Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen

Jeder Microsoft Defender for Identity-Sensor erfordert eine Internetverbindung mit dem Defender for Identity-Clouddienst, um Sensordaten zu melden und erfolgreich zu arbeiten.

In einigen Organisationen sind die Domänencontroller nicht direkt mit dem Internet verbunden, aber über eine Webproxyverbindung verbunden sind, und SSL-Überprüfung und Abfangen von Proxys werden aus Sicherheitsgründen nicht unterstützt. In solchen Fällen muss Ihr Proxyserver zulassen, dass die Daten direkt von den Defender for Identity-Sensoren an die relevanten URLs ohne Abfangen übergeben werden.

Wichtig

Microsoft stellt keinen Proxyserver bereit. In diesem Artikel wird beschrieben, wie Sie sicherstellen, dass auf die erforderlichen URLs über einen von Ihnen konfigurierten Proxyserver zugegriffen werden kann.

Aktivieren des Zugriffs auf UrLs des Defender for Identity-Diensts auf dem Proxyserver

Um maximale Sicherheit und Datenschutz zu gewährleisten, verwendet Defender for Identity zertifikatbasierte, gegenseitige Authentifizierung zwischen jedem Defender for Identity-Sensor und dem Defender for Identity-Cloud-Back-End. SSL-Inspektion und -Abfangen werden nicht unterstützt, da sie den Authentifizierungsprozess beeinträchtigen.

Um den Zugriff auf Defender for Identity zu ermöglichen, stellen Sie sicher, dass Datenverkehr zur Sensor-URL mithilfe der folgenden Syntax zugelassen wird: <your-workspace-name>sensorapi.atp.azure.com Beispiel: contoso-corpsensorapi.atp.azure.com.

  • Wenn Ihr Proxy oder Ihre Firewall explizite Zulassungslisten verwendet, empfehlen wir außerdem, sicherzustellen, dass die folgenden URLs zulässig sind:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • Gelegentlich können sich die IP-Adressen des Defender for Identity-Diensts ändern. Wenn Sie IP-Adressen manuell konfigurieren oder wenn Ihr Proxy DNS-Namen automatisch in seine IP-Adresse aufgelöst und verwendet, wird empfohlen, regelmäßig zu überprüfen, ob die konfigurierten IP-Adressen immer noch auf dem neuesten Stand sind.

  • Wenn Sie Ihren Proxy zuvor mithilfe von Legacyoptionen konfiguriert haben, einschließlich WiniNet oder eines Registrierungsschlüsselupdates, müssen Sie alle Änderungen mit der ursprünglich verwendeten Methode vornehmen. Weitere Informationen finden Sie unter Ändern der Proxykonfiguration mithilfe von Legacymethoden.

Aktivieren des Zugriffs mit einem Diensttag

Anstatt den Zugriff auf bestimmte Endpunkte manuell zu aktivieren, laden Sie die Azure-IP-Bereiche und -Diensttags – Public Cloud herunter, und verwenden Sie die IP-Adressbereiche im AzureAdvancedThreatProtection Azure-Diensttag, um den Zugriff auf Defender for Identity zu ermöglichen.

Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke. Informationen zu US Government-Angeboten finden Sie unter "Erste Schritte mit US Government-Angeboten".

Ändern Sie die Proxy-Konfiguration mithilfe der CLI

Voraussetzungen: Suchen Sie die Microsoft.Tri.Sensor.Deployment.Deployer.exe Datei. Diese Datei befindet sich zusammen mit der Sensorinstallation. Standardmäßig ist der Speicherort C:\Program Files\Azure Advanced Threat Protection Sensor\version number\.

So ändern Sie die Proxykonfiguration des aktuellen Sensors:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

So entfernen Sie die Proxykonfiguration des aktuellen Sensors komplett:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Ändern der Proxykonfiguration mithilfe von PowerShell

Voraussetzungen: Stellen Sie vor dem Ausführen von PowerShell-Befehlen von Defender for Identity sicher, dass Sie das PowerShell-Modul Defender for Identity heruntergeladen haben.

