STEG 2: Konfigurera dina enheter för att ansluta till Defender för Endpoint-tjänsten med hjälp av en proxy
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Viktigt
Enheter som har konfigurerats för endast IPv6-trafik stöds inte.
Obs!
Om du vill använda proxyn korrekt konfigurerar du dessa två olika proxyinställningar i Defender för Endpoint:
Beroende på operativsystemet kan proxyn som ska användas för Microsoft Defender för Endpoint konfigureras automatiskt. Du kan använda automatisk upptäckt, en autokonfigurationsfil eller en metod som är statiskt specifik för Defender för Endpoint-tjänster som körs på enheten.
- Information om Windows-enheter finns i Konfigurera inställningar för enhetsproxy och Internetanslutning (i den här artikeln).
- Information om Linux-enheter finns i Konfigurera Microsoft Defender för Endpoint på Linux för identifiering av statisk proxy.
- Information om macOS-enheter finns i Microsoft Defender för Endpoint på Mac.
Defender för Endpoint-sensorn kräver Att Microsoft Windows HTTP (WinHTTP
) rapporterar sensordata och kommunicerar med Defender för Endpoint-tjänsten. Den inbäddade Defender för Endpoint-sensorn körs i systemkontext med hjälp av LocalSystem
kontot.
Tips
Om du använder vidarebefordrade proxyservrar som en gateway till Internet kan du använda nätverksskydd för att undersöka anslutningshändelser som inträffar bakom vidarebefordrade proxyservrar.
Konfigurationsinställningen WinHTTP
är oberoende av proxyinställningarna för Windows Internet (WinINet
) webbläsarproxy (se WinINet jämfört med WinHTTP). Den kan bara identifiera en proxyserver med hjälp av följande identifieringsmetoder:
Metoder för automatisk upptäckt:
Transparent proxy
WPAD (Web Proxy Autodiscovery Protocol)
Obs!
Om du använder transparent proxy eller WPAD i nätverkstopologin behöver du inte särskilda konfigurationsinställningar.
Manuell konfiguration av statisk proxy:
Registerbaserad konfiguration
WinHTTP konfigurerad med netsh-kommando: Passar endast för stationära datorer i en stabil topologi (till exempel ett skrivbord i ett företagsnätverk bakom samma proxy)
Obs!
Microsoft Defender antivirus- och EDR-proxyservrar kan anges oberoende av varandra. I de avsnitt som följer bör du vara medveten om dessa skillnader.
Konfigurera proxyservern manuellt med hjälp av en registerbaserad statisk proxyinställning
Konfigurera en registerbaserad statisk proxy för Defender för slutpunktsidentifiering och svarssensor (EDR) för att rapportera diagnostikdata och kommunicera med Defender för Endpoint-tjänster om en dator inte har tillåtelse att ansluta direkt till Internet.
Obs!
Se alltid till att tillämpa de senaste uppdateringarna för att säkerställa en lyckad anslutning till Defender för Endpoint-tjänster.
De statiska proxyinställningarna kan konfigureras via grupprincip (GP), båda inställningarna under grupprincipvärden ska konfigureras. Grupprincipen är tillgänglig i Administrativa mallar.
Administrativa mallar > Datainsamling och förhandsversioner > av Windows-komponenter > Konfigurera autentiserad proxyanvändning för tjänsten Ansluten användarupplevelse och telemetri.
Ange den till Aktiverad och välj Inaktivera autentiserad proxyanvändning.
Administrativa mallar > Datainsamling och förhandsversioner > av Windows-komponenter > Konfigurera anslutna användarupplevelser och telemetri:
Ange proxyinformationen.
Grupprincip | Registernyckel | Registerpost | Värde |
---|---|---|---|
Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänsten | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
DisableEnterpriseAuthProxy |
1 (REG_DWORD) |
Konfigurera anslutna användarupplevelser och telemetri | HKLM\Software\Policies\Microsoft\Windows\DataCollection |
TelemetryProxyServer |
servername:port or ip:port Exempel: 10.0.0.6:8080 (REG_SZ) |
Obs!
Om du använder TelemetryProxyServer
inställningen på enheter som annars är helt offline, vilket innebär att operativsystemet inte kan ansluta för listan över återkallade onlinecertifikat eller Windows Update, måste du lägga till den ytterligare registerinställningen PreferStaticProxyForHttpRequest
med värdet 1
.
Den överordnade registersökvägen för PreferStaticProxyForHttpRequest
är HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
.
Följande kommando kan användas för att infoga registervärdet på rätt plats:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Registervärdet som nämnts tidigare gäller endast från och med MsSense.exe version 10.8210.*
och senare, eller version 10.8049.*
och senare.
