Konfigurace a ověření síťových připojení aplikace Microsoft Defender Antivirus
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Antivirová ochrana v programu Microsoft Defender
Platformy
- Windows
Aby Microsoft Defender antivirová ochrana v cloudu fungovala správně, musí váš bezpečnostní tým nakonfigurovat vaši síť tak, aby umožňovala připojení mezi vašimi koncovými body a určitými servery Microsoftu. Tento článek obsahuje seznam připojení, která musí být povolená pro použití pravidel brány firewall. Obsahuje také pokyny pro ověření připojení. Správná konfigurace ochrany zajistí, že z cloudových služeb ochrany získáte nejlepší hodnotu.
Důležité
Tento článek obsahuje informace o konfiguraci síťových připojení pouze pro Microsoft Defender Antivirus. Pokud používáte Microsoft Defender for Endpoint (který zahrnuje Microsoft Defender Antivirus), přečtěte si téma Konfigurace nastavení proxy serveru zařízení a připojení k internetu pro Defender for Endpoint.
Povolení připojení ke cloudové službě Microsoft Defender Antivirus
Cloudová služba Microsoft Defender Antivirus poskytuje rychlou a silnou ochranu pro vaše koncové body. Povolení služby ochrany poskytované v cloudu je volitelné. doporučujeme Microsoft Defender antivirová cloudová služba, protože poskytuje důležitou ochranu před malwarem ve vašich koncových bodech a síti. Další informace najdete v tématu Povolení cloudové ochrany pro povolení služby s Intune, microsoft endpoint Configuration Manager, Zásady skupiny, rutinami PowerShellu nebo jednotlivými klienty v aplikaci Zabezpečení Windows.
Po povolení služby musíte nakonfigurovat síť nebo bránu firewall tak, aby umožňovaly připojení mezi sítí a vašimi koncovými body. Vzhledem k tomu, že vaše ochrana je cloudová služba, musí mít počítače přístup k internetu a musí mít přístup ke cloudovým službám Microsoftu. Nevylučujte adresu URL *.blob.core.windows.net z jakéhokoli druhu kontroly sítě.
Poznámka
Cloudová služba Microsoft Defender Antivirus poskytuje aktualizovanou ochranu vaší sítě a koncových bodů. Cloudová služba by neměla být považována pouze za ochranu vašich souborů uložených v cloudu. Místo toho cloudová služba používá distribuované prostředky a strojové učení k zajištění ochrany vašich koncových bodů rychleji než tradiční aktualizace bezpečnostních funkcí.
Služby a adresy URL
Tabulka v této části obsahuje seznam služeb a jejich přidružených webových adres (URL).
Ujistěte se, že žádná pravidla firewallu nebo síťového filtrování nezamítají přístup k těmto adresám URL. Jinak musíte vytvořit pravidlo povolení speciálně pro tyto adresy URL (s výjimkou adresy URL *.blob.core.windows.net). Adresy URL v následující tabulce používají ke komunikaci port 443. (Port 80 se také vyžaduje pro některé adresy URL, jak je uvedeno v následující tabulce.)
| Služba a popis | URL |
|---|---|
| Služba ochrany Microsoft Defender Antivirus v cloudu se označuje jako služba MAPS (Microsoft Active Protection Service). Microsoft Defender Antivirus používá k zajištění ochrany v cloudu službu MAPS. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Služba Microsoft Update (MU) a služba Windows Update Service (WU) Tyto služby umožňují informace o zabezpečení a aktualizace produktů. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comDalší informace najdete v tématu Koncové body připojení pro služba Windows Update. |
| Alternativní umístění pro stahování (ADL) aktualizace bezpečnostních informací Jedná se o alternativní umístění pro aktualizace Microsoft Defender Antivirus Security Intelligence, pokud je nainstalovaná funkce Security Intelligence zaostalá (sedm nebo více dní pozadu). |
*.download.microsoft.com*.download.windowsupdate.com (Vyžaduje se port 80.)go.microsoft.com (Vyžaduje se port 80.)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Úložiště pro odesílání malwaru Toto je umístění pro nahrání souborů odeslaných do Microsoftu prostřednictvím formuláře pro odeslání nebo automatického odeslání vzorku. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Seznam odvolaných certifikátů (CRL) Systém Windows používá tento seznam při vytváření připojení SSL ke službě MAPS pro aktualizaci seznamu CRL. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Univerzální klient GDPR Systém Windows používá tohoto klienta k odesílání diagnostických dat klienta. Microsoft Defender Antivirus používá obecné nařízení o ochraně osobních údajů pro účely kvality a monitorování produktů. |
Aktualizace používá protokol SSL (port TCP 443) ke stažení manifestů a nahrání diagnostických dat do Microsoftu, který používá následující koncové body DNS:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Ověření připojení mezi vaší sítí a cloudem
Po povolení uvedených adres URL otestujte, jestli jste připojení ke cloudové službě Microsoft Defender Antivirus. Otestujte, že adresy URL správně hlásí a přijímají informace, abyste měli jistotu, že jste plně chráněni.
