檢查用戶端是否能夠使用適用於端點的 Defender 用戶端分析器連線到適用於端點的 Defender 服務 URL,以確保端點能夠將遙測與服務通訊。
如需適用於端點的 Defender 用戶端分析器的詳細資訊,請參閱 使用 適用於端點的 Microsoft Defender 用戶端分析器針對感應器健康情況進行疑難排解。
注意事項
您可以在上線之前和上線之後,在裝置上執行適用於端點的 Defender 用戶端分析器。
- 在上線至適用於端點的 Defender 的裝置上進行測試時,工具會使用上線參數。
- 在尚未上線至適用於端點的 Defender 的裝置上進行測試時,工具會使用美國、英國和歐盟的預設值。
針對簡化連線所提供的合併服務 URL, (新租用戶的預設值) ,當測試尚未上線至適用於端點的 Defender 的裝置時,mdeclientanalyzer.cmd請使用-o <path to MDE onboarding package >執行。 此命令會使用上線指令碼中的地理參數來測試連線能力。 否則,預設的預先上線測試會針對標準URL集執行。 如需詳細資訊,請參閱下一節。
確認 Proxy 設定已成功完成。 然後,WinHTTP 可以透過環境中的 Proxy 伺服器探索和通訊,然後 Proxy 伺服器允許適用於端點的 Defender 服務 URL 的流量。
下載執行適用於端點的 Defender 感應器的適用於端點的 Microsoft Defender 用戶端分析器工具。
提取設備上 MDEClientAnalyzer.zip 的內容。
開啟提高權限的命令列:
- 轉至 [開始] 並鍵入「cmd」。
- 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
輸入以下命令,再按 Enter:
HardDrivePath\MDEClientAnalyzer.cmd將 HardDrivePath 取代為下載 MDEClientAnalyzer 工具的路徑。 例如:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd該工具在文件夾中創建並解壓縮要在 HardDrivePath 中使用的 MDEClientAnalyzerResult.zip 文件。
開啟 MDEClientAnalyzerResult.txt 並確認您已執行 Proxy 設定步驟,以啟用伺服器探索和服務 URL 的存取。
此工具會檢查適用於端點的 Defender 服務 URL 的連線能力。 請確定適用於端點的 Defender 用戶端已設定為互動。 此工具會在每個 URL 的 MDEClientAnalyzerResult.txt 檔案中列印結果,這些 URL 可能可用來與適用於端點的 Defender 服務通訊。 例如:
Testing URL : https://xxx.microsoft.com/xxx 1 - Default proxy: Succeeded (200) 2 - Proxy auto discovery (WPAD): Succeeded (200) 3 - Proxy disabled: Succeeded (200) 4 - Named proxy: Doesn't exist 5 - Command line proxy: Doesn't exist
如果任何一個連線選項傳回 (200) 狀態,則適用於端點的 Defender 用戶端可以使用此連線方法正確與測試的 URL 通訊。
但是,如果連線檢查結果顯示失敗,則會顯示 HTTP 錯誤 (請參閱 HTTP 狀態碼)。 然後,您可以使用在 Proxy 伺服器中啟用適用於端點的 Defender 服務 URL 的存取中顯示的資料表中的 URL。 可供使用的 URL 取決於在上線程式期間選取的區域。
注意事項
連線分析器工具的雲端連線檢查與受攻擊面縮小規則不相容 封鎖 源自 PSExec 和 WMI 命令的進程建立。 您必須暫時停用此規則,才能執行連線工具。 或者,您可以在執行分析器時暫時新增 ASR 排除 項目。
在登錄中或透過群組原則設定 TelemetryProxyServer 時,適用於端點的 Defender 將會回復,無法存取已定義的 Proxy。
測試與簡化的上線方法的連線能力
如果您要在尚未上線至適用於端點的 Defender 的裝置上測試連線能力,則使用簡化的方法 (與新裝置和移轉裝置相關的) :
下載相關作業系統的簡化上線套件。
從上線套件中提取.cmd。
請依照上一節中的指示下載用戶端分析器。
從 MDEClientAnalyzer 資料夾內執行
mdeclientanalyzer.cmd -o <path to onboarding cmd file>。 此命令會使用上線指令碼中的地理參數來測試連線能力。
如果您要使用簡化的上線套件在上線至適用於端點的 Defender 的裝置上測試連線能力,請照常執行適用於端點的 Defender 用戶端分析器。 此工具會使用已設定的上線參數來測試連線能力。
如需如何存取簡化的上線腳本的詳細資訊,請參閱 使用簡化的裝置連線上線裝置。
Microsoft MMA) 服務 URL 連線 (Monitoring Agent
請參閱下列指引,以消除在舊版 Windows 中使用 Microsoft Monitoring Agent (MMA) 時,特定環境的萬用字元 (*) 需求。
使用 Microsoft 監視代理程式將先前的作業系統 (MMA) 上線至適用於端點的 Defender。 如需詳細資訊,請參閱 上線 Windows Server 2016 和 Windows Server 2012 R2。
請確定計算機已成功報告至 Microsoft Defender 入口網站。
執行 TestCloudConnection.exe
C:\Program Files\Microsoft Monitoring Agent\Agent工具以驗證連線能力,並取得特定工作區所需的 URL。請查看適用於端點的 Microsoft Defender URL 清單,以取得您所在地區的需求完整清單 (請參閱服務 URL 試算表) 。
、 和 *.oms.opinsights.azure.com*.agentsvc.azure-automation.net URL 端點中使用的*.ods.opinsights.azure.com萬用字元 (*) 可以取代為您的特定工作區 ID。 工作區識別碼是您的環境和工作區特有的。 您可以在 Microsoft Defender 入口網站內租使用者的 [上線] 區段中找到它。
*.blob.core.windows.net URL 端點可以替換為測試結果的「防火牆規則:*.blob.core.windows.net」部分中顯示的 URL。
注意事項
如果透過適用於雲端的 Microsoft Defender 上線,可以使用多個工作區。 您必須從每個工作區 (在已上線的電腦上執行 TestCloudConnection.exe 程序,以判斷工作區) 之間的 *.blob.core.windows.net URL 是否有任何變更。