beveiligde cloudverbinding wordt verbroken.

Microsoft Defender Antivirus gebruikt de statische proxy niet om verbinding te maken met Windows Update of Microsoft Update voor het downloaden van updates. In plaats daarvan wordt een systeembrede proxy gebruikt als deze is geconfigureerd voor het gebruik van Windows Update, of de geconfigureerde interne updatebron volgens de geconfigureerde terugvalvolgorde. Indien nodig kunt u Beheersjablonen > Windows-onderdelen > Microsoft Defender Antivirus > Define proxy auto-config (.pac) gebruiken om verbinding te maken met het netwerk. Als u geavanceerde configuraties met meerdere proxy's wilt instellen, gebruikt u Beheersjablonen > Windows-onderdelen > Microsoft Defender AntivirusAdressen > definiƫren om de proxyserver te omzeilen en te voorkomen dat Microsoft Defender Antivirus een proxyserver voor deze bestemmingen gebruikt.

U kunt PowerShell met de Set-MpPreference cmdlet gebruiken om deze opties te configureren:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

De proxyserver handmatig configureren met behulp van netsh de opdracht

Gebruik netsh om een systeembrede statische proxy te configureren.

Opmerking

Deze configuratie is van invloed op alle toepassingen, inclusief Windows-services die gebruikmaken van de WinHTTP standaardproxy.

  1. Open een opdrachtpromptregel met verhoogde bevoegdheid.

    1. Ga naar Start en typ cmd.
    2. Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.
  2. Voer de volgende opdracht in en druk op Enter:

    netsh winhttp set proxy <proxy>:<port>
    

    Bijvoorbeeld:netsh winhttp set proxy 10.0.0.6:8080

  3. Als u de winhttp proxy opnieuw wilt instellen, voert u de volgende opdracht in en drukt u op Enter:

    netsh winhttp reset proxy
    

Zie Syntaxis, contexten en opmaak van Netsh meer informatie.

Windows-apparaten met de vorige MMA-oplossing

Voor apparaten met Windows 7, Windows 8.1, Windows Server 2008 R2 en servers die niet zijn bijgewerkt naar Unified Agent en die de Microsoft Monitoring Agent (ook wel log analytics-agent genoemd) gebruiken om verbinding te maken met de Defender for Endpoint-service, kunt u een proxy-instelling voor het hele systeem gebruiken of de agent configureren om verbinding te maken via een proxy of een logboekanalysegateway.

Onboarden eerdere versies van Windows

Volgende stap

STAP 3: De clientverbinding met Microsoft Defender voor Eindpunt service-URL's controleren

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.