設定裝置Proxy 和網際網路連線設定 - Microsoft Learn

設定適用於端點的Microsoft Defender Proxy 和網際網路設定，以啟用與雲端 ... 以判斷工作區) 之間的*.blob.core.windows.net URL 是否有任何變更。

跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge InternetExplorer和MicrosoftEdge的詳細資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 列印 Twitter LinkedIn Facebook 電子郵件 目錄 設定裝置Proxy和網際網路連線設定 發行項 10/15/2022 17位參與者 本文內容 適用於： 適用於端點的MicrosoftDefender方案2 Microsoft365Defender 想要體驗適用於端點的MicrosoftDefender嗎?注册免費試用版。

適用于端點的Defender感應器需要MicrosoftWindowsHTTP(WinHTTP)來報告感應器資料，並與適用于端點的Defender服務通訊。

適用于端點的內嵌Defender感應器會使用LocalSystem帳戶在系統內容中執行。

提示 對於使用正向Proxy作為網際網路閘道的組織，您可以使用網路保護來調查向前Proxy後方發生的線上活動。

WinHTTP組態設定與WindowsInternet(WinINet)流覽Proxy設定無關，(參閱WinINet與WinHTTP)。

它只能使用下列探索方法來探索Proxy伺服器： 自動探索方法： 透明Proxy 網頁Proxy自動探索通訊協定（WPAD） 注意事項 如果您在網路拓撲中使用透明Proxy或WPAD，則不需要特殊的組態設定。

如需Proxy中適用于端點的DefenderURL排除範圍的詳細資訊，請參閱在Proxy伺服器中啟用對適用于端點的Defender服務URL的存取 手動靜態Proxy組態： 基於登錄的設定 使用netsh命令設定的WinHTTP：僅適用于穩定拓撲中的桌面(例如：公司網路中位於相同Proxy後方的桌面) 注意事項 您可以獨立設定Defender防毒軟體和EDRProxy。

在後續各節中，請留意這些差異。

使用基於登錄的靜態Proxy手動設定Proxy伺服器 設定適用于端點的Defender偵測和回應的登錄式靜態Proxy(EDR)感應器，以報告診斷資料，並在電腦不允許連線到網際網路時與適用于端點的Defender服務通訊。

注意事項 在Windows10、Windows11、WindowsServer2019或WindowsServer2022上使用此選項時，建議您在組建和累積更新彙總套件)使用下列(或更新版本： Windows11 Windows10版本1809或WindowsServer2019或WindowsServer2022-https://support.microsoft.com/kb/5001384 Windows10，版本1909-https://support.microsoft.com/kb/4601380 Windows10版本2004-https://support.microsoft.com/kb/4601382 Windows1020H2版-https://support.microsoft.com/kb/4601382 這些更新可改善CnC(CommandandControl)通道的連線能力和可靠性。

靜態Proxy可透過群組原則(GP)來設定，群組原則值下的兩個設定都應該設定為Proxy伺服器以使用EDR。

群組原則可在系統管理範本中取得。

系統管理模>板Windows元件>資料收集和預覽組建>設定已連線使用者體驗和遙測服務的已驗證Proxy使用方式。

將它設定為[已啟用]，然後選取[停用已驗證的Proxy使用方式]。

系統管理模>板Windows元件>資料收集和預覽組建>設定連線的使用者體驗和遙測： 設定Proxy。

群組原則 登錄機碼 登錄專案 數值 設定已連線使用者體驗和遙測服務的已驗證Proxy使用方式 HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1(REG_DWORD) 設定連線的使用者體驗和遙測 HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:portorip:port例如：10.0.0.6:8080(REG_SZ) 注意事項 如果您在其他完全離線的裝置上使用'TelemetryProxyServer'設定，表示作業系統無法連線到線上憑證撤銷清單或WindowsUpdate，則建議您新增值為的其他1登錄設定PreferStaticProxyForHttpRequest。

「PreferStaticProxyForHttpRequest」的父登錄路徑位置為「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsAdvancedThreatProtection」 下列命令可用來將登錄值插入正確的位置： regadd"HKLM\SOFTWARE\Policies\Microsoft\WindowsAdvancedThreatProtection"/vPreferStaticProxyForHttpRequest/tREG_DWORD/d1/f 上述登錄值僅適用于從MsSense.exe10.8210.*版和更新版本開始，或是版本10.8049.*和更新版本(在WindowsServer2012R2/2016上使用統一代理程式) 設定MicrosoftDefender防毒軟體的靜態Proxy MicrosoftDefender防毒軟體雲端式保護提供近乎即時的自動化保護，以抵禦新的和新興的威脅。

請注意，當Defender防毒軟體是作用中的反惡意程式碼解決方案時，自訂指標需要連線能力。

針對封鎖模式中的EDR，在使用非Microsoft解決方案時，有主要的反惡意程式碼解決方案。

使用[系統管理範本]中提供的群組原則來設定靜態Proxy： 系統管理模>板Windows元件>MicrosoftDefender防毒軟體>定義要連線到網路的Proxy伺服器。

