Configurare le impostazioni di connessione Internet e proxy del dispositivo per la prevenzione della perdita dei dati dell'endpoint Microsoft Purview

Le tecnologie microsoft endpoint usano Microsoft Windows HTTP (WinHTTP) per segnalare i dati e comunicare con il servizio cloud degli endpoint Microsoft. Il servizio incorporato viene eseguito nel contesto di sistema utilizzando l'account LocalSystem.

Consiglio

Per le organizzazioni che usano i proxy come porta di accesso a Internet, è possibile usare la protezione della rete per esaminare gli eventi che si verificano dietro un proxy. Per altre informazioni, vedere Esaminare gli eventi di connessione che si verificano dietro i proxy di inoltro.

L'impostazione di configurazione WinHTTP è indipendente dalle impostazioni del proxy di esplorazione Internet (WinINet) di Windows Internet e può solo individuare un server proxy usando i metodi di individuazione automatica seguenti:

  • Proxy trasparente

  • Protocollo Web Proxy Auto-discovery (WPAD)

    Nota

    Se nella topologia di rete si usa un proxy trasparente o WPAD, non sono necessarie impostazioni di configurazione speciali. Per ulteriori informazioni sulle esclusioni URL nel proxy di Microsoft Defender per Endpoint, vedere Abilitare l'accesso agli URL del servizio cloud della Prevenzione della perdita dei dati degli endpoint nel server proxy.

  • Configurazione manuale del proxy statico:

    • Configurazione basata sul registro
    • WinHTTP configurato utilizzando il comando netsh. Questo è adatto solo per desktop in una topologia stabile (ad esempio: un desktop in una rete aziendale dietro lo stesso proxy)

Configurare manualmente il server proxy con un proxy statico basato sul registro

Per i dispositivi endpoint a cui non è consentito connettersi a Internet, è necessario configurare un proxy statico basato sul registro. È necessario configurare il proxy statico basato sul Registro di sistema per consentire solo a Microsoft Endpoint DLP di segnalare i dati di diagnostica e comunicare con il servizio cloud degli endpoint Microsoft.

Il proxy statico è configurabile tramite Criteri di gruppo. Le impostazioni Criteri di gruppo sono disponibili in:

  1. Aprire Modelli > amministrativi Raccolta dati componenti > windows e versioni di > anteprima Configurare l'utilizzo del proxy autenticato per il servizio Esperienza utente connessa e telemetria

  2. Impostarlo su Abilitato e selezionare Disabilita uso proxy autenticato:

    Screenshot dell'impostazione Criteri di gruppo per disabilitare l'utilizzo del proxy autenticato per il servizio Esperienza utente connessa e telemetria.

  3. Aprire Modelli > amministrativi Raccolta dati componenti > di Windows e Build > di anteprima Configurare esperienze utente connesse e dati di telemetria:

    Configurare il proxy inverso

    Screenshot dell'impostazione Criteri di gruppo per configurare il server proxy di telemetria per le esperienze utente connesse.

    Il criterio imposta due valori di registroTelemetryProxyServer come REG_SZ e DisableEnterpriseAuthProxy REG_DWORD nella chiave di registroHKLM\Software\Policies\Microsoft\Windows\DataCollection.

    Il valore del Registro di sistema TelemetryProxyServer è in questo formato <nome server o ip>:<porta>. Ad esempio: 10.0.0.6:8080

    Il valore del registro DisableEnterpriseAuthProxy deve essere impostato su 1.

Configurare manualmente il server proxy con il comando "netsh"

Usare netsh per configurare un proxy statico a livello di sistema.

Nota

Questa operazione avrà effetto su tutte le applicazioni, inclusi i servizi di Windows che usano WinHTTP con proxy predefinito. I portatili che stanno cambiando la topologia, ad esempio da Office a Home, non funzioneranno con netsh. È consigliabile usare la configurazione del proxy statico basata sul registro.

  1. Aprire un prompt dei comandi con privilegi elevati:

    1. Passare a Start e digitare cmd
    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
  2. Immettere il comando indicato di seguito e premere INVIO:

    netsh winhttp set proxy <proxy>:<port>

    Ad esempio: netsh winhttp set proxy 10.0.0.6:8080

  3. Per reimpostare il proxy winhttp, immettere il comando indicato di seguito e premere INVIO:

    netsh winhttp reset proxy

Per altre informazioni, vedere Sintassi comando netsh, contesti e formattazione.

