Microsoft终结点技术使用 Microsoft Windows HTTP (WinHTTP) 来报告数据并与 Microsoft 终结点云服务通信。 嵌入服务使用 LocalSystem 帐户在系统上下文中运行。
提示
对于使用正向代理作为 Internet 网关的组织,可以使用网络保护来调查代理背后的情况。 有关详细信息,请参阅调查正向代理背后发生的连接事件。
WinHTTP 配置设置独立于 Windows Internet (WinINet) Internet 浏览代理设置,并且只能使用以下自动发现方法来发现代理服务器:
透明代理
Web 代理自动发现协议 (WPAD)
注意
如果在网络拓扑中使用透明代理或 WPAD,则不需要特殊的配置设置。 有关代理中 Defender for Endpoint URL 排除的更多信息,请参阅在代理服务器中启用对 Defender for Endpoint 云服务 URL 的访问。
手动静态代理配置:
- 基于注册表的配置
- 使用 netsh 命令配置的 WinHTTP – 仅适用于稳定拓扑中的桌面(例如:同一代理后面的公司网络中的桌面)
使用基于注册表的静态代理手动配置代理服务器
对于不允许连接到 Internet 的端点设备,需要配置基于注册表的静态代理。 您需要将其配置为仅允许 Microsoft Endpoint DLP 报告诊断数据并与 Microsoft Endpoint 云服务通信。
静态代理可以通过组策略 (GP) 配置。 可以在以下位置找到组策略:
打开 管理模板 > Windows 组件 > 数据收集和预览版本 > 为连接的用户体验和遥测服务配置经过身份验证的代理用法
将其设置为“已启用”,然后选择 禁止使用经验证的代理:
打开 管理模板 > Windows 组件 > 数据收集和预览版本 > 配置连接的用户体验和遥测:
配置代理
策略将注册表项
HKLM\Software\Policies\Microsoft\Windows\DataCollection下的两个注册表值TelemetryProxyServer设置为 REG\u SZ,DisableEnterpriseAuthProxy设置为 REG\u DWORD。注册表值 TelemetryProxyServer 采用此格式 <的服务器名称或 ip>:<port>。 例如:10.0.0.6:8080
此注册表值
DisableEnterpriseAuthProxy应当设置为 1。
使用“netsh”命令手动配置代理服务器
使用 netsh 配置系统范围的静态代理。
注意
这将影响所有应用程序,包括使用带默认代理的 WinHTTP 的 Windows 服务。 -正在改变拓扑的笔记本电脑(例如:从办公室到家)将出现 netsh 故障。 使用基于注册表的静态代理配置。
打开提升的命令行:
- 转到“开始”并键入“cmd”
- 右键单击“命令提示符”,然后选择“以管理员身份运行”。
输入以下命令,再按 Enter:
netsh winhttp set proxy <proxy>:<port>例如:netsh winhttp set proxy 10.0.0.6:8080
要重置 winhttp 代理,请输入以下命令并按 Enter 键:
netsh winhttp reset proxy
若要了解详细信息。,请参见 Netsh 命令语法、上下文和格式。
在代理服务器中启用对端点 DLP 云服务 URL 的访问
如果代理或防火墙在默认情况下阻止所有通信,并且只允许特定域通过,请将可下载工作表中列出的域添加到允许的域列表中。
此可下载的电子表格列出了网络必须能够连接到的服务及其关联的 URL。 应该确保没有防火墙或网络过滤规则会拒绝访问这些 URL,或者可能需要专门为它们创建允许规则。
如果代理或防火墙启用了 HTTPS 扫描(SSL 检查),则从 HTTPS 扫描中排除上表中列出的域。 如果代理或防火墙阻止匿名通信,因为端点 DLP 是从系统上下文连接的,请确保前面列出的 URL 中允许匿名通信。
验证客户端与 Microsoft 云服务 URL 的连接
验证代理配置是否成功完成,WinHTTP 是否可以在你的环境中发现代理服务器并通过代理服务器进行通信,以及代理服务器是否允许到 Defender for Endpoint 服务 URL 的通信。
将 MDATP 客户端分析器工具下载到运行端点 DLP 的电脑上。
提取设备上 MDATPClientAnalyzer.zip 的内容。
打开提升的命令行:
- 转到“开始”并键入“cmd”。
- 右键单击“命令提示符”,然后选择“以管理员身份运行”。
输入以下命令,再按 Enter:
HardDrivePath\MDATPClientAnalyzer.cmd例如,用下载 MDATPClientAnalyzer 工具的路径替换 HardDrivePath
C:\Work\tools\MDATPClientAnalyzer\MDATPClientAnalyzer.cmd
提取在 HardDrivePath 中使用的文件夹中的工具创建的 MDATPClientAnalyzerResult.zip* 文件。
打开 MDATPClientAnalyzerResult.txt 并验证是否已执行代理配置步骤以启用服务器发现和对服务 URL 的访问。 该工具检查 Defender for Endpoint 客户端配置为与之交互的 Defender for Endpoint 服务 URL 的连接性。 然后,它将结果打印到每个可能用于与 Defender for Endpoint 服务进行通信的 URL 的 MDATPClientAnalyzerResult.txt 文件中。 例如:
Testing URL: https://xxx.microsoft.com/xxx 1 - Default proxy: Succeeded (200) 2 - Proxy auto discovery (WPAD): Succeeded (200) 3 - Proxy disabled: Succeeded (200) 4 - Named proxy: Doesn't exist 5 - Command-line proxy: Doesn't exist
如果至少有一个连接选项返回 (200) 状态,则 Defender for Endpoint 客户端可以使用此连接方法与测试的 URL 正确通信。
但是,如果连接检查结果显示失败,则会显示 HTTP 错误(请参阅 HTTP 状态代码)。 然后可以使用启用对端点 DLP 云服务 URL 的访问中所示的表中的 URL。 你将使用的 URL 将取决于载入过程中选择的区域。
注意
连接分析器工具与攻击面减少规则不兼容,阻止源自 PSExec 和 WMI 命令的进程创建。 需要暂时禁用此规则才能运行连接工具。
在注册表中或通过组策略设置 TelemetryProxyServer 时,如果 Defender for Endpoint 无法访问定义的代理,它将回退到 direct。 相关主题:
- 载入 Windows 10 设备
- Microsoft Endpoint DLP 登录问题疑难解答