Konfigurace proxy koncového bodu a nastavení připojení k internetu

Každý senzor Identity v programu Microsoft Defender for Identity vyžaduje připojení k internetu ke cloudové službě Defender for Identity, aby nahlásil data snímačů a úspěšně fungoval.

V některých organizacích nejsou řadiče domény přímo připojené k internetu, ale jsou připojené přes připojení k webovému proxy serveru a z bezpečnostních důvodů se nepodporují kontroly SSL a zachycení proxy serverů. V takových případech musí proxy server povolit přímému předávání dat ze senzorů Defenderu for Identity příslušným adresám URL bez zachycení.

Důležité

Společnost Microsoft neposkytuje proxy server. Tento článek popisuje, jak zajistit, aby požadované adresy URL byly přístupné přes nakonfigurovaný proxy server.

Povolení přístupu k adresám URL služby Defender for Identity na proxy serveru

K zajištění maximálního zabezpečení a ochrany osobních údajů používá Defender for Identity vzájemné ověřování založené na certifikátech mezi každým senzorem defenderu for Identity a back-endem cloudu Defender for Identity. Kontrola a zachycení SSL se nepodporují, protože kolidují s procesem ověřování.

Pokud chcete povolit přístup k Defenderu for Identity, nezapomeňte povolit provoz na adresu URL senzoru pomocí následující syntaxe: <your-workspace-name>sensorapi.atp.azure.com Například contoso-corpsensorapi.atp.azure.com.

  • Pokud váš proxy server nebo brána firewall používá explicitní seznamy povolených, doporučujeme také zajistit, aby byly povolené následující adresy URL:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • Občas se může změnit IP adresy služby Defender for Identity. Pokud ručně nakonfigurujete IP adresy nebo pokud váš proxy server automaticky překládá názvy DNS na jejich IP adresu a používá je, doporučujeme pravidelně kontrolovat, jestli jsou nakonfigurované IP adresy stále aktuální.

  • Pokud jste dříve nakonfigurovali proxy server pomocí starších možností, včetně WiniNetu nebo aktualizace klíče registru, budete muset provést všechny změny pomocí metody, kterou jste původně použili. Další informace naleznete v tématu Změna konfigurace proxy pomocí starších metod.

Povolení přístupu pomocí značky služby

Místo ručního povolení přístupu ke konkrétním koncovým bodům stáhněte rozsahy IP adres Azure a značky služeb – Veřejný cloud a použijte rozsahy IP adres ve značce služby AzureAdvancedThreatProtection Azure k povolení přístupu k Defenderu pro identitu.

Další informace najdete v tématu Značky služeb virtuální sítě. Nabídky pro státní správu USA najdete v tématu Začínáme s nabídkami státní správy USA.

Změna konfigurace proxy serveru pomocí rozhraní příkazového řádku

Požadavky: Vyhledejte Microsoft.Tri.Sensor.Deployment.Deployer.exe soubor. Tento soubor se nachází společně s instalací senzoru. Ve výchozím nastavení je toto umístění C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Změna konfigurace proxy serveru aktuálního senzoru:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Úplné odebrání konfigurace proxy serveru aktuálního senzoru:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Změna konfigurace proxy serveru pomocí PowerShellu

Předpoklady: Před spuštěním příkazů PowerShellu defenderu for Identity se ujistěte, že jste stáhli modul PowerShellu defenderu for Identity.

Konfiguraci proxy serveru pro senzor můžete zobrazit a změnit pomocí PowerShellu. Uděláte to tak, že se přihlásíte k serveru senzorů a spustíte příkazy, jak je znázorněno v následujících příkladech:

Zobrazení konfigurace proxy serveru aktuálního senzoru:

Get-MDISensorProxyConfiguration

Změna konfigurace proxy serveru aktuálního senzoru:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

Tento příklad nastaví konfiguraci proxy serveru pro senzor identity v defenderu pro identity tak, aby používal zadaný proxy server bez jakýchkoli přihlašovacích údajů.

Úplné odebrání konfigurace proxy serveru aktuálního senzoru:

Clear-MDISensorProxyConfiguration

Další informace najdete v následujících odkazech powershellu DefenderForIdentity:

Změna konfigurace proxy serveru pomocí starších metod

Pokud jste dříve nakonfigurovali nastavení proxy serveru přes WinINet nebo klíč registru a potřebujete je aktualizovat, budete muset použít stejnou metodu, kterou jste původně použili.

Při konfiguraci proxy serveru z příkazového řádku během instalace zajistíte, že prostřednictvím proxy serveru komunikují pouze služby senzoru Identity v programu Defender for Identity, a to pomocí winINetu nebo registru, aby ostatní služby spuštěné v kontextu jako místní systém nebo místní služba směrují provoz také přes proxy server.

Konfigurace proxy serveru pomocí winINetu

Při konfiguraci proxy serveru pomocí winINetu mějte na paměti, že vložená služba senzoru defenderu pro identitu běží v systémovém kontextu pomocí účtu LocalService a že služba Updater Defender for Identity Sensor běží v kontextu systému pomocí účtu LocalSystem .

  • Pokud pro konfiguraci proxy serveru používáte WinHTTP, musíte nakonfigurovat nastavení proxy prohlížeče Windows Internet (WinINet) pro komunikaci mezi senzorem a cloudovou službou Defender for Identity.

  • Pokud v topologii sítě používáte transparentní proxy server nebo WPAD, nemusíte pro proxy server konfigurovat WinINet.

Konfigurace proxy serveru pomocí registru

Tato část popisuje, jak nakonfigurovat statický proxy server ručně pomocí statického proxy serveru založeného na registru.

Důležité

Konfigurace proxy serveru prostřednictvím registru má vliv na všechny aplikace, které používají WinINet s účty LocalService a LocalSystem , včetně služeb Systému Windows.

Změny registru použijte pouze u účtů LocalService a LocalSystem .

Pokud chcete nakonfigurovat proxy server, zkopírujte konfiguraci proxy serveru v kontextu uživatele do účtů LocalSystem a LocalService následujícím způsobem:

  1. Zálohujte klíče registru.

  2. V registru vyhledejte DefaultConnectionSettings hodnotu jako REG_BINARY, pod HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings klíčem registru a zkopírujte ji.

  3. LocalSystem Pokud nemá správné nastavení proxy serveru, zkopírujte nastavení proxy z klíče registru do Current_User LocalSystemsložky .HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

    Nezapomeňte vložit hodnotu z Current_UserDefaultConnectionSettings klíče registru jako REG_BINARY.

    K tomu může dojít, pokud vaše nastavení proxy serveru není nakonfigurované nebo pokud se liší od nastavení Current_User.

  4. LocalService Pokud nemá správné nastavení proxy serveru, zkopírujte nastavení proxy z klíče registru do Current_User LocalServicesložky .HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

    Nezapomeňte vložit hodnotu z Current_UserDefaultConnectionSettings klíče registru jako REG_BINARY.

Další informace naleznete v tématu:

Další krok