ШАГ 1. Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Перед подключением устройств к Defender для конечной точки убедитесь, что сеть настроена для подключения к службе, разрешив исходящее подключение и минуя проверку HTTPS для URL-адресов службы. Первый шаг этого процесса включает добавление URL-адресов в список разрешенных доменов, если прокси-сервер или правила брандмауэра запрещают доступ к Defender для конечной точки. В этой статье также содержатся сведения о требованиях к прокси-серверу и брандмауэру для более старых версий клиента Windows и Windows Server.
Примечание.
- После 8 мая 2024 г. вы можете сохранить упрощенное подключение (объединенный набор URL-адресов) в качестве метода подключения по умолчанию или перейти на стандартную версию подключения (параметры > конечных > точек Дополнительные функции). Для подключения через Intune или Microsoft Defender для облака необходимо активировать соответствующий параметр. Устройства, уже подключенные, не повторно подключены автоматически. В таких случаях создайте новую политику в Intune, где рекомендуется сначала назначить ее набору тестовых устройств, чтобы убедиться в успешности подключения, а затем расширить аудиторию. Устройства в Defender для облака можно повторно подключить с помощью соответствующего сценария подключения, в то время как новые подключенные устройства автоматически получат упрощенное подключение.
- Новый объединенный домен *.endpoint.security.microsoft.com должен быть доступен для всех устройств для текущей и будущей функциональности независимо от того, будете ли вы продолжать использовать стандартное подключение.
- В новых регионах по умолчанию будет упрощено подключение и не будет возможности понижения до уровня "Стандартный". Дополнительные сведения см. в статье Подключение устройств с помощью упрощенных подключений для Microsoft Defender для конечной точки.
Включить доступ к URL-адресам службы Microsoft Defender для конечной точки на прокси-сервере
В следующей скачиваемой электронной таблице перечислены службы и связанные с ними URL-адреса, к которым должны подключаться устройства в вашей сети. Убедитесь в отсутствии правил брандмауэра или фильтрации сети, запрещающих доступ для этих URL-адресов. При необходимости может потребоваться создать правило разрешения специально для них.
| Таблица списка доменов | Описание |
|---|---|
| Microsoft Defender для конечной точки консолидированный список URL-адресов (упрощенный) | Электронная таблица объединенных URL-адресов. Скачайте электронную таблицу здесь. Применимая ОС: Полный список см. в статье Об упрощении подключения. - Windows 10 1809+ — Windows 11 — Windows Server 2019 — Windows Server 2022 — Windows Server 2012 R2 Windows Server 2016 R2 с современным унифицированным решением Defender для конечной точки (требуется установка с помощью MSI). — поддерживаемые версии macOS под управлением 101.23102.* + — Поддерживаемые версии Linux под управлением 101.23102.* + Минимальные версии компонентов: — Антивредоносный клиент: 4.18.2211.5 — Двигатель: 1.1.19900.2 — Аналитика безопасности: 1.391.345.0 — Версия Xplat: 101.23102.* + - Версия датчика/ КБ: >10.8040.*/ 8 марта 2022 г. + Если вы перемещаете ранее подключенные устройства с упрощенным подходом, см. раздел Миграция подключения устройств. Windows 10 версии 1607, 1703, 1709, 1803 (RS1-RS4) поддерживаются с помощью упрощенного пакета подключения, но требуют более длинного списка URL-адресов (см. обновленный лист URL-адресов). Эти версии не поддерживают повторное подключение (сначала необходимо полностью отключить подключение). Устройства под управлением Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, серверы, не обновленные до единого агента (MMA), должны продолжать использовать метод подключения MMA. |
| Microsoft Defender для конечной точки список URL-адресов для коммерческих клиентов (стандартный) | Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для коммерческих клиентов. Microsoft Defender для конечной точки план 1 и план 2 используют одни и те же URL-адреса прокси-службы. В брандмауэре откройте все URL-адреса, для которых значение столбца географии — WW. Для строк, в которых значение столбца географии не WW, откройте URL-адреса для конкретного расположения данных. Чтобы проверить параметр расположения данных, см. статью Проверка места хранения данных и обновление параметров хранения данных для Microsoft Defender для конечной точки.. Не исключайте URL-адрес |
| Список URL-адресов Microsoft Defender для конечной точки для Gov/GCC/DoD | Таблица определенных записей DNS для местоположений служб, географических местоположений и ОС для клиентов Gov/GCC/DoD. Скачайте таблицу здесь. |
Важно!
