Dela via


Konfigurera inställningar för slutpunktsproxy och Internetanslutning

Varje Microsoft Defender för identitetssensor kräver internetanslutning till Defender for Identity-molntjänsten för att rapportera sensordata och fungera korrekt.

I vissa organisationer är domänkontrollanterna inte direkt anslutna till Internet, men de är anslutna via en webbproxyanslutning, och SSL-kontroll och avlyssning av proxyservrar stöds inte av säkerhetsskäl. I sådana fall måste proxyservern tillåta att data direkt skickas från Defender för identitetssensorer till relevanta URL:er utan avlyssning.

Viktigt!

Microsoft tillhandahåller ingen proxyserver. I den här artikeln beskrivs hur du ser till att de url:er som krävs är tillgängliga via en proxyserver som du konfigurerar.

Aktivera åtkomst till URL:er för Defender for Identity-tjänsten på proxyservern

För att säkerställa maximal säkerhet och datasekretess använder Defender for Identity certifikatbaserad ömsesidig autentisering mellan varje Defender for Identity-sensor och defender for Identity-molnets serverdel. SSL-inspektion och avlyssning stöds inte eftersom de stör autentiseringsprocessen.

Om du vill aktivera åtkomst till Defender för identitet ser du till att tillåta trafik till sensor-URL:en med hjälp av följande syntax: <your-workspace-name>sensorapi.atp.azure.com. Exempel: contoso-corpsensorapi.atp.azure.com

  • Om proxyn eller brandväggen använder explicita tillåtna listor rekommenderar vi också att du ser till att följande URL:er tillåts:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • Ibland kan IP-adresserna för Defender for Identity-tjänsten ändras. Om du konfigurerar IP-adresser manuellt, eller om proxyn automatiskt löser DNS-namn till deras IP-adress och använder dem, rekommenderar vi att du regelbundet kontrollerar att de konfigurerade IP-adresserna fortfarande är uppdaterade.

  • Om du tidigare har konfigurerat proxyn med äldre alternativ, inklusive WiniNet eller en uppdatering av registernyckeln, måste du göra ändringar med den metod som du använde ursprungligen. Mer information finns i Ändra proxykonfiguration med äldre metoder.

Aktivera åtkomst med en tjänsttagg

I stället för att manuellt aktivera åtkomst till specifika slutpunkter laddar du ned Azure IP-intervall och tjänsttaggar – offentligt moln och använder IP-adressintervallen i AzureAdvancedThreatProtection Azure-tjänsttaggen för att ge åtkomst till Defender for Identity.

Mer information finns i Tjänsttaggar för virtuellt nätverk. Information om erbjudanden från amerikanska myndigheter finns i Kom igång med erbjudanden från amerikanska myndigheter.

Ändra proxykonfiguration med hjälp av CLI

Förutsättningar: Leta upp Microsoft.Tri.Sensor.Deployment.Deployer.exe filen. Den här filen finns tillsammans med sensorinstallationen. Som standard är den här platsen C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Så här ändrar du den aktuella sensorns proxykonfiguration:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Ta bort den aktuella sensorns proxykonfiguration helt:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Ändra proxykonfiguration med PowerShell

Förutsättningar: Innan du kör PowerShell-kommandon för Defender for Identity kontrollerar du att du har laddat ned PowerShell-modulen Defender för identitet.

Du kan visa och ändra proxykonfigurationen för sensorn med hjälp av PowerShell. Det gör du genom att logga in på sensorservern och köra kommandon enligt följande exempel:

Så här visar du den aktuella sensorns proxykonfiguration:

Get-MDISensorProxyConfiguration

Så här ändrar du den aktuella sensorns proxykonfiguration:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

I det här exemplet anges proxykonfigurationen för Defender for Identity-sensorn så att den angivna proxyservern används utan autentiseringsuppgifter.

Ta bort den aktuella sensorns proxykonfiguration helt:

Clear-MDISensorProxyConfiguration

Mer information finns i följande DefenderForIdentity PowerShell-referenser:

Ändra proxykonfiguration med äldre metoder

Om du tidigare har konfigurerat proxyinställningarna via antingen WinINet eller en registernyckel och behöver uppdatera dem måste du använda samma metod som du använde ursprungligen.

När du konfigurerar proxyn från kommandoraden under installationen ser du till att endast Defender för identitetssensortjänster kommunicerar via proxyn, med WinINet eller ett register kan andra tjänster som körs i kontexten som lokalt system eller lokal tjänst även dirigera trafik via proxyn.

Konfigurera en proxyserver med WinINet

När du konfigurerar proxyn med WinINet ska du tänka på att den inbäddade Defender for Identity-sensortjänsten körs i systemkontext med hjälp av LocalService-kontot och att Defender for Identity Sensor Updater-tjänsten körs i systemkontexten med hjälp av LocalSystem-kontot .

  • Om du använder WinHTTP för proxykonfiguration måste du fortfarande konfigurera Proxyinställningar för Windows Internet (WinINet) för kommunikation mellan sensorn och molntjänsten Defender för identitet.

  • Om du använder transparent proxy eller WPAD i nätverkstopologin behöver du inte konfigurera WinINet för proxyn.

Konfigurera en proxyserver med hjälp av registret

I det här avsnittet beskrivs hur du konfigurerar en statisk proxyserver manuellt med hjälp av en registerbaserad statisk proxy.

Viktigt!

Att konfigurera en proxy via registret påverkar alla program som använder WinINet med LocalService - och LocalSystem-kontona , inklusive Windows-tjänster.

Tillämpa endast registerändringar på LocalService- och LocalSystem-kontona .

Om du vill konfigurera proxyn kopierar du proxykonfigurationen i användarkontexten till LocalSystem - och LocalService-kontona på följande sätt:

  1. Säkerhetskopiera dina registernycklar.

  2. I registret söker DefaultConnectionSettings du efter värdet som REG_BINARY, under registernyckeln HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings och kopierar det.

  3. LocalSystem Om inte har rätt proxyinställningar kopierar du proxyinställningen Current_User från till LocalSystem, under registernyckelnHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Klistra in värdet från registernyckeln Current_UserDefaultConnectionSettings som REG_BINARY.

    Detta kan inträffa om proxyinställningarna inte har konfigurerats eller om de skiljer sig från Current_User.

  4. LocalService Om inte har rätt proxyinställningar kopierar du proxyinställningen Current_User från till LocalService, under registernyckelnHKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Klistra in värdet från registernyckeln Current_UserDefaultConnectionSettings som REG_BINARY.

Mer information finns i:

Gå vidare