Перейти до змісту

Налаштування проксі

Falcon сенсор для Windows підтримує роботу через проксі-сервери для підключення до хмари CrowdStrike. Цей документ описує підтримувані конфігурації проксі та методи налаштування.

Підтримувані конфігурації

Сенсор Falcon для Windows підтримує наступні методи налаштування проксі:

  • Ручне вказування глобального проксі URL через Group Policy або ручне налаштування
  • Ручне вказування PAC файлу через Group Policy або ручне налаштування
  • WPAD (Web Proxy Auto-Discovery) з автовиявленням PAC файлу через DHCP або DNS
  • Проксі-специфічні налаштування для сенсора через параметри інсталяції

Важливо

CrowdStrike НЕ підтримує аутентифікацію на проксі-сервері (Proxy Authentication). Якщо підключення через проксі не вдається, сенсор автоматично спробує пряме підключення.

Системні вимоги

Для роботи через проксі на хості повинні бути встановлені та запущені наступні служби:

  • WinHTTP AutoProxy - обов'язкова служба для роботи з проксі
  • DHCP Client - якщо використовується Web Proxy Automatic Discovery (WPAD) через DHCP

Порядок виявлення проксі

Підключення до хмари CrowdStrike відбувається у два етапи: (1) виявлення проксі та (2) підключення. Сенсор перевіряє налаштування проксі у наступному порядку:

  1. Проксі для сенсора - налаштування, вказані через параметри інсталяції APP_PROXYNAME та APP_PROXYPORT
  2. IE Proxy Settings - налаштування з Local Area Network (LAN) Settings у розділі "Proxy Servers"
  3. PAC файл (інсталяція) - URL PAC файлу, вказаний через параметр PACURL під час інсталяції
  4. PAC файл (LAN Settings) - URL з налаштувань "Use automatic configuration script" у Local Area Network Settings
  5. Кешовані налаштування - збережені налаштування проксі з попередніх успішних підключень
  6. Windows WPAD - автоматичне виявлення проксі через Windows Proxy Auto-Discovery
  7. Пряме підключення - спроба прямого TCP/IP підключення без проксі
  8. DNS Lookup Fallback - використання таблиці DNS lookup для підключення

Примітка

Коли сенсор успішно підключається до проксі, він кешує hostname та port для подальшого використання.

Налаштування під час інсталяції

Метод 1: Вказування проксі сервера

Для налаштування конкретного проксі-сервера використовуйте параметри APP_PROXYNAME та APP_PROXYPORT:

FalconSensor_Windows.exe /install /quiet /norestart CID=<CCID> APP_PROXYNAME=proxy.example.com APP_PROXYPORT=8080

Де: - proxy.example.com - FQDN або IP-адреса проксі-сервера - 8080 - порт проксі-сервера

Обмеження

Цей метод не можна використовувати разом з параметром PACURL.

Метод 2: Використання PAC файлу

Для налаштування проксі через PAC (Proxy Auto-Configuration) файл використовуйте параметр PACURL:

FalconSensor_Windows.exe /install /quiet /norestart CID=<CCID> PACURL=http://proxy.example.com/proxy.pac

Обмеження

Цей метод не можна використовувати разом з параметрами APP_PROXYNAME та APP_PROXYPORT.

Метод 3: IE Proxy Detection

Якщо ваше середовище використовує IE proxy detection, встановіть сенсор з параметром ProvNoWait:

FalconSensor_Windows.exe /install /quiet /norestart CID=<CCID> ProvNoWait=1

Цей параметр дозволяє сенсору отримати налаштування проксі з реєстру користувача при наступному вході в систему.

Вимкнення проксі

Щоб примусово відключити використання проксі та підключатися напряму, використовуйте параметр PROXYDISABLE:

FalconSensor_Windows.exe /install /quiet /norestart CID=<CCID> PROXYDISABLE=1

Цей параметр змусить сенсор пропустити кроки 1-6 у порядку виявлення проксі та одразу спробувати пряме підключення (крок 7), а потім DnsLookup Fallback (крок 8).

Збільшення часу очікування підключення

Якщо вашому середовищу потрібно більше часу для встановлення з'єднання, використовуйте параметр ProvWaitTime:

FalconSensor_Windows.exe /install /quiet /norestart CID=<CCID> ProvWaitTime=3600000

Де 3600000 - час очікування в мілісекундах (у даному прикладі 1 година). За замовчуванням сенсор чекає 20 хвилин.

Коли використовувати

Цей параметр зазвичай використовується тільки за рекомендацією служби підтримки CrowdStrike. Він, як правило, не потрібен, оскільки сенсор може завершити інсталяцію навіть якщо не всі channel files можуть бути завантажені.

Перевірка налаштувань проксі

Через реєстр Windows

Налаштування проксі зберігаються в реєстрі Windows за наступним шляхом:

HKEY_LOCAL_MACHINE\SYSTEM\CrowdStrike\{9b03c1d9-3138-44ed-9fae-d9f4c034b88d}\{16e0423f-7058-48c9-a204-725362b67639}\Default

Параметри: - CsProxyHostname (REG_SZ) - hostname або IP-адреса проксі-сервера - CsProxyPort (REG_DWORD) - порт проксі-сервера

Через netstat

Для перевірки підключення до хмари CrowdStrike виконайте команду:

netstat.exe -f

Якщо сенсор підключений через проксі, ви побачите підключення до адреси проксі-сервера:

Active Connections

Proto  Local Address          Foreign Address        State
TCP    192.0.2.130:49790     proxy.example.com:8080  ESTABLISHED

