Dela via

Konfigurera inställningar för slutpunktsproxy och Internetanslutning

  • Artikel

Varje Microsoft Defender for Identity sensor kräver internetanslutning till molntjänsten Defender for Identity för att rapportera sensordata och fungera korrekt.

I vissa organisationer är domänkontrollanterna inte direkt anslutna till Internet, men de är anslutna via en webbproxyanslutning, och SSL-kontroll och skärningspunkt av proxyservrar stöds inte av säkerhetsskäl. I sådana fall måste proxyservern tillåta att data direkt skickas från Defender för identitetssensorer till relevanta URL:er utan avlyssning.

Viktigt

Microsoft tillhandahåller ingen proxyserver. Den här artikeln beskriver hur du ser till att nödvändiga URL:er är tillgängliga via en proxyserver som du konfigurerar.

Aktivera åtkomst till URL:er för Defender for Identity-tjänsten på proxyservern

För att säkerställa maximal säkerhet och datasekretess använder Defender for Identity certifikatbaserad, ömsesidig autentisering mellan varje Defender for Identity-sensor och defender for Identity-molnserverdelen. SSL-inspektion och avlyssning stöds inte eftersom de stör autentiseringsprocessen.

Om du vill aktivera åtkomst till Defender för identitet ser du till att tillåta trafik till sensor-URL:en med hjälp av följande syntax: <your-workspace-name>sensorapi.atp.azure.com. Till exempel contoso-corpsensorapi.atp.azure.com.

  • Om proxyn eller brandväggen använder explicita tillåtna listor rekommenderar vi också att du ser till att följande URL:er tillåts:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • Ibland kan IP-adresserna för Defender for Identity-tjänsten ändras. Om du konfigurerar IP-adresser manuellt, eller om proxyn automatiskt matchar DNS-namn till deras IP-adress och använder dem, rekommenderar vi att du regelbundet kontrollerar att de konfigurerade IP-adresserna fortfarande är uppdaterade.

  • Om du tidigare har konfigurerat proxyn med äldre alternativ, inklusive WiniNet eller en uppdatering av registernyckeln, måste du göra ändringar med den metod som du använde ursprungligen. Mer information finns i Ändra proxykonfiguration med äldre metoder.

Aktivera åtkomst med en tjänsttagg

I stället för att manuellt aktivera åtkomst till specifika slutpunkter laddar du ned Azure IP-intervall och tjänsttaggar – offentligt moln och använder IP-adressintervallen i AzureAdvancedThreatProtection Azure-tjänsttaggen för att ge åtkomst till Defender for Identity.

Mer information finns i Tjänsttaggar för virtuella nätverk. Information om erbjudanden för amerikanska myndigheter finns i Komma igång med erbjudanden från amerikanska myndigheter.

Ändra proxykonfigurationen med hjälp av CLI

Förutsättningar: Leta upp Microsoft.Tri.Sensor.Deployment.Deployer.exe filen. Den här filen finns tillsammans med sensorinstallationen. Som standard är den här platsen C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Så här ändrar du den aktuella sensorns proxykonfiguration:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Så här tar du bort den aktuella sensorns proxykonfiguration helt och hållet:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Ändra proxykonfiguration med PowerShell

Krav: Innan du kör PowerShell-kommandon för Defender for Identity kontrollerar du att du har laddat ned PowerShell-modulen Defender för identitet.

Du kan visa och ändra proxykonfigurationen för sensorn med hjälp av PowerShell. Det gör du genom att logga in på sensorservern och köra kommandon enligt följande exempel:

Så här visar du den aktuella sensorns proxykonfiguration:

Get-MDISensorProxyConfiguration

Så här ändrar du den aktuella sensorns proxykonfiguration:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

Det här exemplet anger proxykonfigurationen för Defender for Identity-sensorn för att använda den angivna proxyservern utan några autentiseringsuppgifter.

Så här tar du bort den aktuella sensorns proxykonfiguration helt och hållet:

Clear-MDISensorProxyConfiguration

Mer information finns i följande DefenderForIdentity PowerShell-referenser:

Ändra proxykonfigurationen med äldre metoder

Om du tidigare har konfigurerat proxyinställningarna via antingen WinINet eller en registernyckel och behöver uppdatera dem måste du använda samma metod som du använde ursprungligen.

När du konfigurerar proxyn från kommandoraden under installationen säkerställer du att endast Defender för identitetssensortjänster kommunicerar via proxyn, med wininet eller ett register kan andra tjänster som körs i kontexten som lokalt system eller lokal tjänst även dirigera trafik via proxyn.

Konfigurera en proxyserver med WinINet

När du konfigurerar proxyn med WinINet bör du tänka på att den inbäddade tjänsten Defender för identitetssensor körs i systemkontext med hjälp av LocalService-kontot och att uppdateringstjänsten Defender för identitetssensor körs i systemkontexten med hjälp av LocalSystem-kontot .

  • Om du använder WinHTTP för proxykonfiguration måste du fortfarande konfigurera proxyinställningar för Windows Internet (WinINet) för kommunikation mellan sensorn och molntjänsten Defender för identitet.

  • Om du använder transparent proxy eller WPAD i nätverkstopologin behöver du inte konfigurera WinINet för proxyn.

Konfigurera en proxyserver med hjälp av registret

I det här avsnittet beskrivs hur du konfigurerar en statisk proxyserver manuellt med hjälp av en registerbaserad statisk proxy.

Viktigt

Att konfigurera en proxy via registret påverkar alla program som använder WinINet med kontona LocalService och LocalSystem , inklusive Windows-tjänster.

Tillämpa endast registerändringar på LocalService - och LocalSystem-kontona .

Om du vill konfigurera proxyn kopierar du proxykonfigurationen i användarkontexten till LocalSystem - och LocalService-kontona på följande sätt:

  1. Säkerhetskopiera dina registernycklar.

  2. I registret söker DefaultConnectionSettings du efter värdet som REG_BINARY, under registernyckeln HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings och kopierar det.

  3. LocalSystem Om inte har rätt proxyinställningar kopierar du proxyinställningen Current_User från till LocalSystem, under registernyckelnHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Se till att klistra in värdet från registernyckeln Current_UserDefaultConnectionSettings som REG_BINARY.

    Detta kan inträffa om proxyinställningarna inte har konfigurerats eller om de skiljer sig från Current_User.

  4. LocalService Om inte har rätt proxyinställningar kopierar du proxyinställningen Current_User från till LocalService, under registernyckelnHKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Se till att klistra in värdet från registernyckeln Current_UserDefaultConnectionSettings som REG_BINARY.

Relaterat innehåll

Mer information finns i:

Nästa steg

Testa Microsoft Defender for Identity anslutning »