Настройка прокси-сервера конечной точки и параметров подключения к Интернету для датчика Microsoft Defender для удостоверений
Каждому датчику Microsoft Defender для удостоверений требуется подключение к облачной службе Defender для удостоверений для передачи данных датчика и успешной работы. В некоторых организациях контроллеры домена подключаются к Интернету не напрямую, а через веб-прокси.
Мы рекомендуем использовать командную строку для настройки прокси-сервера, так как это гарантирует, что через прокси-сервер обмениваются данными только службы датчиков Defender для удостоверений.
Корпорация Майкрософт не предоставляет прокси-сервер. URL-адреса будут доступны через настроенный прокси-сервер.
Настройка прокси-сервера с помощью командной строки
Прокси-сервер можно настроить во время установки датчика с помощью следующих параметров командной строки.
Синтаксис"Датчик Azure ATP Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]
Описание параметров Имя Синтаксис Обязательно для автоматической установки? Описание: ProxyUrl ProxyUrl Contoso\ProxyUser" Нет Если служба прокси-сервера требует проверки подлинности, укажите имя пользователя в формате "ДОМЕН\пользователь". ProxyUserPassword ProxyUserPassword="P@ssw0rd" Нет Указывает пароль для имени пользователя прокси-сервера. *Учетные данные шифруются и хранятся локально датчиком Defender для удостоверений.Альтернативные способы настройки прокси-сервера
Для настройки прокси-сервера можно использовать один из следующих альтернативных методов. При настройке параметров прокси-сервера с помощью этих методов другие службы, работающие в контексте локальной системы или локальной службы, также будут направлять трафик через прокси-сервер.
Настройка прокси-сервера с помощью WinINetПрокси-сервер можно настроить с помощью конфигурации прокси-сервера Microsoft Windows Internet (WinINet), чтобы датчик Defender для удостоверений сообщал диагностические данные и взаимодействовал с облачной службой Defender для удостоверений, если компьютеру запрещено подключаться к Интернету. Если вы используете WinHTTP для настройки прокси-сервера, вам по-прежнему необходимо настроить параметры прокси-сервера браузера Windows Internet (WinINet) для связи между датчиком и облачной службой Defender для удостоверений.
При настройке прокси-сервера помните, что встроенная служба датчика Defender для удостоверений выполняется в системном контексте с помощью учетной записи LocalService , а служба Defender для датчика удостоверений выполняется в системном контексте с помощью учетной записи LocalSystem .
Если в топологии сети используется прозрачный прокси или WPAD, настраивать WinINET для прокси-сервера не нужно.
Настройка прокси-сервера с помощью реестраВы также можете настроить прокси-сервер вручную с помощью статического прокси-сервера на основе реестра, чтобы датчик Defender для удостоверений сообщал диагностические данные и взаимодействовал с облачной службой Defender для удостоверений, если компьютеру не разрешено подключаться к Интернету.
Изменения в реестре следует вносить только в ветви LocalService и LocalSystem.
Статическое подключение к прокси-серверу настраивается через реестр. Необходимо скопировать конфигурацию прокси-сервера, используемую в контексте пользователя, в LocalSystem и LocalService. Чтобы скопировать параметры прокси-сервера из контекста пользователя, выполните следующее:
Обязательно создайте резервные копии разделов реестра перед внесением в их изменений.
Выполните в разделе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings поиск по значению DefaultConnectionSettings (REG_BINARY) и скопируйте результат.
Если LocalSystem не имеет правильных параметров прокси-сервера (они не настроены или отличаются от Current_User), скопируйте параметр прокси-сервера из Current_User в LocalSystem. Перейдите к разделу реестра HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings .
Вставьте значение из Current_User DefaultConnectionSettings в формате REG_BINARY.
Если localService не имеет правильных параметров прокси-сервера, скопируйте параметр прокси-сервера из Current_User в LocalService. Перейдите к разделу реестра HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings .
Вставьте значение из Current_User DefaultConnectionSettings в формате REG_BINARY.
Это повлияет на все приложения, включая службы Windows, которые используют WinINET в контексте LocalService или LocalSytem.
Разрешение доступа к URL-адресам службы Defender для удостоверений на прокси-сервере
Чтобы включить доступ к Defender для удостоверений, рекомендуется разрешить трафик по следующим URL-адресам. URL-адреса автоматически сопоставляют с правильным расположением службы для экземпляра Defender для удостоверений.
<your-instance-name>.atp.azure.com — для подключения консоли. Например, contoso-corp.atp.azure.com
<your-instance-name>sensorapi.atp.azure.com — для подключения датчиков. Например, contoso-corpsensorapi.atp.azure.com
Также можно использовать диапазоны IP-адресов в нашем теге службы Azure (AzureAdvancedThreatProtection) для предоставления доступа к Defender для удостоверений. Дополнительные сведения о тегах служб см. в разделе тегов служб виртуальной сети.
Если вы хотите скачать файл "Диапазоны IP-адресов Azure и теги службы — общедоступное облако", это можно сделать здесь. Предложения правительства США см. в разделе начало работы с предложениями правительства США.
- Чтобы обеспечить максимальную безопасность и конфиденциальность данных, Defender для удостоверений использует взаимную проверку подлинности на основе сертификатов между каждым датчиком Defender для удостоверений и серверной частью облака Defender для удостоверений. Если в вашей среде используется проверка SSL, убедитесь, что она настроена для взаимной проверки подлинности и не препятствует процессу проверки подлинности.
- Иногда IP-адреса службы "Защитник для удостоверений" могут изменяться. Таким образом, если вы настраиваете IP-адреса вручную или если прокси-сервер автоматически разрешает DNS-имена в IP-адреса и использует эти IP-адреса, следует периодически проверять, что настроенные IP-адреса все еще актуальны.
Проверка подключения прокси-сервера
Для датчика Defender для удостоверений требуется сетевое подключение к службе Defender для удостоверений, работающей в Azure. Большинство организаций управляют доступом к Интернету через брандмауэр или прокси-серверы. При использовании прокси-сервера можно разрешить доступ через порт 443 через один URL-адрес. Дополнительные сведения о портах, необходимых Defender для удостоверений, см. в разделе "Обязательные порты".
После настройки прокси-сервера, чтобы разрешить датчику доступ к службе MDI, выполните приведенные ниже действия, чтобы убедиться, что все работает должным образом. Это можно сделать:
- перед развертыванием датчика
- Если датчик испытывает проблемы с подключением после установки
Откройте браузер, используя те же параметры прокси-сервера, которые используются датчиком.
Если параметры прокси-сервера определены для локальной системы, необходимо использовать PSExec для открытия сеанса в качестве локальной системы и открытия браузера из этого сеанса.
Перейдите по следующему URL-адресу: https://<your_workspace_name>sensorapi.atp.azure.com. замените <your_workspace_name> именем рабочей области MDI.
Чтобы правильно проверить подключение, необходимо указать ПРОТОКОЛ HTTPS, а не HTTP.
Результат. Вы должны получить ошибку 503. Служба недоступна, что указывает на успешное перенаправление в конечную точку HTTPS MDI. Это желаемый результат.
Если ошибка 503 недоступна, возможно, у вас возникла проблема с конфигурацией прокси-сервера. Проверьте параметры сети и прокси-сервера.
Если возникает ошибка сертификата, перед продолжением убедитесь, что установлены необходимые доверенные корневые сертификаты. Дополнительные сведения см. в статье о проблеме проверки подлинности прокси-сервера в виде ошибки подключения. Сведения о сертификате должны выглядеть следующим образом: