Dela via


STEG 2: Konfigurera dina enheter för att ansluta till Defender för Endpoint-tjänsten med hjälp av en proxy

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Viktigt

Enheter som har konfigurerats för endast IPv6-trafik stöds inte.

Obs!

Om du vill använda proxyn korrekt konfigurerar du dessa två olika proxyinställningar i Defender för Endpoint:

Beroende på operativsystemet kan proxyn som ska användas för Microsoft Defender för Endpoint konfigureras automatiskt. Du kan använda automatisk upptäckt, en autokonfigurationsfil eller en metod som är statiskt specifik för Defender för Endpoint-tjänster som körs på enheten.

Defender för Endpoint-sensorn kräver Att Microsoft Windows HTTP (WinHTTP) rapporterar sensordata och kommunicerar med Defender för Endpoint-tjänsten. Den inbäddade Defender för Endpoint-sensorn körs i systemkontext med hjälp av LocalSystem kontot.

Tips

Om du använder vidarebefordrade proxyservrar som en gateway till Internet kan du använda nätverksskydd för att undersöka anslutningshändelser som inträffar bakom vidarebefordrade proxyservrar.

Konfigurationsinställningen WinHTTP är oberoende av proxyinställningarna för Windows Internet (WinINet) webbläsarproxy (se WinINet jämfört med WinHTTP). Den kan bara identifiera en proxyserver med hjälp av följande identifieringsmetoder:

  • Metoder för automatisk upptäckt:

    • Transparent proxy

    • WPAD (Web Proxy Autodiscovery Protocol)

      Obs!

      Om du använder transparent proxy eller WPAD i nätverkstopologin behöver du inte särskilda konfigurationsinställningar.

  • Manuell konfiguration av statisk proxy:

    • Registerbaserad konfiguration

    • WinHTTP konfigurerad med netsh-kommando: Passar endast för stationära datorer i en stabil topologi (till exempel ett skrivbord i ett företagsnätverk bakom samma proxy)

Obs!

Microsoft Defender antivirus- och EDR-proxyservrar kan anges oberoende av varandra. I de avsnitt som följer bör du vara medveten om dessa skillnader.

Konfigurera proxyservern manuellt med hjälp av en registerbaserad statisk proxyinställning

Konfigurera en registerbaserad statisk proxy för Defender för slutpunktsidentifiering och svarssensor (EDR) för att rapportera diagnostikdata och kommunicera med Defender för Endpoint-tjänster om en dator inte har tillåtelse att ansluta direkt till Internet.

Obs!

Se alltid till att tillämpa de senaste uppdateringarna för att säkerställa en lyckad anslutning till Defender för Endpoint-tjänster.

De statiska proxyinställningarna kan konfigureras via grupprincip (GP), båda inställningarna under grupprincipvärden ska konfigureras. Grupprincipen är tillgänglig i Administrativa mallar.

  • Administrativa mallar > Datainsamling och förhandsversioner > av Windows-komponenter > Konfigurera autentiserad proxyanvändning för tjänsten Ansluten användarupplevelse och telemetri.

    Ange den till Aktiverad och välj Inaktivera autentiserad proxyanvändning.

    Statusfönstret grupprincip setting1

  • Administrativa mallar > Datainsamling och förhandsversioner > av Windows-komponenter > Konfigurera anslutna användarupplevelser och telemetri:

    Ange proxyinformationen.

    Fönstret grupprincip inställning2 status

Grupprincip Registernyckel Registerpost Värde
Konfigurera autentiserad proxyanvändning för den anslutna användarupplevelsen och telemetritjänsten HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
Konfigurera anslutna användarupplevelser och telemetri HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

Exempel: 10.0.0.6:8080 (REG_SZ)

Obs!

Om du använder TelemetryProxyServer inställningen på enheter som annars är helt offline, vilket innebär att operativsystemet inte kan ansluta för listan över återkallade onlinecertifikat eller Windows Update, måste du lägga till den ytterligare registerinställningen PreferStaticProxyForHttpRequest med värdet 1.

Den överordnade registersökvägen för PreferStaticProxyForHttpRequest är HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

Följande kommando kan användas för att infoga registervärdet på rätt plats:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

Registervärdet som nämnts tidigare gäller endast från och med MsSense.exe version 10.8210.* och senare, eller version 10.8049.* och senare.

