Configurar el proxy del punto de conexión y la conectividad de Internet

Cada sensor de Microsoft Defender for Identity requiere conectividad a Internet con el servicio en la nube de Defender for Identity para informar de los datos del sensor y funcionar correctamente.

En algunas organizaciones, los controladores de dominio no están conectados directamente a Internet, pero están conectados a través de una conexión de proxy web ya que la inspección de SSL y la interceptación de servidores proxy no se admiten por motivos de seguridad. En tales casos, el servidor proxy debe permitir que los datos pasen directamente de los sensores de Defender for Identity a las direcciones URL pertinentes sin interceptación.

Importante

Microsoft no proporciona un servidor proxy. En este artículo se describe cómo asegurarse de que las direcciones URL necesarias sean accesibles a través de un servidor proxy que configure.

Habilitación del acceso a las direcciones URL del servicio Defender for Identity en el servidor proxy

Para garantizar la máxima seguridad y privacidad de los datos, Defender for Identity usa la autenticación mutua basada en certificados entre cada sensor de Defender for Identity y el back-end en la nube de Defender for Identity. No se admite la inspección e interceptación de SSL, ya que interfieren en el proceso de autenticación.

Para habilitar el acceso a Defender for Identity, asegúrese de permitir el tráfico a la dirección URL del sensor mediante la sintaxis siguiente: <your-workspace-name>sensorapi.atp.azure.com. Por ejemplo, contoso-corpsensorapi.atp.azure.com.

  • Si el proxy o el servidor de seguridad usa listas de permitidos explícitas, también se recomienda asegurarse de que estén permitidas las siguientes direcciones URL:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • En ocasiones, las direcciones IP del servicio Defender for Identity pueden cambiar. Si configura manualmente direcciones IP o si el proxy resuelve automáticamente los nombres DNS en su dirección IP y los usa, se recomienda comprobar periódicamente que las direcciones IP configuradas sigan actualizadas.

  • Si ha configurado previamente el proxy mediante opciones heredadas, incluida WiniNet o una actualización de clave del Registro deberá realizar los cambios con el método que usó originalmente. Para obtener más información, consulte Cambiar la configuración del proxy utilizando métodos heredados.

Habilitación del acceso con una etiqueta de servicio

En lugar de habilitar manualmente el acceso a puntos de conexión específicos, descargue los intervalos IP de Azure y las etiquetas de servicio de Nube Pública y use los intervalos de direcciones IP en la etiqueta de servicio Azure AzureAdvancedThreatProtection para habilitar el acceso a Defender for Identity.

Para más información, consulte Etiquetas de servicio de red virtual. Para las ofertas de la Administración Pública de Estados Unidos, consulte Introducción a las ofertas de la Administración Pública de Estados Unidos.

Cambiar la configuración del proxy mediante la CLI

Requisitos previos: busque el archivo Microsoft.Tri.Sensor.Deployment.Deployer.exe. Este archivo se encuentra junto con la instalación del sensor. De forma predeterminada, la ubicación es C:\Program Files\Azure Advanced Threat Protection Sensor\version number\

Para cambiar la configuración del proxy del sensor actual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Para quitar completamente la configuración del proxy del sensor actual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Cambio de la configuración del proxy mediante PowerShell

Requisitos previos: antes de ejecutar comandos de PowerShell de Defender for Identity, asegúrese de que ha descargado el módulo de PowerShell de Defender for Identity.

Puede ver y cambiar la configuración del proxy para su sensor usando PowerShell. Para ello, inicie sesión en su servidor de sensores y ejecute los comandos que se muestran en los siguientes ejemplos:

Para ver la configuración del proxy del sensor actual:

Get-MDISensorProxyConfiguration

Para cambiar la configuración del proxy del sensor actual:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

Este ejemplo establece la configuración proxy para el sensor Defender for Identity para usar el servidor proxy especificado sin ninguna credencial.

Para quitar completamente la configuración del proxy del sensor actual:

Clear-MDISensorProxyConfiguration

Para obtener más información, consulte las siguientes referencias de PowerShell DefenderForIdentity:

Cambiar la configuración del proxy utilizando métodos heredados

Si ha configurado previamente su proxy a través de WinINet o de una clave de registro y necesita actualizarlos, tendrá que utilizar el mismo método que utilizó originalmente.

Al configurar el proxy desde la línea de comandos durante la instalación, se garantiza que solo los servicios del sensor de Defender for Identity se comuniquen a través del proxy, mediante WinINet o un registro, lo que permite que otros servicios se ejecuten en el contexto como sistema local o servicio local para también dirigir el tráfico a través del proxy.

Configuración de un servidor proxy mediante WinINet

Al configurar el proxy mediante WinINet, tenga en cuenta que el servicio de sensor de Defender for Identity insertado se ejecuta en el contexto del sistema mediante la cuenta LocalService y que el servicio de actualización del sensor de Defender for Identity se ejecuta en el contexto del sistema mediante la cuenta LocalSystem.

  • Si usa WinHTTP para la configuración de proxy, todavía debe configurar el proxy del explorador de Windows Internet (WinINet) para la comunicación entre el sensor y el servicio en la nube de Defender for Identity.

  • Si usa proxy transparente o WPAD en la topología de red no es necesario configurar WinINet para el proxy.

Configuración de un servidor proxy mediante el registro

En esta sección se describe cómo configurar un servidor proxy estático manualmente mediante un proxy estático basado en el Registro.

Importante

La configuración de un proxy a través del registro afecta a todas las aplicaciones que usan WinINet con las cuentas LocalService y LocalSystem, incluidos los servicios de Windows.

Aplique los cambios del registro solo a las cuentas LocalService y LocalSystem.

Para configurar el proxy, copie la configuración del proxy en el contexto de usuario en las cuentas LocalSystem y LocalService de la siguiente manera:

  1. Realice una copia de seguridad de las claves del Registro.

  2. En el Registro, busque el valor DefaultConnectionSettings como REG_BINARY, en la clave del Registro HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings y cópielo.

  3. Si no tiene la configuración de proxy correcta LocalSystem, copie la configuración del proxy de Current_User a LocalSystem en la clave del registro HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Asegúrese de pegar el valor de la clave del registro Current_User DefaultConnectionSettings como REG_BINARY.

    Esto puede ocurrir si no está configurado el proxy o si son diferentes de Current_User.

  4. Si no tiene la configuración de proxy correcta LocalService, copie la configuración del proxy de Current_User a LocalService en la clave del registro HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Asegúrese de pegar el valor de la clave del registro Current_User DefaultConnectionSettings como REG_BINARY.

Para más información, vea:

Paso siguiente