Použití nástroje cmdline k ověření cloudové ochrany
Pomocí následujícího argumentu pomocí nástroje příkazového řádku Microsoft Defender Antivirus (mpcmdrun.exe) ověřte, že vaše síť může komunikovat s cloudovou službou Microsoft Defender Antivirus:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Poznámka
Otevřete příkazový řádek jako správce. Pravým tlačítkem myši klikněte na položku v nabídce Start , klikněte na Spustit jako správce a v příkazovém řádku oprávnění klikněte na Ano . Tento příkaz bude fungovat jenom u Windows 10 verze 1703 nebo vyšší nebo Windows 11.
Další informace najdete v tématu Správa Microsoft Defender Antivirové ochrany pomocí nástroje příkazového řádku mpcmdrun.exe.
Chybové zprávy
Tady je několik chybových zpráv, které se můžou zobrazit:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Příčiny
Původní příčinou těchto chybových zpráv je, že zařízení nemá nakonfigurovaný proxy server pro celý WinHttp systém. Pokud tento proxy server nenastavíte, operační systém o tomto proxy serveru neví a nemůže načíst seznam CRL (dělá to operační systém, ne Defender for Endpoint), což znamená, že připojení TLS k adresám URL, jako http://cp.wd.microsoft.com/ jsou, nebudou úspěšná. Zobrazí se úspěšná připojení (odpověď 200) ke koncovým bodům, ale připojení MAPS stále selhávají.
Řešení
V následující tabulce jsou uvedena řešení:
| Řešení | Popis |
|---|---|
| Řešení (upřednostňované) | Nakonfigurujte proxy server WinHttp pro celý systém, který umožňuje kontrolu seznamu CRL. |
| Řešení (upřednostňované 2) | 1. Přejděte na Konfigurace> počítačeNastavení> systému WindowsNastavení> zabezpečeníZásady veřejného klíče Zásady>ověření cesty certifikátu Nastavení ověření. 2. Vyberte kartu Načtení sítě a pak vyberte Definovat tato nastavení zásad. 3. Zrušte zaškrtnutí políčka Automaticky aktualizovat certifikáty v programu Microsoft Root Certificate Program (doporučeno). Tady je několik užitečných zdrojů informací: - Konfigurace důvěryhodných kořenových certifikátů a nepovolené certifikáty - Vylepšení doby spuštění aplikace: Nastavení GeneratePublisherEvidence v Machine.config |
| Alternativní řešení (alternativní) To není osvědčený postup, protože už nekontrolujete odvolané certifikáty nebo připnutí certifikátu. |
Zakažte kontrolu seznamu CRL jenom pro SPYNET. Konfigurace tohoto registru SSLOption zakáže kontrolu seznamu CRL pouze pro generování sestav SPYNET. Nebude mít vliv na jiné služby. Přejděte na HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet a pak nastavte SSLOptions (dword) na 2 (hex). Pro referenci jsou zde možné hodnoty pro DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Pokus o stažení falešného souboru malwaru od Microsoftu
Můžete si stáhnout ukázkový soubor, který Microsoft Defender Antivirus zjistí a zablokuje, pokud jste správně připojení ke cloudu.
Poznámka
Stažený soubor není zrovna malware. Jedná se o falešný soubor navržený k otestování, jestli jste správně připojeni ke cloudu.
Pokud jste správně připojeni, zobrazí se upozornění Microsoft Defender oznámení Antivirové ochrany.
Pokud používáte Microsoft Edge, zobrazí se také zpráva s oznámením:
Podobná zpráva se zobrazí, pokud používáte Internet Explorer:
Zobrazení detekce falešného malwaru v aplikaci Zabezpečení Windows
Na hlavním panelu vyberte ikonu Štít a otevřete aplikaci Zabezpečení Windows. Nebo v nabídce Start vyhledejte Zabezpečení.
Vyberte Antivirová & ochrana před hrozbami a pak vyberte Historie ochrany.
V části Hrozby v karanténě vyberte Zobrazit úplnou historii a zobrazte zjištěný falešný malware.
Poznámka
Verze Windows 10 před verzí 1703 mají jiné uživatelské rozhraní. Viz Microsoft Defender Antivirus v aplikaci Zabezpečení Windows.
V protokolu událostí systému Windows se také zobrazí Windows Defender id události klienta 1116.
Tip
Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na:
Viz také
- Konfigurace nastavení proxy serveru zařízení a připojení k internetu pro Microsoft Defender for Endpoint
- Konfigurace a správa Microsoft Defender Antivirové ochrany pomocí nastavení Zásady skupiny
- Důležité změny koncového bodu služby Microsoft Active Protection Services
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.