步骤 2:将设备配置为使用代理连接到 Defender for Endpoint 服务

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

重要

不支持为仅 IPv6 流量配置的设备。

注意

若要正确使用代理,请在 Defender for Endpoint 中配置以下两个不同的代理设置:

根据操作系统,可以自动配置用于Microsoft Defender for Endpoint的代理。 可以使用自动发现、自动配置文件或特定于在设备上运行的 Defender for Endpoint 服务静态的方法。

Defender for Endpoint 传感器需要Microsoft Windows HTTP (WinHTTP) 来报告传感器数据并与 Defender for Endpoint 服务通信。 嵌入式 Defender for Endpoint 传感器使用 LocalSystem 帐户在系统上下文中运行。

提示

如果使用正向代理作为 Internet 的网关,则可以使用网络保护 来调查在转发代理后面发生的连接事件

配置 WinHTTP 设置独立于 Windows Internet () WinINet 浏览代理设置 (请参阅 WinINet 与 WinHTTP) 。 它只能使用以下发现方法发现代理服务器:

  • 自动发现方法:

    • 透明代理

    • Web 代理自动发现协议 (WPAD)

      注意

      如果在网络拓扑中使用透明代理或 WPAD,则不需要特殊的配置设置。

  • 手动静态代理配置:

    • 基于注册表的配置

    • 使用 netsh 命令配置的 WinHTTP:仅适用于稳定拓扑中的桌面 (例如:同一代理后面的公司网络中桌面)

注意

Microsoft Defender防病毒和 EDR 代理可以单独设置。 在以下各节中,请注意这些区别。

使用基于注册表的静态代理设置手动配置代理服务器

为 Defender for Endpoint 检测和响应配置基于注册表的静态代理, (EDR) 传感器报告诊断数据并与 Defender for Endpoint 服务通信(如果不允许计算机直接连接到 Internet)。

注意

始终确保应用最新更新,以确保成功连接到 Defender for Endpoint 服务。

静态代理设置可通过组策略 (GP) 进行配置,应配置组策略值下的两个设置。 组策略在管理模板中可用。

  • 管理模板 > Windows 组件 > 数据收集和预览版本 > 为连接的用户体验和遥测服务配置经过身份验证的代理用法

    将其设置为 “已启用 ”,然后选择“ 禁用经过身份验证的代理用法”。

    组策略设置1 状态窗格

  • 管理模板 > Windows 组件 > 数据收集和预览版本 > 配置连接的用户体验和遥测

    输入代理信息。

    “组策略设置2 状态”窗格

组策略 注册表项 注册表项
为连接的用户体验和遥测服务配置经过身份验证的代理用法 HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1 (REG_DWORD)
配置连接的用户体验和遥测 HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

例如: 10.0.0.6:8080 (REG_SZ)

注意

如果在其他完全脱机的设备上使用TelemetryProxyServer设置,这意味着操作系统无法连接联机证书吊销列表或Windows 更新,则必须添加值为 的其他1注册表设置PreferStaticProxyForHttpRequest

PreferStaticProxyForHttpRequest 父注册表路径位置为 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

以下命令可用于在正确的位置插入注册表值:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f

前面提到的注册表值仅从 MsSense.exe 及更高版本或版本及更高版本10.8210.*10.8049.*开始适用。

为 Microsoft Defender 防病毒配置静态代理

Microsoft Defender防病毒云提供的保护提供近乎即时的自动保护,以抵御新的和新兴的威胁。 当Microsoft Defender防病毒是活动反恶意软件解决方案,EDR 处于阻止模式时,自定义指示器需要连接,当非Microsoft解决方案未执行阻止时,EDR 会提供回退选项。

使用管理模板中提供的组策略配置静态代理:

  1. 管理模板>Windows 组件>Microsoft Defender防病毒 > 定义用于连接到网络的代理服务器

  2. 将其设置为 Enabled 并定义代理服务器。 URL 必须具有 http://https://。 有关 支持的版本https://,请参阅管理Microsoft Defender防病毒更新

    Microsoft Defender防病毒的代理服务器

  3. 在注册表项 HKLM\Software\Policies\Microsoft\Windows Defender下,策略将注册表值 ProxyServer 设置为 REG_SZ

    注册表值 ProxyServer 采用以下字符串格式:

    <server name or ip>:<port>

    例如,http://10.0.0.6:8080

注意

如果在其他完全脱机的设备上使用静态代理设置,这意味着操作系统无法连接联机证书吊销列表或Windows 更新,则需要添加具有 DWORD 值2的其他注册表设置SSLOptions。 的 SSLOptions 父注册表路径位置为 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet。 有关 的详细信息, SSLOptions请参阅 云保护

出于复原能力和云提供保护的实时性质,Microsoft Defender防病毒会缓存最后一个已知工作代理。 确保代理解决方案不执行 SSL 检查,因为这样会中断安全的云连接。

Microsoft Defender防病毒不使用静态代理连接到Windows 更新或Microsoft更新来下载更新。 相反,它会使用系统范围的代理(如果配置为使用Windows 更新),或者使用根据配置的回退顺序配置的内部更新源。 如有必要,可以使用管理模板 > Windows 组件>Microsoft Defender防病毒 > 定义代理自动配置 (.pac) 连接到网络。 如果需要设置具有多个代理的高级配置,请使用管理模板 > Windows 组件>Microsoft Defender防病毒>定义地址来绕过代理服务器,并防止Microsoft Defender防病毒对这些目标使用代理服务器。

可以将 PowerShell 与 cmdlet 配合使用 Set-MpPreference 来配置以下选项:

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

使用 netsh 命令手动配置代理服务器

使用 netsh 配置系统范围的静态代理。

注意

此配置会影响所有应用程序,包括与默认代理一 WinHTTP 起使用的 Windows 服务。

  1. 打开提升的命令行:

    1. 转到 “开始”菜单 并键入 cmd
    2. 右键单击“命令提示符”,然后选择“以管理员身份运行”。
  2. 输入以下命令,再按 Enter

    netsh winhttp set proxy <proxy>:<port>
    

    例如:netsh winhttp set proxy 10.0.0.6:8080

  3. 若要重置 winhttp 代理,请输入以下命令,然后按 Enter

    netsh winhttp reset proxy
    

若要了解详细信息。,请参见 Netsh 命令语法、上下文和格式

运行以前基于 MMA 的解决方案的 Windows 设备

对于运行 Windows 7、Windows 8.1、Windows Server 2008 R2 和未升级到统一代理并使用 Microsoft Monitoring Agent (也称为 Log Analytics 代理) 连接到 Defender for Endpoint 服务的服务器,可以使用系统范围的代理设置,或者将代理配置为通过代理或 Log Analytics 网关进行连接。

载入以前版本的 Windows

后续步骤

步骤 3:验证客户端与Microsoft Defender for Endpoint服务 URL 的连接

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区