Compartir a través de

Configuración del proxy de punto de conexión y la conectividad a Internet

  • Artículo

Cada sensor de Microsoft Defender for Identity requiere conectividad a Internet con el servicio en la nube de Defender for Identity para informar de los datos del sensor y funcionar correctamente.

En algunas organizaciones, los controladores de dominio no están conectados directamente a Internet, pero están conectados a través de una conexión de proxy web, y no se admiten la inspección ssl y la interceptación de servidores proxy por motivos de seguridad. En tales casos, el servidor proxy debe permitir que los datos pasen directamente desde los sensores de Defender for Identity a las direcciones URL pertinentes sin interceptación.

Importante

Microsoft no proporciona un servidor proxy. En este artículo se describe cómo asegurarse de que las direcciones URL necesarias sean accesibles a través de un servidor proxy que configure.

Habilitación del acceso a las direcciones URL del servicio Defender for Identity en el servidor proxy

Para garantizar la máxima seguridad y privacidad de los datos, Defender for Identity usa la autenticación mutua basada en certificados entre cada sensor de Defender for Identity y el back-end de la nube de Defender for Identity. No se admiten la inspección e interceptación de SSL, ya que interfieren en el proceso de autenticación.

Para habilitar el acceso a Defender for Identity, asegúrese de permitir el tráfico a la dirección URL del sensor mediante la sintaxis siguiente: <your-workspace-name>sensorapi.atp.azure.com. Por ejemplo, contoso-corpsensorapi.atp.azure.com.

  • Si el proxy o firewall usa listas de permitidos explícitas, también se recomienda asegurarse de que se permiten las siguientes direcciones URL:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • En ocasiones, las direcciones IP del servicio Defender for Identity pueden cambiar. Si configura manualmente las direcciones IP o si el proxy resuelve automáticamente los nombres DNS en su dirección IP y los usa, se recomienda comprobar periódicamente que las direcciones IP configuradas siguen actualizadas.

  • Si ha configurado previamente el proxy mediante opciones heredadas, como WiniNet o una actualización de clave del Registro, deberá realizar cualquier cambio mediante el método que usó originalmente. Para obtener más información, vea Cambiar la configuración del proxy mediante métodos heredados.

Habilitación del acceso con una etiqueta de servicio

En lugar de habilitar manualmente el acceso a puntos de conexión específicos, descargue los intervalos IP de Azure y las etiquetas de servicio en la nube pública y use los intervalos de direcciones IP en la etiqueta de servicio AzureAdvancedThreatProtection de Azure para habilitar el acceso a Defender for Identity.

Para obtener más información, consulte Etiquetas de servicio de red virtual. Para conocer las ofertas del gobierno de EE. UU., consulte Introducción a las ofertas del Gobierno de EE. UU.

Cambio de la configuración del proxy mediante la CLI

Requisitos previos: busque el Microsoft.Tri.Sensor.Deployment.Deployer.exe archivo. Este archivo se encuentra junto con la instalación del sensor. De forma predeterminada, esta ubicación es C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Para cambiar la configuración del proxy del sensor actual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Para quitar completamente la configuración de proxy del sensor actual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Cambio de la configuración del proxy mediante PowerShell

Requisitos previos: antes de ejecutar comandos de PowerShell de Defender for Identity, asegúrese de que ha descargado el módulo de PowerShell de Defender for Identity.

Puede ver y cambiar la configuración del proxy del sensor mediante PowerShell. Para ello, inicie sesión en el servidor de sensores y ejecute comandos como se muestra en los ejemplos siguientes:

Para ver la configuración de proxy del sensor actual:

Get-MDISensorProxyConfiguration

Para cambiar la configuración del proxy del sensor actual:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

En este ejemplo se establece la configuración de proxy para que el sensor de Defender for Identity use el servidor proxy especificado sin ninguna credencial.

Para quitar completamente la configuración de proxy del sensor actual:

Clear-MDISensorProxyConfiguration

Para obtener más información, vea las siguientes referencias de PowerShell de DefenderForIdentity:

Cambio de la configuración del proxy mediante métodos heredados

Si previamente ha configurado la configuración del proxy a través de WinINet o una clave del Registro y necesita actualizarlas, deberá usar el mismo método que usó originalmente.

Al configurar el proxy desde la línea de comandos durante la instalación, garantiza que solo los servicios de sensor de Defender for Identity se comuniquen a través del proxy, mediante WinINet o un registro permiten que otros servicios que se ejecutan en el contexto como sistema local o servicio local también dirijan el tráfico a través del proxy.

Configuración de un servidor proxy mediante WinINet

Al configurar el proxy mediante WinINet, tenga en cuenta que el servicio de sensor de Defender for Identity insertado se ejecuta en el contexto del sistema mediante la cuenta localService y que el servicio de actualización de Defender for Identity Sensor se ejecuta en el contexto del sistema mediante la cuenta localSystem .

  • Si usa WinHTTP para la configuración de proxy, debe configurar los valores de proxy del explorador de Windows Internet (WinINet) para la comunicación entre el sensor y el servicio en la nube de Defender for Identity.

  • Si usa el proxy transparente o WPAD en la topología de red, no es necesario configurar WinINet para el proxy.

Configuración de un servidor proxy mediante el Registro

En esta sección se describe cómo configurar manualmente un servidor proxy estático mediante un proxy estático basado en el Registro.

Importante

La configuración de un proxy a través del Registro afecta a todas las aplicaciones que usan WinINet con las cuentas LocalService y LocalSystem , incluidos los servicios de Windows.

Aplique los cambios del Registro solo a las cuentas LocalService y LocalSystem .

Para configurar el proxy, copie la configuración del proxy en el contexto de usuario en las cuentas LocalSystem y LocalService de la siguiente manera:

  1. Realice una copia de seguridad de las claves del Registro.

  2. En el Registro, busque el DefaultConnectionSettings valor como REG_BINARY, en la clave del HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro y cópielo.

  3. LocalSystem Si no tiene la configuración de proxy correcta, copie la configuración de proxy de Current_User a LocalSystem, en la clave del HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro.

    Asegúrese de pegar el valor de la Current_Userclave del DefaultConnectionSettings Registro como REG_BINARY.

    Esto puede ocurrir si la configuración del proxy no está configurada o si son diferentes de Current_User.

  4. LocalService Si no tiene la configuración de proxy correcta, copie la configuración de proxy de Current_User a LocalService, en la clave del HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registro.

    Asegúrese de pegar el valor de la Current_Userclave del DefaultConnectionSettings Registro como REG_BINARY.

Contenido relacionado

Para más información, vea:

Paso siguiente

Probar Microsoft Defender for Identity conectividad »