配置终结点代理和 Internet 连接设置
每个Microsoft Defender for Identity传感器都需要与 Defender for Identity 云服务建立 Internet 连接,才能报告传感器数据并成功运行。
在某些组织中,域控制器不直接连接到 Internet,而是通过 Web 代理连接进行连接,出于安全原因,不支持 SSL 检查和拦截代理。 在这种情况下,代理服务器必须允许数据从 Defender for Identity 传感器直接传递到相关 URL,而不会被拦截。
重要
Microsoft不提供代理服务器。 本文介绍如何确保通过配置的代理服务器访问所需的 URL。
在代理服务器中启用对 Defender for Identity 服务 URL 的访问
为了确保最大的安全性和数据隐私,Defender for Identity 在每个 Defender for Identity 传感器和 Defender for Identity 云后端之间使用基于证书的相互身份验证。 不支持 SSL 检查和拦截,因为它们会干扰身份验证过程。
若要启用对 Defender for Identity 的访问,请确保使用以下语法允许流向传感器 URL 的流量: <your-workspace-name>sensorapi.atp.azure.com。 例如,contoso-corpsensorapi.atp.azure.com。
如果代理或防火墙使用显式允许列表,我们还建议确保允许以下 URL:
crl.microsoft.comctldl.windowsupdate.comwww.microsoft.com/pkiops/*www.microsoft.com/pki/*
有时,Defender for Identity 服务 IP 地址可能会更改。 如果手动配置 IP 地址,或者代理会自动将 DNS 名称解析为其 IP 地址并使用它们,建议定期检查配置的 IP 地址仍然是最新的。
如果以前已使用旧选项(包括 WiniNet 或注册表项更新)配置代理,则需要使用最初使用的方法进行任何更改。 有关详细信息,请参阅 使用旧方法更改代理配置。
使用服务标记启用访问
下载 Azure IP 范围和服务标记 - 公有云,并使用 AzureAdvancedThreatProtection Azure 服务标记中的 IP 地址范围来启用对 Defender for Identity 的访问,而不是手动启用对特定终结点的访问。
有关详细信息,请参阅 虚拟网络服务标记。 有关美国政府产品/服务,请参阅 美国政府产品/服务入门。
使用 CLI 更改代理配置
先决条件:找到 Microsoft.Tri.Sensor.Deployment.Deployer.exe 文件。 此文件与传感器安装一起。 默认情况下,此位置为 C:\Program Files\Azure Advanced Threat Protection Sensor\version number\
若要更改当前传感器的代理配置,请执行以下操作:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"
若要完全删除当前传感器的代理配置,请执行以下操作:
Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration
使用 PowerShell 更改代理配置
先决条件:在运行 Defender for Identity PowerShell 命令之前,请确保已下载 Defender for Identity PowerShell 模块。
可以使用 PowerShell 查看和更改传感器的代理配置。 为此,请登录到传感器服务器并运行命令,如以下示例所示:
若要查看当前传感器的代理配置,请执行以下操作:
Get-MDISensorProxyConfiguration
若要更改当前传感器的代理配置,请执行以下操作:
Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'
本示例将 Defender for Identity 传感器的代理配置设置为在不使用任何凭据的情况下使用指定的代理服务器。
若要完全删除当前传感器的代理配置,请执行以下操作:
Clear-MDISensorProxyConfiguration
有关详细信息,请参阅以下 DefenderForIdentity PowerShell 参考:
使用旧方法更改代理配置
如果以前通过 WinINet 或注册表项配置了代理设置,并且需要更新它们,则需要使用最初使用的相同方法。
在安装过程中从命令行配置代理可确保只有 Defender for Identity 传感器服务通过代理进行通信,使用 WinINet 或注册表,允许在上下文中作为本地系统或本地服务运行的其他服务也通过代理定向流量。
使用 WinINet 配置代理服务器
使用 WinINet 配置代理时,请记住,嵌入式 Defender for Identity 传感器服务使用 LocalService 帐户在系统上下文中运行,并且 Defender for Identity Sensor 更新程序服务使用 LocalSystem 帐户在系统上下文中运行。
如果使用 WinHTTP 进行代理配置,则仍需配置 Windows Internet (WinINet) 浏览器代理设置,以便在传感器与 Defender for Identity 云服务之间进行通信。
如果在网络拓扑中使用透明代理或 WPAD,则无需为代理配置 WinINet。
使用注册表配置代理服务器
本部分介绍如何使用基于注册表的静态代理手动配置静态代理服务器。
重要
通过注册表配置代理会影响使用 WinINet 和 LocalService 和 LocalSystem 帐户(包括 Windows 服务)的所有应用程序。
仅将注册表更改应用于 LocalService 和 LocalSystem 帐户。
若要配置代理,请将用户上下文中的代理配置复制到 LocalSystem 和 LocalService 帐户,如下所示:
备份注册表项。
在注册表中,在
DefaultConnectionSettings注册表项下HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings搜索值,REG_BINARY并将其复制。LocalSystem如果 没有正确的代理设置,请在注册表项下HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings将代理设置从Current_User复制到LocalSystem。确保将 的注册表项中的
Current_User值粘贴为REG_BINARY。DefaultConnectionSettings如果未配置代理设置,或者它们与 不同,
Current_User则可能会发生这种情况。LocalService如果 没有正确的代理设置,则将代理设置从Current_UserLocalService复制到 注册表项下的HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings。确保将 的注册表项中的
Current_User值粘贴为REG_BINARY。DefaultConnectionSettings
相关内容
有关更多信息,请参阅: