Partilhar via


Definir proxy de ponto de extremidade e configurações de conectividade com a Internet

Cada sensor do Microsoft Defender for Identity requer conectividade com a Internet para o serviço de nuvem Defender for Identity para relatar dados do sensor e operar com êxito.

Em algumas organizações, os controladores de domínio não estão diretamente conectados à Internet, mas estão conectados por meio de uma conexão de proxy da Web, e a inspeção SSL e os proxies de intercetação não são suportados por motivos de segurança. Nesses casos, seu servidor proxy deve permitir que os dados passem diretamente dos sensores do Defender for Identity para as URLs relevantes sem intercetação.

Importante

A Microsoft não fornece um servidor proxy. Este artigo descreve como garantir que as URLs necessárias sejam acessíveis por meio de um servidor proxy que você configurar.

Habilitar o acesso às URLs do serviço Defender for Identity no servidor proxy

Para garantir a máxima segurança e privacidade de dados, o Defender for Identity usa autenticação mútua baseada em certificado entre cada sensor do Defender for Identity e o back-end da nuvem do Defender for Identity. A inspeção e a interceção SSL não são suportadas, uma vez que interferem no processo de autenticação.

Para habilitar o acesso ao Defender for Identity, certifique-se de permitir o tráfego para a URL do sensor, usando a seguinte sintaxe: <your-workspace-name>sensorapi.atp.azure.com. Por exemplo, contoso-corpsensorapi.atp.azure.com.

  • Se seu proxy ou firewall usa listas de permissões explícitas, também recomendamos garantir que as seguintes URLs sejam permitidas:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • Ocasionalmente, os endereços IP do serviço Defender for Identity podem ser alterados. Se você configurar manualmente os endereços IP ou se o proxy resolver automaticamente os nomes DNS para o endereço IP deles e usá-los, recomendamos que você verifique periodicamente se os endereços IP configurados ainda estão atualizados.

  • Se você configurou anteriormente seu proxy usando opções herdadas, incluindo WiniNet ou uma atualização de chave do Registro, você precisará fazer quaisquer alterações usando o método usado originalmente. Para obter mais informações, consulte Alterar a configuração de proxy usando métodos herdados.

Habilitar o acesso com uma etiqueta de serviço

Em vez de habilitar manualmente o acesso a pontos de extremidade específicos, baixe os Intervalos de IP e Tags de Serviço do Azure - Nuvem Pública e use os intervalos de endereços IP na marca de serviço do Azure AzureAdvancedThreatProtection para habilitar o acesso ao Defender for Identity.

Para obter mais informações, consulte Marcas de serviço de rede virtual. Para obter informações sobre as ofertas do Governo dos EUA, consulte Introdução às ofertas do Governo dos EUA.

Alterar a configuração de proxy usando a CLI

Pré-requisitos: Localize o Microsoft.Tri.Sensor.Deployment.Deployer.exe arquivo. Este ficheiro está localizado juntamente com a instalação do sensor. Por padrão, esse local é C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Para alterar a configuração de proxy do sensor atual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Para remover totalmente a configuração de proxy do sensor atual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Alterar a configuração de proxy usando o PowerShell

Pré-requisitos: Antes de executar os comandos do Defender for Identity PowerShell, verifique se você baixou o módulo do Defender for Identity PowerShell.

Você pode exibir e alterar a configuração de proxy para seu sensor usando o PowerShell. Para fazer isso, entre no servidor do sensor e execute comandos conforme mostrado nos exemplos a seguir:

Para visualizar a configuração de proxy do sensor atual:

Get-MDISensorProxyConfiguration

Para alterar a configuração de proxy do sensor atual:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

Este exemplo define a configuração de proxy do sensor Defender for Identity para usar o servidor proxy especificado sem credenciais.

Para remover totalmente a configuração de proxy do sensor atual:

Clear-MDISensorProxyConfiguration

Para obter mais informações, consulte as seguintes referências do PowerShell DefenderForIdentity:

Alterar a configuração de proxy usando métodos herdados

Se você já configurou suas configurações de proxy por meio do WinINet ou de uma chave do Registro e precisa atualizá-las, precisará usar o mesmo método usado originalmente.

Ao configurar seu proxy a partir da linha de comando durante a instalação garante que apenas os serviços do sensor Defender for Identity se comuniquem através do proxy, usando WinINet ou um registro permita que outros serviços executados no contexto como Sistema Local ou Serviço Local também direcionem o tráfego através do proxy.

Configurar um servidor proxy usando WinINet

Ao configurar o proxy usando o WinINet, lembre-se de que o serviço de sensor incorporado do Defender for Identity é executado no contexto do sistema usando a conta LocalService e que o serviço atualizador do Defender for Identity Sensor é executado no contexto do sistema usando a conta LocalSystem .

  • Se você usar WinHTTP para configuração de proxy, ainda precisará definir as configurações de proxy do navegador Windows Internet (WinINet) para comunicação entre o sensor e o serviço de nuvem Defender for Identity.

  • Se você estiver usando proxy transparente ou WPAD em sua topologia de rede, não será necessário configurar o WinINet para seu proxy.

Configurar um servidor proxy usando o Registro

Esta seção descreve como configurar um servidor proxy estático manualmente usando um proxy estático baseado no Registro.

Importante

A configuração de um proxy por meio do Registro afeta todos os aplicativos que usam o WinINet com as contas LocalService e LocalSystem, incluindo os serviços do Windows.

Aplique as alterações do Registro somente às contas LocalService e LocalSystem .

Para configurar seu proxy, copie sua configuração de proxy no contexto do usuário para as contas LocalSystem e LocalService da seguinte maneira:

  1. Faça backup de suas chaves do Registro.

  2. No registo, procure o DefaultConnectionSettings valor como REG_BINARY, sob a chave de HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings registo e copie-o.

  3. Se o LocalSystem não tiver as configurações de proxy corretas, copie a configuração de proxy do Current_User para o LocalSystem, sob a chave do HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro.

    Certifique-se de colar o Current_Uservalor da chave REG_BINARYdo Registro como DefaultConnectionSettings .

    Isso pode acontecer se suas configurações de proxy não estiverem configuradas ou se forem diferentes do Current_User.

  4. Se o LocalService não tiver as configurações de proxy corretas, copie a configuração de proxy do Current_User para o LocalService, sob a HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings chave do Registro.

    Certifique-se de colar o Current_Uservalor da chave REG_BINARYdo Registro como DefaultConnectionSettings .

Para obter mais informações, consulte:

Próximo passo