Sie können die Proxykonfiguration für Ihren Sensor mithilfe von PowerShell anzeigen und ändern. Melden Sie sich dazu bei Ihrem Sensorserver an, und führen Sie Befehle aus, wie in den folgenden Beispielen gezeigt:

So zeigen Sie die Proxykonfiguration des aktuellen Sensors an:

Get-MDISensorProxyConfiguration

So ändern Sie die Proxykonfiguration des aktuellen Sensors:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

In diesem Beispiel wird die Proxykonfiguration für den Defender for Identity-Sensor so festgelegt, dass der angegebene Proxyserver ohne Anmeldeinformationen verwendet wird.

So entfernen Sie die Proxykonfiguration des aktuellen Sensors komplett:

Clear-MDISensorProxyConfiguration

Weitere Informationen finden Sie in den folgenden DefenderForIdentity PowerShell-Verweisen:

Ändern der Proxykonfiguration mithilfe von Legacymethoden

Wenn Sie Ihre Proxyeinstellungen zuvor über WinINet oder einen Registrierungsschlüssel konfiguriert haben und diese aktualisieren müssen, müssen Sie dieselbe Methode verwenden, die Sie ursprünglich verwendet haben.

Beim Konfigurieren des Proxys über die Befehlszeile während der Installation wird sichergestellt, dass nur die Defender for Identity-Sensordienste über den Proxy kommunizieren, indem WinINet oder eine Registrierung andere Dienste im Kontext als lokales System oder lokaler Dienst ausführen, um auch den Datenverkehr über den Proxy zu leiten.

Konfigurieren eines Proxyservers mit WinINet

Beachten Sie beim Konfigurieren des Proxys mit WinINet, dass der eingebettete Defender for Identity-Sensordienst im Systemkontext mit dem LocalService-Konto ausgeführt wird und dass der Updaterdienst defender for Identity Sensor im Systemkontext mit dem LocalSystem-Konto ausgeführt wird.

  • Wenn Sie WinHTTP für die Proxykonfiguration verwenden, müssen Sie trotzdem Windows Internet (WinINet)-Browserproxyeinstellungen für die Kommunikation zwischen dem Sensor und dem Defender for Identity-Clouddienst konfigurieren.

  • Wenn Sie transparenten Proxy oder WPAD in Ihrer Netzwerktopologie verwenden, müssen Sie WinINet nicht für Ihren Proxy konfigurieren.

Konfigurieren eines Proxyservers mithilfe der Registrierung

In diesem Abschnitt wird beschrieben, wie Sie einen statischen Proxyserver manuell mithilfe eines registrierungsbasierten statischen Proxys konfigurieren.

Wichtig

Das Konfigurieren eines Proxys über die Registrierung wirkt sich auf alle Anwendungen aus, die WinINet mit den LocalService - und LocalSystem-Konten verwenden, einschließlich Windows-Diensten.

Wenden Sie Registrierungsänderungen nur auf die LocalService - und LocalSystem-Konten an.

Um Ihren Proxy zu konfigurieren, kopieren Sie Die Proxykonfiguration im Benutzerkontext wie folgt in die Konten "LocalSystem " und "LocalService ":

  1. Sichern Sie Ihre Registrierungsschlüssel.

  2. Suchen Sie in der Registrierung nach dem DefaultConnectionSettings Wert als REG_BINARY, unter dem HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings Registrierungsschlüssel, und kopieren Sie ihn.

  3. Wenn der LocalSystem nicht die richtigen Proxy-Einstellungen hat, kopieren Sie die Proxy-Einstellung vom Current_User auf den LocalSystem unter dem Registrierungsschlüssel HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Stellen Sie sicher, dass Sie den Wert aus dem Current_UserDefaultConnectionSettings Registrierungsschlüssel als REG_BINARY.

    Dies kann passieren, wenn Ihre Proxyeinstellungen nicht konfiguriert sind oder sich von den Current_UserProxyeinstellungen unterscheiden.

  4. Wenn der LocalService nicht die richtigen Proxy-Einstellungen hat, kopieren Sie die Proxy-Einstellung vom Current_User auf den LocalService unter dem Registrierungsschlüssel HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Stellen Sie sicher, dass Sie den Wert aus dem Current_UserDefaultConnectionSettings Registrierungsschlüssel als REG_BINARY.

Weitere Informationen finden Sie unter:

Nächster Schritt