將它設定為[已啟用]，並定義Proxy伺服器。

請注意，URL必須具有HTTP://或HTTPs://。

如需HTTPs://的支援版本，請參閱管理MicrosoftDefender防病毒軟體更新。

在登錄機碼HKLM\Software\Policies\Microsoft\WindowsDefender底下，原則會將登錄值ProxyServer設定為REG_SZ。

登錄值ProxyServer採用下列字串格式： : Forexample:http://10.0.0.6:8080 注意事項 基於復原目的和雲端式保護的即時本質，MicrosoftDefender防毒軟體會快取最後一個已知的工作Proxy。

請確定您的Proxy解決方案不會執行SSL檢查。

這會中斷安全的雲端連線。

MicrosoftDefender防毒軟體將不會使用靜態Proxy連線到WindowsUpdate或MicrosoftUpdate以下載更新。

相反地，如果設定為使用WindowsUpdate，則會使用全系統的Proxy，或根據設定的後援順序設定的內部更新來源。

如有需要，您可以使用系統管理範本>Windows元件>MicrosoftDefender防毒軟體>定義proxy自動設定(.pac)來連線到網路。

如果您需要設定具有多個Proxy的進階組態，請使用系統管理模>板Windows元件>MicrosoftDefender防毒軟體>定義位址來略過Proxy伺服器，並防止MicrosoftDefender防毒軟體針對這些目的地使用Proxy伺服器。

您可以使用PowerShell搭配Set-MpPreferenceCmdlet來設定這些選項： ProxyBypass ProxyPacUrl ProxyServer 注意事項 若要正確使用Proxy，請設定這三個不同的Proxy設定： 適用於端點的MicrosoftDefender(MDE) 防毒軟體() 端點偵測和回應(EDR) 使用netsh命令手動設定Proxy伺服器 使用netsh設定全系統的靜態Proxy。

注意事項 這將影響所有應用程式，包括使用帶預設Proxy之WinHTTP的Windows服務。

開啟提高權限的命令列： 轉至[開始]並鍵入「cmd」。

以滑鼠右鍵按一下[命令提示字元]，然後選取[以系統管理員身分執行]。

輸入以下命令，再按Enter： netshwinhttpsetproxy: 例如：netshwinhttpsetproxy10.0.0.6:8080 要重設winhttpProxy，請輸入以下命令並按Enter鍵： netshwinhttpresetproxy 若要瞭解詳細資訊。

，請參見Netsh命令語法、上下文和格式。

啟用存取Proxy伺服器中適用於端點的MicrosoftDefender服務URL 根據預設，如果Proxy或防火牆預設封鎖所有流量，且只允許特定網域，則將可下載工作表中列出的網域新增至允許的網域清單。

下列可下載的試算表列出您的網路必須能夠連線的服務及其相關聯的URL。

請確定沒有防火牆或網路篩選規則可拒絕這些URL的存取。

選擇性，您可能需要特別為其建立允許規則。

網域清單試算表 描述 適用於端點的MicrosoftDefender商業客戶的URL清單 特定DNS記錄的試算表，適用于商業客戶的服務位置、地理位置和OS。

在這裡下載試算表。

請注意，適用於端點的MicrosoftDefender方案1和方案2共用相同的Proxy服務URL。

適用於端點的MicrosoftDefender/GCC/DoD的URL清單 適用于Gov/GCC/DoD客戶的服務位置、地理位置和OS的特定DNS記錄試算表。

在這裡下載試算表。

如果Proxy或防火牆啟用了HTTPS掃描(SSL檢查)，則從HTTPS掃描中排除上表中列出的網域。

在防火牆中，開啟geography資料行為WW的所有URL。

對於geography資料行不是WW的資料列，請開啟特定資料位置的URL。

若要確認您的資料位置設定，請參閱驗證資料儲存位置並更新適用於端點的MicrosoftDefender的資料保留設定。

注意事項 執行1803版或更舊版本的Windows裝置需要settings-win.data.microsoft.com。

只有當您有執行1803版或更新版本的Windows裝置時，才需要包含v20的URL。

例如，us-v20.events.data.microsoft.com執行1803版或更新版本並上線至美國資料儲存體區域的Windows裝置需要。

如果Proxy或防火牆以適用于端點的Defender感應器的方式封鎖匿名流量，而且它會從系統內容連線，以確保在先前列出的URL中允許匿名流量。

注意事項 Microsoft不提供Proxy伺服器。

這些URL可透過您設定的Proxy伺服器來存取。

MicrosoftMonitoringAgent(MMA)-舊版Windows用戶端或WindowsServer的Proxy和防火牆需求 必須要有Proxy和防火牆組態資訊清單中的資訊，才能與LogAnalytics代理程式通訊，(通常稱為舊版Windows的MicrosoftMonitoringAgent)，例如Windows7SP1、Windows8.1和WindowsServer2008R2*。

