Поделиться через

Настройка прокси-сервера конечной точки и параметров подключения к Интернету

  • Статья

Каждому датчику Microsoft Defender для удостоверений требуется подключение к Интернету к облачной службе Defender для удостоверений, чтобы передавать данные датчика и успешно работать.

В некоторых организациях контроллеры домена не подключены напрямую к Интернету, но подключены через подключение через веб-прокси, а проверка SSL и перехват прокси-серверов не поддерживаются по соображениям безопасности. В таких случаях прокси-сервер должен разрешить передачу данных непосредственно с датчиков Defender для удостоверений в соответствующие URL-адреса без перехвата.

Важно!

Корпорация Майкрософт не предоставляет прокси-сервер. В этой статье описывается, как обеспечить доступ к требуемым URL-адресам через настроенный прокси-сервер.

Включение доступа к URL-адресам службы Defender для удостоверений на прокси-сервере

Чтобы обеспечить максимальную безопасность и конфиденциальность данных, Defender для удостоверений использует взаимную проверку подлинности на основе сертификатов между каждым датчиком Defender для удостоверений и облачной серверной частью Defender для удостоверений. Проверка и перехват SSL не поддерживаются, так как они мешают процессу проверки подлинности.

Чтобы разрешить доступ к Defender для удостоверений, убедитесь, что разрешен трафик к URL-адресу датчика, используя следующий синтаксис: <your-workspace-name>sensorapi.atp.azure.com. Например, contoso-corpsensorapi.atp.azure.com.

  • Если прокси-сервер или брандмауэр используют явные списки разрешений, мы также рекомендуем убедиться, что разрешены следующие URL-адреса:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • Иногда IP-адреса службы Defender для удостоверений могут изменяться. Если ВЫ настраиваете IP-адреса вручную или если прокси-сервер автоматически разрешает DNS-имена в их IP-адреса и использует их, рекомендуется периодически проверка, что настроенные IP-адреса по-прежнему актуальны.

  • Если вы ранее настроили прокси-сервер с помощью устаревших параметров, включая WiniNet или обновление раздела реестра, вам потребуется внести изменения с помощью метода, который вы использовали изначально. Дополнительные сведения см. в статье Изменение конфигурации прокси-сервера с помощью устаревших методов.

Включение доступа с помощью тега службы

Вместо того, чтобы вручную включить доступ к определенным конечным точкам, скачайте диапазоны IP-адресов Azure и теги служб — общедоступное облако и используйте диапазоны IP-адресов в теге службы AzureAdvancedThreatProtection , чтобы разрешить доступ к Defender для удостоверений.

Дополнительные сведения см. в разделе Теги службы виртуальной сети. Сведения о предложениях для государственных организаций США см. в статье Начало работы с предложениями для государственных организаций США.

Изменение конфигурации прокси-сервера с помощью интерфейса командной строки

Предварительные требования. Найдите Microsoft.Tri.Sensor.Deployment.Deployer.exe файл. Этот файл находится вместе с установкой датчика. По умолчанию это расположение C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Чтобы изменить конфигурацию прокси-сервера текущего датчика, выполните следующие действия:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Чтобы полностью удалить конфигурацию прокси-сервера текущего датчика, выполните следующие действия:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Изменение конфигурации прокси-сервера с помощью PowerShell

Предварительные требования. Перед выполнением команд PowerShell Defender для удостоверений убедитесь, что вы загрузили модуль PowerShell Defender для удостоверений.

Вы можете просмотреть и изменить конфигурацию прокси-сервера для датчика с помощью PowerShell. Для этого войдите на сервер датчика и выполните команды, как показано в следующих примерах:

Чтобы просмотреть конфигурацию прокси-сервера текущего датчика, выполните следующие действия:

Get-MDISensorProxyConfiguration

Чтобы изменить конфигурацию прокси-сервера текущего датчика, выполните следующие действия:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

В этом примере настраивается конфигурация прокси-сервера для датчика Defender для удостоверений для использования указанного прокси-сервера без каких-либо учетных данных.

Чтобы полностью удалить конфигурацию прокси-сервера текущего датчика, выполните следующие действия:

Clear-MDISensorProxyConfiguration

Дополнительные сведения см. в следующих справочниках По PowerShell для DefenderForIdentity:

Изменение конфигурации прокси-сервера с помощью устаревших методов

Если вы ранее настроили параметры прокси-сервера с помощью WinINet или раздела реестра и необходимо обновить их, вам потребуется использовать тот же метод, который использовался изначально.

При настройке прокси-сервера из командной строки во время установки гарантирует, что только службы датчиков Defender для удостоверений взаимодействуют через прокси-сервер, используя WinINet или реестр, разрешают другим службам, работающим в контексте как локальная система или локальная служба, также направлять трафик через прокси-сервер.

Настройка прокси-сервера с помощью WinINet

При настройке прокси-сервера с помощью WinINet следует помнить, что внедренная служба датчика Defender для удостоверений работает в системном контексте с помощью учетной записи LocalService , а служба обновления датчика Defender для удостоверений — в системном контексте с помощью учетной записи LocalSystem .

  • Если вы используете WinHTTP для настройки прокси-сервера, вам по-прежнему потребуется настроить параметры прокси-сервера браузера Windows Internet (WinINet) для обмена данными между датчиком и облачной службой Defender для удостоверений.

  • Если вы используете прозрачный прокси-сервер или WPAD в топологии сети, вам не нужно настраивать WinINet для прокси-сервера.

Настройка прокси-сервера с помощью реестра

В этом разделе описывается настройка статического прокси-сервера вручную с помощью статического прокси-сервера на основе реестра.

Важно!

Настройка прокси-сервера через реестр затрагивает все приложения, использующие WinINet с учетными записями LocalService и LocalSystem , включая службы Windows.

Примените изменения реестра только к учетным записям LocalService и LocalSystem .

Чтобы настроить прокси-сервер, скопируйте конфигурацию прокси-сервера в контексте пользователя в учетные записи LocalSystem и LocalService следующим образом:

  1. Создайте резервную копию разделов реестра.

  2. В реестре найдите DefaultConnectionSettings значение REG_BINARYкак , в HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings разделе реестра и скопируйте его.

  3. LocalSystem Если параметр не имеет правильных параметров прокси-сервера, скопируйте параметр прокси-сервера из Current_UserLocalSystemв , в разделе HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings реестра.

    Убедитесь, что вставьте значение из Current_UserDefaultConnectionSettings раздела реестра как REG_BINARY.

    Это может произойти, если параметры прокси-сервера не настроены или они отличаются от Current_User.

  4. LocalService Если параметр не имеет правильных параметров прокси-сервера, скопируйте параметр прокси-сервера из Current_UserLocalServiceв , в HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings разделе реестра.

    Убедитесь, что вставьте значение из Current_UserDefaultConnectionSettings раздела реестра как REG_BINARY.

Связанные материалы

Дополнительные сведения см. в разделе:

Следующее действие

Проверка подключения Microsoft Defender для удостоверений »