Konfigurera en statisk proxy för Microsoft Defender Antivirus

Microsoft Defender Antivirus molnlevererad skydd ger nästan omedelbart, automatiserat skydd mot nya och nya hot. Anslutning krävs för anpassade indikatorer när Microsoft Defender Antivirus är din aktiva lösning mot skadlig kod och EDR i blockeringsläge, vilket ger ett reservalternativ när en icke-Microsoft-lösning inte utförde ett block.

Konfigurera den statiska proxyn med hjälp av grupprincip som finns i administrativa mallar:

  1. Administrativa mallar > Windows-komponenter > Microsoft Defender Antivirus > Definiera proxyserver för anslutning till nätverket.

  2. Ange den till Aktiverad och definiera proxyservern. URL:en måste ha antingen http:// eller https://. Information om versioner som stöds för https://finns i Hantera Microsoft Defender Antivirus-uppdateringar.

    Proxyservern för Microsoft Defender Antivirus

  3. Under registernyckeln HKLM\Software\Policies\Microsoft\Windows Defenderanger principen registervärdet ProxyServer som REG_SZ.

    Registervärdet ProxyServer har följande strängformat:

    <server name or ip>:<port>

    Till exempel http://10.0.0.6:8080

Obs!

Om du använder en statisk proxyinställning på enheter som annars är helt offline, vilket innebär att operativsystemet inte kan ansluta för listan över återkallade onlinecertifikat eller Windows Update, måste du lägga till den ytterligare registerinställningen SSLOptions med DWORD-värdet 2. Den överordnade registersökvägen för SSLOptions är HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet. Mer information om finns i SSLOptionsCloud Protection.

I återhämtningssyfte och i realtid för molnlevererad skydd cachelagrar Microsoft Defender Antivirus den senast kända fungerande proxyn. Se till att proxylösningen inte utför SSL-inspektion eftersom den bryter den säkra molnanslutningen.

Microsoft Defender Antivirus använder inte den statiska proxyn för att ansluta till Windows Update eller Microsoft Update för nedladdning av uppdateringar. I stället använder den en systemomfattande proxy om den har konfigurerats för att använda Windows Update, eller den konfigurerade interna uppdateringskällan enligt den konfigurerade återställningsordningen. Om det behövs kan du använda Administrativa mallar > Windows-komponenter > Microsoft Defender Antivirus > Define proxy auto-config (.pac) för att ansluta till nätverket. Om du behöver konfigurera avancerade konfigurationer med flera proxyservrar använder du Windows-komponenter > för administrativa mallar > Microsoft Defender Antivirus > Define-adresser för att kringgå proxyservern och förhindra att Microsoft Defender Antivirus använder en proxyserver för dessa mål.

Du kan använda PowerShell med cmdleten Set-MpPreference för att konfigurera följande alternativ:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

Konfigurera proxyservern manuellt med kommandot netsh

Använd netsh för att konfigurera en systemomfattande statisk proxy.

Obs!

Den här konfigurationen påverkar alla program, inklusive Windows-tjänster som använder WinHTTP med standardproxy.

  1. Öppna en upphöjd kommandorad:

    1. Gå till Start och skriv cmd.
    2. Högerklicka på Kommandotolken och välj Kör som administratör.
  2. Skriv följande kommando och tryck på Retur:

    netsh winhttp set proxy <proxy>:<port>
    

    Till exempel: netsh winhttp set proxy 10.0.0.6:8080

  3. Om du vill återställa proxyn winhttp anger du följande kommando och trycker på Retur:

    netsh winhttp reset proxy
    

Se Netsh-kommandosyntax, kontexter och formatering för mer information.

Windows-enheter som kör den tidigare MMA-baserade lösningen

För enheter som kör Windows 7, Windows 8.1, Windows Server 2008 R2 och servrar som inte uppgraderas till Unified Agent och använder Microsoft Monitoring Agent (även kallat Log Analytics Agent) för att ansluta till Defender för Endpoint-tjänsten kan du antingen använda en systemomfattande proxyinställning eller konfigurera agenten för att ansluta via en proxy eller en Log Analytics-gateway.

Registrera tidigare versioner av Windows

Nästa steg

STEG 3: Verifiera klientanslutningen till Microsoft Defender för Endpoint-tjänst-URL:er

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.