Definir proxy de ponto de extremidade e configurações de conectividade com a Internet

Cada sensor do Microsoft Defender para Identidade requer conectividade com a Internet com o serviço de nuvem do Defender para Identidade para relatar os dados do sensor e funcionar corretamente.

Em algumas organizações, os controladores de domínio não estão diretamente conectados à Internet, mas estão conectados por meio de uma conexão de proxy Web, e não há suporte para inspeção SSL e proxies de interceptação por motivos de segurança. Nesses casos, o servidor proxy deve permitir que os dados passem diretamente dos sensores do Defender para Identidade para as URLs relevantes sem interceptação.

Importante

A Microsoft não fornece um servidor proxy. Este artigo descreve como garantir que as URLs necessárias possam ser acessadas por meio de um servidor proxy que você configurar.

Habilitar o acesso às URLs do serviço do Defender para Identidade no servidor proxy

Para garantir a máxima segurança e privacidade de dados, o Defender para Identidade usa autenticação mútua baseada em certificado entre cada sensor do Defender para Identidade e o back-end de nuvem do Defender para Identidade. Não há suporte para inspeção e interceptação SSL porque elas interferem no processo de autenticação.

Para habilitar o acesso ao Defender para Identidade, certifique-se de permitir o tráfego para a URL do sensor usando a seguinte sintaxe: <your-workspace-name>sensorapi.atp.azure.com. Por exemplo, contoso-corpsensorapi.atp.azure.com.

  • Se o seu proxy ou firewall usa listas de permissões explícitas, também recomendamos garantir que as seguintes URLs sejam permitidas:

    • crl.microsoft.com
    • ctldl.windowsupdate.com
    • www.microsoft.com/pkiops/*
    • www.microsoft.com/pki/*
  • É possível que os endereços IP do serviço do Defender para Identidade mudem de vez em quando. Se você configura endereços IP manualmente ou se o proxy resolve automaticamente nomes DNS para seus endereços IP e os usa, recomendamos que você verifique periodicamente se os endereços IP configurados ainda estão atualizados.

  • Se você configurou anteriormente seu proxy usando opções herdadas, incluindo WiniNet ou uma atualização de chave do Registro, será necessário fazer alterações com o método usado originalmente. Para saber mais, confira Alterar a configuração de proxy usando métodos herdados.

Habilitar o acesso com uma marca de serviço

Em vez de habilitar manualmente o acesso a pontos de extremidade específicos, baixe os Intervalos de IP do Azure e marcas de serviço – Nuvem Pública e use os intervalos de endereços IP na marca de serviço do Azure AzureAdvancedThreatProtection para habilitar o acesso ao Defender para Identidade.

Para obter mais informações, confira Marcas de serviço de rede virtual. Para ver as ofertas de agências governamentais dos EUA, consulte Introdução às ofertas de agências governamentais dos EUA.

Alterar configuração do proxy usando a CLI

Pré-requisitos: localize o arquivo Microsoft.Tri.Sensor.Deployment.Deployer.exe. Esse arquivo está localizado junto com a instalação do sensor. Por padrão, esse local é C:\Program Files\Azure Advanced Threat Protection Sensor\version number\.

Para alterar a configuração de proxy do sensor atual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ProxyUrl="http://myproxy.contoso.local" ProxyUserName="CONTOSO\myProxyUser" ProxyUserPassword="myPr0xyPa55w0rd"

Para remover totalmente a configuração de proxy do sensor atual:

Microsoft.Tri.Sensor.Deployment.Deployer.exe ClearProxyConfiguration

Alterar a configuração de proxy usando o PowerShell

Pré-requisitos: antes de executar os comandos do Defender para Identidade do PowerShell, verifique se você baixou o módulo Defender para Identidade do PowerShell.

Você pode exibir e alterar a configuração de proxy para seu sensor usando o PowerShell. Para fazer isso, entre no servidor do sensor e execute comandos conforme mostrado nos exemplos a seguir:

Para exibir a configuração de proxy do sensor atual:

Get-MDISensorProxyConfiguration

Para alterar a configuração de proxy do sensor atual:

Set-MDISensorProxyConfiguration -ProxyUrl 'http://proxy.contoso.com:8080'

Este exemplo define a configuração de proxy do sensor Defender para Identidade para usar o servidor proxy especificado sem credenciais.

Para remover totalmente a configuração de proxy do sensor atual:

Clear-MDISensorProxyConfiguration

Para saber mais, consulte as seguintes referências do Defender para Identidade do PowerShell:

Alterar a configuração de proxy usando métodos herdados

Se já tiver definido as configurações de proxy via WinINet ou uma chave do registro e precisar atualizá-las, empregue o mesmo método usado originalmente.

Configurar o proxy pela linha de comando durante a instalação garante que apenas os serviços do sensor do Defender para Identidade se comuniquem por meio do proxy, usando WinINet ou um registro que permita outros serviços executados no contexto como Sistema Local ou Serviço Local também direcionem o tráfego pelo proxy.

Configurar um servidor proxy usando o WinINet

Ao configurar o proxy usando o WinINet, lembre-se de que o serviço incorporado do sensor do Defender para Identidade é executado no contexto do sistema usando a conta LocalService e que o serviço do atualizador do sensor do Defender para Identidade é executado no contexto do sistema usando a conta LocalSystem.

  • Se você usar o WinHTTP para configuração de proxy, ainda precisará definir as configurações de proxy do navegador Windows Internet (WinINet) para comunicação entre o sensor e o serviço de nuvem do Defender para Identidade.

  • Se você estiver usando proxy transparente ou WPAD em sua topologia de rede, não será necessário configurar o WinINet para seu proxy.

Configurar um servidor proxy usando o Registro

Esta seção descreve como configurar um servidor proxy estático manualmente usando um proxy estático baseado no Registro.

Importante

A configuração de um proxy por meio do registro afeta todos os aplicativos que usam o WinINet com as contas LocalService e LocalSystem, incluindo serviços do Windows.

Aplique as alterações do Registro somente às contas LocalService e LocalSystem.

Para configurar o proxy, copie a configuração do proxy no contexto do usuário para as contas LocalSystem e LocalService da seguinte maneira:

  1. Faça backup das chaves do Registro.

  2. No registro, procure o valor DefaultConnectionSettings como REG_BINARY, na chave do Registro HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettingsm e copie-o.

  3. Se LocalSystem não tiver as configurações de proxy corretas, copie a configuração de proxy de Current_User para LocalSystem, na chave do Registro HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Certifique-se de colar o valor Current_User da chave do Registro DefaultConnectionSettings como REG_BINARY.

    Isso pode acontecer se as configurações de proxy não estiverem configuradas ou se forem diferentes do Current_User.

  4. Se LocalService não tiver as configurações de proxy corretas, copie a configuração de proxy de Current_User para LocalService, na chave do Registro HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings.

    Certifique-se de colar o valor Current_User da chave do Registro DefaultConnectionSettings como REG_BINARY.

Para saber mais, veja:

Próxima etapa