- Connections выполняются из контекста операционной системы или клиентских служб Defender, и поэтому прокси-серверы не должны требовать проверки подлинности для этих назначений или выполнять проверку (проверку HTTPS или проверку SSL), которая нарушает безопасный канал.
- Корпорация Майкрософт не предоставляет прокси-сервер. Эти URL-адреса доступны через настроенный прокси-сервер.
- В соответствии со стандартами безопасности и соответствия Defender для конечной точки ваши данные будут обрабатываться и храниться в соответствии с физическим расположением вашего клиента. В зависимости от расположения клиента трафик может проходить через любой из связанных IP-регионов (которые соответствуют регионам центра обработки данных Azure). Дополнительные сведения см. в статье Хранение данных и конфиденциальность.
Microsoft Monitoring Agent (MMA) — дополнительные требования к прокси-серверу и брандмауэру для более старых версий клиента Windows или Windows Server
Следующие назначения необходимы, чтобы разрешить обмен данными Defender для конечной точки через агент Log Analytics (часто называемый microsoft Monitoring Agent) в Windows 7 с пакетом обновления 1 (SP1), Windows 8.1 и Windows Server 2008 R2.
| Ресурсы агентов | Порты | Направление | Обход проверки HTTP |
|---|---|---|---|
*.ods.opinsights.azure.com |
Порт 443 | Исходящий | Да |
*.oms.opinsights.azure.com |
Порт 443 | Исходящий | Да |
*.blob.core.windows.net |
Порт 443 | Исходящий | Да |
*.azure-automation.net |
Порт 443 | Исходящий | Да |
Чтобы определить точные назначения, используемые для подписки в перечисленных выше доменах, см. статью Подключения к URL-адресу службы Microsoft Monitoring Agent (MMA).
Примечание.
Службы, использующие решения на основе MMA, не могут использовать новое упрощенное решение для подключения (консолидированный URL-адрес и возможность использования статических IP-адресов). Для Windows Server 2016 и Windows Server 2012 R2 необходимо обновить новое унифицированное решение. Инструкции по подключению этих операционных систем к новому унифицированному решению см. в статье Подключение серверов Windows или миграция уже подключенных устройств в новое единое решение в сценарии миграции сервера в Microsoft Defender для конечной точки.
Для устройств без доступа к Интернету / без прокси-сервера
Для устройств без прямого подключения к Интернету рекомендуется использовать прокси-решение. В определенных случаях можно использовать устройства брандмауэра или шлюза, которые разрешают доступ к диапазонам IP-адресов. Дополнительные сведения см. в статье Упрощенное подключение устройств.
Важно!
- Microsoft Defender для конечной точки — это облачное решение для обеспечения безопасности. "Подключение устройств без доступа к Интернету" означает, что доступ к Интернету для конечных точек должен быть настроен через прокси-сервер или другое сетевое устройство, а разрешение DNS всегда требуется. Microsoft Defender для конечной точки не поддерживает конечные точки без прямого или прокси-подключения к облачным службам Defender. Рекомендуется использовать конфигурацию прокси-сервера для всей системы.
- Windows или Windows Server в отключенных средах должны иметь возможность обновлять доверие сертификатов Списки автономно через внутренний файл или веб-сервер.
- Дополнительные сведения об обновлении списков ctls в автономном режиме см. в разделе Настройка файла или веб-сервера для скачивания файлов CTL.