Partilhar via

Configurar as definições de proxy de pontos finais e de conectividade à Internet

  • Artigo

Cada sensor de Microsoft Defender para Identidade necessita de conectividade Internet ao serviço cloud do Defender para Identidade para comunicar dados de sensores e funcionar com êxito.

Em algumas organizações, os controladores de domínio não estão diretamente ligados à Internet, mas estão ligados através de uma ligação de proxy Web e a inspeção ESL e interceção de proxies não são suportados por motivos de segurança. Nesses casos, o servidor proxy tem de permitir que os dados passem diretamente dos sensores do Defender para Identidade para os URLs relevantes sem intercepção.

Importante

A Microsoft não fornece um servidor proxy. Este artigo descreve como garantir que os URLs necessários estão acessíveis através de um servidor proxy que configurou.

Ativar o acesso aos URLs do serviço Defender para Identidade no servidor proxy

Para garantir a segurança máxima e a privacidade dos dados, o Defender para Identidade utiliza a autenticação mútua baseada em certificados entre cada sensor do Defender para Identidade e o back-end da cloud do Defender para Identidade. A inspeção e a intercepção SSL não são suportadas, uma vez que interferem no processo de autenticação.

Para ativar o acesso ao Defender para Identidade, certifique-se de que permite o tráfego para o URL do sensor com a seguinte sintaxe: <your-workspace-name>sensorapi.atp.azure.com. Por exemplo, contoso-corpsensorapi.atp.azure.com.

  • Se o proxy ou a firewall utilizar listas de permissões explícitas, também recomendamos que garanta que são permitidos os seguintes URLs:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • Ocasionalmente, os endereços IP do serviço Defender para Identidade podem ser alterados. Se configurar manualmente endereços IP ou se o seu proxy resolver automaticamente os nomes DNS no respetivo endereço IP e os utilizar, recomendamos que verifique periodicamente se os endereços IP configurados ainda estão atualizados.

  • Se tiver configurado anteriormente o proxy através de opções legadas, incluindo o WiniNet ou uma atualização de chave de registo, terá de efetuar quaisquer alterações com o método que utilizou originalmente. Para obter mais informações, veja Alterar a configuração do proxy com métodos legados.

Ativar o acesso com uma etiqueta de serviço

Em vez de ativar manualmente o acesso a pontos finais específicos, transfira os Intervalos de IP do Azure e as Etiquetas de Serviço – Cloud Pública e utilize os intervalos de endereços IP na etiqueta de serviço AzureAdvancedThreatProtection do Azure para permitir o acesso ao Defender para Identidade.

Para obter mais informações, veja Etiquetas de serviço de rede virtual. Para ofertas do Governo dos EUA, veja Introdução às ofertas do Governo dos EUA.

Alterar a configuração do proxy com a CLI

Pré-requisitos: localize o Microsoft.Tri.Sensor.Deployment.Deployer.exe ficheiro. Este ficheiro está localizado juntamente com a instalação do sensor. Por predefinição, esta localização é C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Para alterar a configuração do proxy do sensor atual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Para remover totalmente a configuração do proxy do sensor atual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Alterar a configuração do proxy com o PowerShell

Pré-requisitos: antes de executar comandos do PowerShell do Defender para Identidade, certifique-se de que transferiu o módulo do PowerShell do Defender para Identidade.

Pode ver e alterar a configuração do proxy do sensor com o PowerShell. Para tal, inicie sessão no servidor de sensores e execute comandos, conforme mostrado nos seguintes exemplos:

Para ver a configuração do proxy do sensor atual:

Get-MDISensorProxyConfiguration

Para alterar a configuração do proxy do sensor atual:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

Este exemplo define a configuração de proxy do sensor do Defender para Identidade para utilizar o servidor proxy especificado sem quaisquer credenciais.

Para remover totalmente a configuração do proxy do sensor atual:

Clear-MDISensorProxyConfiguration

Para obter mais informações, veja as seguintes referências do PowerShell defenderForIdentity:

Alterar a configuração do proxy com métodos legados

Se tiver configurado anteriormente as definições de proxy através do WinINet ou de uma chave de registo e precisar de as atualizar, terá de utilizar o mesmo método que utilizou originalmente.

Ao configurar o proxy a partir da linha de comandos durante a instalação, garante que apenas os serviços de sensor do Defender para Identidade comunicam através do proxy, utilizando WinINet ou um registo, permitem que outros serviços em execução no contexto como Sistema Local ou Serviço Local também direcionem o tráfego através do proxy.

Configurar um servidor proxy com o WinINet

Ao configurar o proxy com o WinINet, tenha em atenção que o serviço de sensor incorporado do Defender para Identidade é executado no contexto do sistema com a conta LocalService e que o serviço de atualização do Sensor do Defender para Identidade é executado no contexto do sistema com a conta LocalSystem .

  • Se utilizar WinHTTP para a configuração de proxy, ainda terá de configurar as definições de proxy do browser Windows Internet (WinINet) para comunicação entre o sensor e o serviço cloud do Defender para Identidade.

  • Se estiver a utilizar o proxy transparente ou o WPAD na topologia de rede, não precisa de configurar o WinINet para o seu proxy.

Configurar um servidor proxy com o registo

Esta secção descreve como configurar manualmente um servidor proxy estático com um proxy estático baseado no registo.

Importante

A configuração de um proxy através do registo afeta todas as aplicações que utilizam o WinINet com as contas LocalService e LocalSystem , incluindo os serviços do Windows.

Aplique alterações de registo apenas às contas LocalService e LocalSystem .

Para configurar o proxy, copie a configuração do proxy no contexto de utilizador para as contas LocalSystem e LocalService da seguinte forma:

  1. Faça uma cópia de segurança das chaves de registo.

  2. No registo, procure o DefaultConnectionSettings valor como REG_BINARY, na chave do registo e copie-o HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings .

  3. Se o LocalSystem não tiver as definições de proxy corretas, copie a definição de proxy do Current_User para o LocalSystem, na chave do HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings registo.

    Certifique-se de que cola o valor da chave REG_BINARYde Current_Userregisto como DefaultConnectionSettings .

    Isto pode acontecer se as definições de proxy não estiverem configuradas ou se forem diferentes das Current_User.

  4. Se o LocalService não tiver as definições de proxy corretas, copie a definição de proxy do Current_User para o LocalService, na chave do HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings registo.

    Certifique-se de que cola o valor da chave REG_BINARYde Current_Userregisto como DefaultConnectionSettings .

Conteúdos relacionados

Para mais informações, consulte:

Passo seguinte

Testar a conectividade Microsoft Defender para Identidade »