Якщо проксі не використовується, ви побачите пряме підключення до IP-адреси хмари CrowdStrike:

TCP    192.0.2.130:49790     ec2-54-219-145-181.us-west-1.compute.amazonaws.com:https  ESTABLISHED

Усунення проблем

Сенсор не може підключитися через проксі

Якщо сенсор не може встановити з'єднання через проксі, перевірте наступне:

  1. Підключення до Інтернету
    Переконайтеся, що хост має доступ до Інтернету: 

    Test-NetConnection -ComputerName google.com -Port 443

  2. Конфігурація проксі
    Перевірте правильність налаштувань проксі-сервера (адреса, порт, доступність)

  3. Firewall на хості
    Переконайтеся, що firewall дозволяє трафік від сенсора Falcon до проксі-сервера та хмари CrowdStrike

  4. Служба LMHosts
    Перевірте, що служба LMHosts увімкнена. Вона може бути вимкнена, якщо відключена служба TCP/IP NetBIOS Helper: 

    Get-Service -Name lmhosts

  5. Довіра до сертифікатів CrowdStrike
    Переконайтеся, що хост довіряє центру сертифікації CrowdStrike (див. документацію про сертифікати)

Endpoint Firewall

Якщо на хості використовується endpoint firewall, він повинен бути налаштований для дозволу доступу до доменів CrowdStrike. Відомі продукти, які потребують додаткового налаштування:

  • Ad-Aware Pro Security
  • Avast Internet Security
  • AVG Internet Security
  • BITDEFENDER Total Security
  • Bullguard Internet Security
  • ESET NOD32 Smart Security
  • VIPRE Internet Security
  • ZoneAlarm Internet Security Suite

Deep Packet Inspection

Сенсор Falcon використовує certificate pinning для захисту від атак man-in-the-middle. Деякі мережеві конфігурації, такі як deep packet inspection, можуть перешкоджати перевірці сертифікатів.

Важливо

Вимкніть deep packet inspection (також відому як "HTTPS interception" або "TLS interception") для трафіку сенсора CrowdStrike. Типові джерела втручання в certificate pinning включають антивірусні системи, firewall або проксі-сервери.

Збільшення часу provisioning з ProvNoWait

Хости повинні залишатися підключеними до хмари CrowdStrike протягом усього процесу інсталяції. Якщо хост не може підключитися до хмари протягом 20 хвилин, інсталяція сенсора завершується невдачею.

Щоб дати хосту більше часу на підключення та виконати додаткові заходи з усунення несправностей, використовуйте параметр ProvNoWait=1:

FalconSensor_Windows.exe /install /quiet /norestart CID=<CCID> ProvNoWait=1

Сертифікати

Сенсор Falcon вимагає наявності певних сертифікатів у сховищі Trusted Root CA вашого хоста:

  • DigiCertHighAssuranceEVRootCA
  • DigiCertAssuredIDRootCA

Перевірка наявності сертифікатів

  1. Відкрийте Microsoft Management Console (MMC) та увімкніть snap-in Certificates (Local Computer)

  2. Перейдіть до Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates

  3. Перевірте наявність обох сертифікатів

Встановлення відсутніх сертифікатів

Якщо сертифікати відсутні:

  1. Завантажте відсутні сертифікати:
  2. DigiCertHighAssuranceEVRootCA

  3. DigiCertAssuredIDRootCA

  4. Імпортуйте сертифікат:

  5. Клацніть правою кнопкою миші на Certificates
  6. Виберіть All Tasks > Import
  7. Оберіть Local Machine, натисніть Next

  8. Знайдіть завантажений сертифікат та завершіть імпорт

  9. Повторіть для другого сертифіката, якщо потрібно

  10. Підтвердьте, що обидва сертифікати тепер присутні в Trusted Root Certification Authorities > Certificates

Автоматична перевірка

Починаючи з версії Falcon сенсора для Windows 6.18, інсталятор перевіряє наявність цих сертифікатів. Якщо вони відсутні та налаштування "Turn off Automatic Root Certificate Update" у Windows вимкнене, інсталятор спробує побудувати необхідний ланцюжок сертифікатів, що призведе до автоматичного встановлення відсутніх root CA.

Параметри інсталяції

Нижче наведена повна таблиця параметрів для налаштування проксі:

Параметр Опис Обмеження
APP_PROXYNAME=<proxy_host> FQDN або IP-адреса проксі-сервера Не можна використовувати з PACURL
APP_PROXYPORT=<port> Порт проксі-сервера Використовується разом з APP_PROXYNAME
PACURL=<pac_url> URL до PAC файлу Не можна використовувати з APP_PROXYNAME/APP_PROXYPORT
PROXYDISABLE=1 Вимкнути використання проксі та підключатися напряму -
ProvNoWait=1 Не переривати інсталяцію, якщо не вдається підключитися до хмари протягом 20 хвилин Використовується з IE proxy detection
ProvWaitTime=<milliseconds> Час очікування підключення до хмари (за замовчуванням 20 хвилин) Зазвичай використовується за рекомендацією Support

Додаткова підтримка

Для отримання додаткової допомоги з налаштування проксі:

  • Зверніться до вендора вашого проксі-сервера
  • Відкрийте тікет у CrowdStrike Support Portal
  • Надайте логи CSWinDiag для детального аналізу

Для збору діагностичних даних використовуйте утиліту CSWinDiag, доступну в консолі Falcon у розділі Support and resources > Resources and tools > Tool downloads.