Udostępnij za pośrednictwem

Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem

  • Artykuł

Każdy czujnik Microsoft Defender for Identity wymaga łączności internetowej z usługą w chmurze Defender for Identity w celu raportowania danych czujników i pomyślnego działania.

W niektórych organizacjach kontrolery domeny nie są bezpośrednio połączone z Internetem, ale są połączone za pośrednictwem połączenia internetowego serwera proxy, a inspekcja protokołu SSL i przechwytywanie serwerów proxy nie są obsługiwane ze względów bezpieczeństwa. W takich przypadkach serwer proxy musi zezwalać na bezpośrednie przekazywanie danych z czujników usługi Defender for Identity do odpowiednich adresów URL bez przechwytywania.

Ważna

Firma Microsoft nie udostępnia serwera proxy. W tym artykule opisano sposób zapewnienia, że wymagane adresy URL są dostępne za pośrednictwem skonfigurowanego serwera proxy.

Włączanie dostępu do adresów URL usługi Defender for Identity Service na serwerze proxy

Aby zapewnić maksymalne bezpieczeństwo i prywatność danych, usługa Defender for Identity używa opartego na certyfikatach wzajemnego uwierzytelniania między każdym czujnikiem usługi Defender for Identity a zapleczem chmury usługi Defender for Identity. Inspekcja I przechwytywanie protokołu SSL nie są obsługiwane, ponieważ zakłócają proces uwierzytelniania.

Aby włączyć dostęp do usługi Defender for Identity, pamiętaj, aby zezwolić na ruch do adresu URL czujnika przy użyciu następującej składni: <your-workspace-name>sensorapi.atp.azure.com. Na przykład contoso-corpsensorapi.atp.azure.com.

  • Jeśli serwer proxy lub zapora używa jawnych list dozwolonych, zalecamy również upewnienie się, że dozwolone są następujące adresy URL:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*

  • Czasami adresy IP usługi Defender for Identity mogą ulec zmianie. Jeśli ręcznie skonfigurujesz adresy IP lub serwer proxy automatycznie rozpozna nazwy DNS do swojego adresu IP i użyje ich, zalecamy okresowe sprawdzanie, czy skonfigurowane adresy IP są nadal aktualne.

  • Jeśli serwer proxy został wcześniej skonfigurowany przy użyciu starszych opcji, w tym winiNet lub aktualizacji klucza rejestru, musisz wprowadzić wszelkie zmiany przy użyciu metody użytej pierwotnie. Aby uzyskać więcej informacji, zobacz Zmienianie konfiguracji serwera proxy przy użyciu starszych metod.

Włączanie dostępu przy użyciu tagu usługi

Zamiast ręcznie włączać dostęp do określonych punktów końcowych, pobierz zakresy adresów IP platformy Azure i tagi usług — chmura publiczna i użyj zakresów adresów IP w tagu usługi Azure AzureAdvancedThreatProtection , aby umożliwić dostęp do usługi Defender for Identity.

Aby uzyskać więcej informacji, zobacz Tagi usługi sieci wirtualnej. Aby zapoznać się z ofertami dla instytucji rządowych USA, zobacz Wprowadzenie do ofert dla instytucji rządowych USA.

Zmienianie konfiguracji serwera proxy przy użyciu interfejsu wiersza polecenia

Wymagania wstępne: znajdź Microsoft.Tri.Sensor.Deployment.Deployer.exe plik. Ten plik znajduje się wraz z instalacją czujnika. Domyślnie ta lokalizacja jest C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Aby zmienić konfigurację serwera proxy bieżącego czujnika:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Aby całkowicie usunąć konfigurację serwera proxy bieżącego czujnika:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Zmienianie konfiguracji serwera proxy przy użyciu programu PowerShell

Wymagania wstępne: przed uruchomieniem poleceń programu PowerShell usługi Defender for Identity upewnij się, że pobrano moduł PowerShell usługi Defender for Identity.

