Veröffentlicht von Bei der Verwendung von Windows Defender, welche Proxy Konfiguration gewinnt?
In einem anderen Artikel werde ich mich mal dem Thema Proxy.Pac, WPAD.DAT und WinHTTP Proxy widmen. Um zu entscheiden, wie sich ein Windows Defender for Endpoint verbindet, braucht es einiges an Tests und eine gute Dokumentation.
Brian Baldock von Microsoft hat dies in zwei sehr guten Artikeln im Detail getan. Da dies Tage an Aufwand bedeuten würde, werde ich euch das Ergebnis zusammenfassen und auf die beiden Artikel hier direkt verweisen.
Disconnected environments, proxies and Microsoft Defender for Endpoint
Defender for Endpoint and disconnected environments. Which proxy configuration wins?
Seine Testumgebung beinhaltet 4 Systeme:
WORKSTATION (172.16.11.92/32) – Workstation for tests
PROX01 (172.16.12.10/32) – Receives WinHTTP configured traffic (SYSTEM)
PROX02 (172.16.12.11/32) – Receives WinINET configured traffic (User session, unauthenticated)
PROX03 (172.16.12.12/32) – Receives Static Proxy configured traffic (TelemetryProxyServer)
Er hat die Funktionalität mit dem “Client Analyzer Script getestet”, das ich hier beschrieben habe.
Die einzelnen Tests aller Varianten und Kombinationen schaut euch bitte in den beiden Links oben an. Zusammenfassend kann aber gesagt werden, dass nur die Kombination von WinINET und Static Proxy zu einem vollständigen Funktionsumfang führt, d.h. es sollte eine spezielle Proxy Config über die Registry (GPO, Script,…) für den Windows Defender umgesetzt werden. Diese beschreibt Microsoft hier und bei WinINET handelt es sich um die Einstellungen im “Internet Explorer / Windows 10 und 11 Proxy Setup”. Auch diese kann man über Registry, GPO konfigurieren oder automatische DNS / DHCP basierte Techniken.