代理程式資源 連接埠 方向 略過HTTPS檢查 *.ods.opinsights.azure.com 連接埠443 出埠 是 *.oms.opinsights.azure.com 連接埠443 出埠 是 *.blob.core.windows.net 連接埠443 出埠 是 *.azure-automation.net 連接埠443 出埠 是 注意事項 *這些連線需求適用于先前的WindowsServer2016適用於端點的MicrosoftDefender，以及需要MMA的WindowsServer2012R2。

使用新的整合解決方案將這些作業系統上線的指示位於將Windows伺服器上線，或在適用於端點的MicrosoftDefender的伺服器移轉案例中移轉至新的整合解決方案。

注意事項 作為雲端式解決方案，IP範圍可能會變更。

建議您移至DNS解析設定。

確認MicrosoftMonitoringAgent(MMA)服務URL需求 請參閱下列指引，以在使用舊版Windows的MicrosoftMonitoringAgent(MMA)時，消除特定環境的萬用字元(*)需求。

使用MicrosoftMonitoringAgent(MMA將先前的作業系統上線)至適用于端點的Defender(，如需詳細資訊，請參閱在適用于端點的Defender上將舊版Windows上線，並將Windows伺服器上線)。

確定電腦已成功向Microsoft365Defender入口網站回報。

從「C：\ProgramFiles\MicrosoftMonitoringAgent\Agent」執行TestCloudConnection.exe工具來驗證連線能力，以及取得特定工作區所需的URL。

請查看適用於端點的MicrosoftDefenderURL清單，以取得您區域需求的完整清單(請參閱服務URL試算表)。

在*.ods.opinsights.azure.com、*.oms.opinsights.azure.com和*.agentsvc.azure-automation.netURL端點中使用的萬用字元(*)可以取代為您的特定工作區識別碼。

工作區識別碼專屬於您的環境和工作區。

您可以在租使用者的[上線]區段中找到Microsoft365Defender入口網站。

*.blob.core.windows.netURL端點可以取代為測試結果的[防火牆規則：*.blob.core.windows.net]區段中顯示的URL。

注意事項 若要透過雲端MicrosoftDefender上線，可以使用多個工作區。

您必須在每個工作區(的上線電腦上執行TestCloudConnection.exe程式，以判斷工作區)之間的*.blob.core.windows.netURL是否有任何變更。

確認用戶端連線至適用於端點的MicrosoftDefender服務URL 確認Proxy設定已順利完成。

然後，WinHTTP可以探索並透過您環境中的Proxy伺服器進行通訊，然後Proxy伺服器會允許流向適用于端點的Defender服務URL的流量。

將適用於端點的MicrosoftDefender用戶端分析器工具下載到執行適用于端點的Defender感應器所在的電腦。

針對舊版伺服器，請使用最新的預覽版本來下載適用於端點的MicrosoftDefender用戶端分析器工具Beta。

擷取裝置上MDEClientAnalyzer.zip的內容。

開啟提高權限的命令列： 轉至[開始]並鍵入「cmd」。

以滑鼠右鍵按一下[命令提示字元]，然後選取[以系統管理員身分執行]。

輸入以下命令，再按Enter： HardDrivePath\MDEClientAnalyzer.cmd 將HardDrivePath取代為下載MDEClientAnalyzer工具的路徑。

例如： C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd 此工具會建立並擷取資料夾中要在HardDrivePath中使用的MDEClientAnalyzerResult.zip檔。

開啟MDEClientAnalyzerResult.txt，並確認您已執行Proxy設定步驟，以啟用伺服器探索和存取服務URL。

此工具會檢查適用于端點的Defender服務URL的連線能力。

確定適用于端點的Defender用戶端已設定為互動。

此工具會針對每個可能用來與適用于端點的Defender服務通訊的URL，將結果列印在MDEClientAnalyzerResult.txt檔案中。

例如： TestingURL:https://xxx.microsoft.com/xxx 1-Defaultproxy:Succeeded(200) 2-Proxyautodiscovery(WPAD):Succeeded(200) 3-Proxydisabled:Succeeded(200) 4-Namedproxy:Doesn'texist 5-Commandlineproxy:Doesn'texist 如果任何一個連線選項傳回(200)狀態，則適用于端點的Defender用戶端可以使用此連線方法正確地與測試的URL通訊。

但是，如果連線檢查結果顯示失敗，則會顯示HTTP錯誤(請參閱HTTP狀態碼)。

然後，您可以使用在Proxy伺服器中啟用適用于端點的Defender服務URL存取中所示表格中的URL。

可用的URL將取決於上執行緒序期間選取的區域。

注意事項 連線分析器工具的雲端連線能力檢查與攻擊面縮小規則封鎖源自PSExec和WMI命令的進程建立不相容。

您必須暫時停用此規則，才能執行連線工具。

或者，您可以在執行分析器時暫時新增ASR排除專案。

在登錄中或透過群組原則設定TelemetryProxyServer時，適用于端點的Defender會回復，而無法存取定義的Proxy。

相關文章 使用群組原則設定來設定和管理MicrosoftDefender防毒軟體 將Windows裝置上線 針對適用於端點的MicrosoftDefender上線問題進行疑難排解 本文內容