Konfigurację serwera proxy dla czujnika można wyświetlić i zmienić przy użyciu programu PowerShell. W tym celu zaloguj się do serwera czujników i uruchom polecenia, jak pokazano w następujących przykładach:

Aby wyświetlić konfigurację serwera proxy bieżącego czujnika:

Get-MDISensorProxyConfiguration

Aby zmienić konfigurację serwera proxy bieżącego czujnika:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

W tym przykładzie ustawiono konfigurację serwera proxy dla czujnika usługi Defender for Identity w celu używania określonego serwera proxy bez żadnych poświadczeń.

Aby całkowicie usunąć konfigurację serwera proxy bieżącego czujnika:

Clear-MDISensorProxyConfiguration

Aby uzyskać więcej informacji, zobacz następujące odwołania do programu PowerShell DefenderForIdentity:

Zmienianie konfiguracji serwera proxy przy użyciu starszych metod

Jeśli ustawienia serwera proxy zostały wcześniej skonfigurowane za pośrednictwem sieci WinINet lub klucza rejestru i trzeba je zaktualizować, należy użyć tej samej metody, która została pierwotnie użyta.

Podczas konfigurowania serwera proxy z wiersza polecenia podczas instalacji gwarantuje, że tylko usługi czujnika usługi Defender for Identity komunikują się za pośrednictwem serwera proxy, przy użyciu sieci WinINet lub rejestru zezwalają innym usługom działającym w kontekście jako usługa lokalna lub lokalna na kierowanie ruchu za pośrednictwem serwera proxy.

Konfigurowanie serwera proxy przy użyciu sieci WinINet

Podczas konfigurowania serwera proxy przy użyciu sieci WinINet należy pamiętać, że osadzona usługa czujnika Defender for Identity działa w kontekście systemowym przy użyciu konta LocalService i że usługa updater Defender for Identity Sensor działa w kontekście systemowym przy użyciu konta LocalSystem .

  • Jeśli używasz protokołu WinHTTP do konfiguracji serwera proxy, nadal musisz skonfigurować ustawienia serwera proxy przeglądarki Systemu Windows (WinINet) na potrzeby komunikacji między czujnikiem a usługą w chmurze Defender for Identity.

  • Jeśli używasz przezroczystego serwera proxy lub WPAD w topologii sieci, nie musisz konfigurować sieci WinINet dla serwera proxy.

Konfigurowanie serwera proxy przy użyciu rejestru

W tej sekcji opisano sposób ręcznego konfigurowania statycznego serwera proxy przy użyciu statycznego serwera proxy opartego na rejestrze.

Ważna

Konfigurowanie serwera proxy za pośrednictwem rejestru ma wpływ na wszystkie aplikacje korzystające z sieci WinINet z kontami LocalService i LocalSystem , w tym usługami systemu Windows.

Zastosuj zmiany rejestru tylko do kont LocalService i LocalSystem .

Aby skonfigurować serwer proxy, skopiuj konfigurację serwera proxy w kontekście użytkownika do kont LocalSystem i LocalService w następujący sposób:

  1. Utwórz kopię zapasową kluczy rejestru.

  2. W rejestrze wyszukaj DefaultConnectionSettings wartość jako REG_BINARY, w obszarze klucza HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings rejestru i skopiuj ją.

  3. LocalSystem Jeśli parametr nie ma prawidłowych ustawień serwera proxy, skopiuj ustawienie serwera proxy z Current_User elementu do LocalSystemelementu w obszarze klucza HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings rejestru.

    Pamiętaj, aby wkleić wartość z Current_Userklucza DefaultConnectionSettings rejestru jako REG_BINARY.

    Może się to zdarzyć, jeśli ustawienia serwera proxy nie są skonfigurowane lub są inne niż .Current_User

  4. LocalService Jeśli element nie ma prawidłowych ustawień serwera proxy, skopiuj ustawienie serwera proxy z Current_User elementu do LocalServiceelementu w obszarze klucza HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings rejestru.

    Pamiętaj, aby wkleić wartość z Current_Userklucza DefaultConnectionSettings rejestru jako REG_BINARY.

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach:

Następny krok

Testowanie łączności Microsoft Defender for Identity »