Konfigurera en statisk proxy för Microsoft Defender Antivirus
Microsoft Defender Antivirus molnlevererad skydd ger nästan omedelbart, automatiserat skydd mot nya och nya hot. Anslutning krävs för anpassade indikatorer när Microsoft Defender Antivirus är din aktiva lösning mot skadlig kod och EDR i blockeringsläge, vilket ger ett reservalternativ när en icke-Microsoft-lösning inte utförde ett block.
Konfigurera den statiska proxyn med hjälp av grupprincip som finns i administrativa mallar:
Administrativa mallar > Windows-komponenter > Microsoft Defender Antivirus > Definiera proxyserver för anslutning till nätverket.
Ange den till Aktiverad och definiera proxyservern. URL:en måste ha antingen
http://
ellerhttps://
. Information om versioner som stöds förhttps://
finns i Hantera Microsoft Defender Antivirus-uppdateringar.Under registernyckeln
HKLM\Software\Policies\Microsoft\Windows Defender
anger principen registervärdetProxyServer
somREG_SZ
.Registervärdet
ProxyServer
har följande strängformat:<server name or ip>:<port>
Till exempel
http://10.0.0.6:8080
Obs!
Om du använder en statisk proxyinställning på enheter som annars är helt offline, vilket innebär att operativsystemet inte kan ansluta för listan över återkallade onlinecertifikat eller Windows Update, måste du lägga till den ytterligare registerinställningen SSLOptions
med DWORD-värdet 2
. Den överordnade registersökvägen för SSLOptions
är HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet
. Mer information om finns i SSLOptions
Cloud Protection.
I återhämtningssyfte och i realtid för molnlevererad skydd cachelagrar Microsoft Defender Antivirus den senast kända fungerande proxyn. Se till att proxylösningen inte utför SSL-inspektion eftersom den bryter den säkra molnanslutningen.
Microsoft Defender Antivirus använder inte den statiska proxyn för att ansluta till Windows Update eller Microsoft Update för nedladdning av uppdateringar. I stället använder den en systemomfattande proxy om den har konfigurerats för att använda Windows Update, eller den konfigurerade interna uppdateringskällan enligt den konfigurerade återställningsordningen. Om det behövs kan du använda Administrativa mallar > Windows-komponenter > Microsoft Defender Antivirus > Define proxy auto-config (.pac) för att ansluta till nätverket. Om du behöver konfigurera avancerade konfigurationer med flera proxyservrar använder du Windows-komponenter > för administrativa mallar > Microsoft Defender Antivirus > Define-adresser för att kringgå proxyservern och förhindra att Microsoft Defender Antivirus använder en proxyserver för dessa mål.
Du kan använda PowerShell med cmdleten Set-MpPreference
för att konfigurera följande alternativ:
ProxyBypass
ProxyPacUrl
ProxyServer
Konfigurera proxyservern manuellt med kommandot netsh
Använd netsh
för att konfigurera en systemomfattande statisk proxy.
Obs!
Den här konfigurationen påverkar alla program, inklusive Windows-tjänster som använder WinHTTP
med standardproxy.
Öppna en upphöjd kommandorad:
- Gå till Start och skriv
cmd
. - Högerklicka på Kommandotolken och välj Kör som administratör.
- Gå till Start och skriv
Skriv följande kommando och tryck på Retur:
netsh winhttp set proxy <proxy>:<port>
Till exempel:
netsh winhttp set proxy 10.0.0.6:8080
Om du vill återställa proxyn
winhttp
anger du följande kommando och trycker på Retur:netsh winhttp reset proxy
Se Netsh-kommandosyntax, kontexter och formatering för mer information.
Windows-enheter som kör den tidigare MMA-baserade lösningen
För enheter som kör Windows 7, Windows 8.1, Windows Server 2008 R2 och servrar som inte uppgraderas till Unified Agent och använder Microsoft Monitoring Agent (även kallat Log Analytics Agent) för att ansluta till Defender för Endpoint-tjänsten kan du antingen använda en systemomfattande proxyinställning eller konfigurera agenten för att ansluta via en proxy eller en Log Analytics-gateway.
- Konfigurera agenten att använda en proxy: Proxykonfiguration
- Konfigurera Azure Log Analytics (kallades tidigare OMS Gateway) för att fungera som proxy eller hubb: Azure Log Analytics-agent
Registrera tidigare versioner av Windows
Nästa steg
STEG 3: Verifiera klientanslutningen till Microsoft Defender för Endpoint-tjänst-URL:er
Relaterade artiklar
- Frånkopplade miljöer, proxyservrar och Microsoft Defender för Endpoint
- Använd grupprincip inställningar för att konfigurera och hantera Microsoft Defender Antivirus
- Registrera Windows-enheter
- Felsöka Microsoft Defender för Endpoint onboarding-problem
- Registrera enheter utan Internetåtkomst till Microsoft Defender för Endpoint
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.