Abilitare l'accesso agli URL del servizio cloud della Prevenzione della perdita dei dati degli endpoint nel server proxy

Se un proxy o un firewall blocca tutto il traffico per impostazione predefinita e consente solo domini specifici, aggiungere i domini elencati nel foglio di calcolo URL del servizio Microsoft Defender per endpoint all'elenco dei domini consentiti.

Questo foglio di calcolo Microsoft Defender per endpoint URL del servizio elenca i servizi e gli URL associati a cui la rete deve essere in grado di connettersi. È necessario assicurarsi che non ci siano regole di filtro di rete o firewall che neghino l'accesso a questi URL, altrimenti potrebbe essere necessario creare una regola specifica per consentirgli l’accesso.

Se un proxy o un firewall ha abilitato l'analisi HTTPS (ispezione SSL), escludere i domini elencati nel foglio di calcolo URL del servizio Microsoft Defender per endpoint dall'analisi HTTPS. Se un proxy o un firewall blocca il traffico anonimo, perché la Prevenzione della perdita dei dati degli endpoint si connette dal contesto di sistema, assicurarsi che il traffico anonimo sia consentito negli URL elencati in precedenza.

Verificare la connettività client agli URL dei servizi cloud Microsoft.

Verificare che la configurazione del proxy sia stata completata correttamente, che WinHTTP possa individuare e comunicare attraverso il server proxy nell’ambiente e che il server proxy consenta il traffico agli URL del servizio Defender per Endpoint.

  1. Scaricare lostrumento MDATP Client Analyzer nel PC in cui è in esecuzione la Prevenzione della perdita dei dati degli endpoint.

  2. Estrarre il contenuto di MDATPClientAnalyzer.zip nel dispositivo.

  3. Aprire un prompt dei comandi con privilegi elevati:

    1. Passare a Start e digitare cmd.
    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.
  4. Immettere il comando indicato di seguito e premere INVIO:

    HardDrivePath\MDATPClientAnalyzer.cmd

    Sostituire HardDrivePath con il percorso in cui è stato scaricato lo strumento MDATPClientAnalyzer, ad esempio

    C:\Work\tools\MDATPClientAnalyzer\MDATPClientAnalyzer.cmd

  5. Estrarre il file MDATPClientAnalyzerResult.zip* creato dallo strumento nella cartella usata in HardDrivePath.

  6. Aprire MDATPClientAnalyzerResult.txt e verificare di avere eseguito la procedura di configurazione del proxy per abilitare l'individuazione del server e l'accesso agli URL di servizio. Lo strumento controlla la connettività degli URL del servizio Defender per Endpoint con cui è configurato per interagire. Quindi immette i risultati per ogni URL che potrebbe essere potenzialmente utilizzato per comunicare con il servizio Defender per l'endpoint nel file MDATPClientAnalyzerResult.txt. Ad esempio:

    Testing URL: https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command-line proxy: Doesn't exist
    

Se almeno una delle opzioni di connettività restituisce uno stato (200), il client Defender per Endpoint può comunicare correttamente con l'URL testato usando questo metodo di connettività.

Tuttavia, se i risultati del controllo di connettività indicano un errore, viene visualizzato un errore HTTP (vedere Codici di stato HTTP). È quindi possibile usare gli URL elencati in Abilitare l'accesso agli URL del servizio cloud Endpoint DLP nel server proxy. Gli URL usati variano a seconda dell'area selezionata durante la procedura di onboarding.

Nota

Lo strumento di analisi della connettività non è compatibile con la regola di riduzione della superficie di attacco Bloccare le creazioni di processi provenienti dai comandi PSExec e WMI. È necessario disabilitare temporaneamente questa regola per eseguire lo strumento di connettività.

Quando TelemetryProxyServer è impostato, nel Registro o tramite Criteri di Gruppo, Defender for Endpoint ricade in modalità diretta se non può accedere al proxy definito. Argomenti correlati:

  • Eseguire l'onboarding di dispositivi Windows 10
  • Risoluzione dei problemi di onboarding della prevenzione della perdita dei dati degli endpoint Microsoft

Vedere anche

Per informazioni correlate, vedere gli articoli seguenti: