Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen

Jeder Microsoft Defender for Identity-Sensor erfordert eine Internetverbindung mit dem Defender for Identity-Clouddienst, um Sensordaten zu melden und erfolgreich zu arbeiten.

In einigen Organisationen sind die Domänencontroller nicht direkt mit dem Internet verbunden, sondern über eine Webproxyverbindung verbunden, und DIE SSL-Überprüfung und das Abfangen von Proxys werden aus Sicherheitsgründen nicht unterstützt. In solchen Fällen muss Ihr Proxyserver zulassen, dass die Daten direkt von den Defender for Identity-Sensoren an die relevanten URLs übergeben werden, ohne abfangen zu müssen.

Aktivieren des Zugriffs auf Defender for Identity-Dienst-URLs auf dem Proxyserver

Um maximale Sicherheit und Datenschutz zu gewährleisten, verwendet Defender for Identity die zertifikatbasierte gegenseitige Authentifizierung zwischen jedem Defender for Identity-Sensor und dem Defender for Identity-Cloud-Back-End. SSL-Überprüfung und Abfangen werden nicht unterstützt, da sie den Authentifizierungsprozess beeinträchtigen.

Um den Zugriff auf Defender for Identity zu ermöglichen, stellen Sie sicher, dass Datenverkehr zur Sensor-URL zugelassen wird, indem Sie die folgende Syntax verwenden: <your-workspace-name>sensorapi.atp.azure.com. Beispiel: contoso-corpsensorapi.atp.azure.com.

• Wenn Ihr Proxy oder Ihre Firewall explizite Positivlisten verwendet, sollten Sie auch sicherstellen, dass die folgenden URLs zulässig sind:

  • crl.microsoft.com
  • ctldl.windowsupdate.com
  • www.microsoft.com/pkiops/*
  • www.microsoft.com/pki/*

• Gelegentlich können sich die IP-Adressen des Defender for Identity-Diensts ändern. Wenn Sie IP-Adressen manuell konfigurieren oder ihr Proxy DNS-Namen automatisch in ihre IP-Adresse auflöst und verwendet, sollten Sie regelmäßig überprüfen, ob die konfigurierten IP-Adressen immer noch auf dem neuesten Stand sind.

• Wenn Sie Ihren Proxy zuvor mit Legacyoptionen konfiguriert haben, z. B. WiniNet oder ein Registrierungsschlüsselupdate, müssen Sie alle Änderungen mithilfe der ursprünglich verwendeten Methode vornehmen. Weitere Informationen finden Sie unter Ändern der Proxykonfiguration mithilfe von Legacymethoden.

Aktivieren des Zugriffs mit einem Diensttag

Anstatt den Zugriff auf bestimmte Endpunkte manuell zu ermöglichen, laden Sie die Azure-IP-Adressbereiche und Diensttags – Öffentliche Cloud herunter, und verwenden Sie die IP-Adressbereiche im Azure-Diensttag AzureAdvancedThreatProtection , um den Zugriff auf Defender for Identity zu ermöglichen.

Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke. Informationen zu Us Government-Angeboten finden Sie unter Erste Schritte mit Angeboten für US-Behörden.

Ändern der Proxykonfiguration mithilfe der CLI

Voraussetzungen: Suchen Sie die Microsoft.Tri.Sensor.Deployment.Deployer.exe Datei. Diese Datei befindet sich zusammen mit der Sensorinstallation. Standardmäßig lautet dieser Speicherort. C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

So ändern Sie die Proxykonfiguration des aktuellen Sensors:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

So entfernen Sie die Proxykonfiguration des aktuellen Sensors vollständig:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Ändern der Proxykonfiguration mithilfe von PowerShell

Voraussetzungen: Stellen Sie vor dem Ausführen von PowerShell-Befehlen von Defender for Identity sicher, dass Sie das PowerShell-Modul für Defender for Identity heruntergeladen haben.

Sie können die Proxykonfiguration für Ihren Sensor mithilfe von PowerShell anzeigen und ändern. Melden Sie sich dazu bei Ihrem Sensorserver an, und führen Sie Befehle aus, wie in den folgenden Beispielen gezeigt:

So zeigen Sie die Proxykonfiguration des aktuellen Sensors an:

Get-MDISensorProxyConfiguration

So ändern Sie die Proxykonfiguration des aktuellen Sensors:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

In diesem Beispiel wird die Proxykonfiguration für den Defender for Identity-Sensor so festgelegt, dass der angegebene Proxyserver ohne Anmeldeinformationen verwendet wird.

So entfernen Sie die Proxykonfiguration des aktuellen Sensors vollständig:

Clear-MDISensorProxyConfiguration

Weitere Informationen finden Sie in den folgenden DefenderForIdentity PowerShell-Verweisen:

• Get-MDISensorProxyConfiguration
• Set-MDISensorProxyConfiguration
• Clear-MDISensorProxyConfiguration

Ändern der Proxykonfiguration mithilfe von Legacymethoden

Wenn Sie Ihre Proxyeinstellungen zuvor entweder über WinINet oder einen Registrierungsschlüssel konfiguriert haben und diese aktualisieren müssen, müssen Sie dieselbe Methode verwenden, die Sie ursprünglich verwendet haben.

Beim Konfigurieren des Proxys über die Befehlszeile während der Installation wird sichergestellt, dass nur die Defender for Identity-Sensordienste über den Proxy kommunizieren. Mithilfe von WinINet oder einer Registrierung können andere Dienste, die im Kontext als lokales System oder lokaler Dienst ausgeführt werden, auch Datenverkehr über den Proxy leiten.

Konfigurieren eines Proxyservers mithilfe von WinINet

Beachten Sie beim Konfigurieren des Proxys mit WinINet, dass der eingebettete Defender for Identity-Sensordienst im Systemkontext mit dem LocalService-Konto ausgeführt wird und dass der Defender for Identity Sensor-Updatedienst im Systemkontext mit dem LocalSystem-Konto ausgeführt wird.

• Wenn Sie WinHTTP für die Proxykonfiguration verwenden, müssen Sie weiterhin Windows Internet(WinINet)-Browserproxyeinstellungen für die Kommunikation zwischen dem Sensor und dem Defender for Identity-Clouddienst konfigurieren.

• Wenn Sie transparenten Proxy oder WPAD in Ihrer Netzwerktopologie verwenden, müssen Sie WinINet nicht für Ihren Proxy konfigurieren.

Konfigurieren eines Proxyservers mithilfe der Registrierung

In diesem Abschnitt wird beschrieben, wie Sie einen statischen Proxyserver mithilfe eines registrierungsbasierten statischen Proxys manuell konfigurieren.

Kopieren Sie zum Konfigurieren Ihres Proxys Die Proxykonfiguration im Benutzerkontext wie folgt in die Konten LocalSystem und LocalService :

1. Sichern Sie Ihre Registrierungsschlüssel.

2. Suchen Sie in der Registrierung unter dem Registrierungsschlüssel nach dem DefaultConnectionSettingsHKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Wert als REG_BINARY, und kopieren Sie ihn.

3. Wenn die LocalSystem nicht über die richtigen Proxyeinstellungen verfügt, kopieren Sie die Proxyeinstellung aus dem Current_User unter dem Registrierungsschlüssel in den LocalSystemHKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings .

   Stellen Sie sicher, dass Sie den Wert aus dem Registrierungsschlüssel des Current_UserRegistrierungsschlüssels DefaultConnectionSettings als REG_BINARYeinfügen.

   Dies kann passieren, wenn Ihre Proxyeinstellungen nicht konfiguriert sind oder sich von unterscheiden Current_User.

4. Wenn nicht LocalService über die richtigen Proxyeinstellungen verfügt, kopieren Sie die Proxyeinstellung aus dem Current_User unter dem Registrierungsschlüssel in den LocalServiceHKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings .

   Stellen Sie sicher, dass Sie den Wert aus dem Registrierungsschlüssel des Current_UserRegistrierungsschlüssels DefaultConnectionSettings als REG_BINARYeinfügen.

Verwandte Inhalte

Weitere Informationen finden Sie unter:

• Ausführen einer automatischen Installation mit einer Proxykonfiguration
• Testen Microsoft Defender for Identity Konnektivität

Nächster Schritt