Konfigurieren und Validieren von Microsoft Defender Antivirus-Netzwerkverbindungen
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender Antivirus
Plattformen
- Windows
Um sicherzustellen, dass Microsoft Defender Von der Cloud bereitgestellten Antivirus-Schutz ordnungsgemäß funktioniert, muss Ihr Sicherheitsteam Ihr Netzwerk so konfigurieren, dass Verbindungen zwischen Ihren Endpunkten und bestimmten Microsoft-Servern zugelassen werden. In diesem Artikel werden Verbindungen aufgeführt, die für die Verwendung der Firewallregeln zulässig sein müssen. Es enthält auch Anweisungen zum Überprüfen Ihrer Verbindung. Wenn Sie Ihren Schutz ordnungsgemäß konfigurieren, wird sichergestellt, dass Sie den besten Nutzen aus Ihren cloudbasierten Schutzdiensten erhalten.
Wichtig
Dieser Artikel enthält Informationen zum Konfigurieren von Netzwerkverbindungen nur für Microsoft Defender Antivirus. Wenn Sie Microsoft Defender for Endpoint (einschließlich Microsoft Defender Antivirus) verwenden, finden Sie weitere Informationen unter Konfigurieren von Einstellungen für Geräteproxy und Internetkonnektivität für Defender für Endpunkt.
Zulassen von Verbindungen mit dem Microsoft Defender Antivirus-Clouddienst
Der Microsoft Defender Antivirus-Clouddienst bietet schnellen und starken Schutz für Ihre Endpunkte. Es ist optional, den von der Cloud bereitgestellten Schutzdienst zu aktivieren. Microsoft Defender Antivirus-Clouddienst wird empfohlen, da er einen wichtigen Schutz vor Schadsoftware auf Ihren Endpunkten und ihrem Netzwerk bietet. Weitere Informationen finden Sie unter Aktivieren des in der Cloud bereitgestellten Schutzes zum Aktivieren von Diensten mit Intune, Microsoft Endpoint Configuration Manager, Gruppenrichtlinie, PowerShell-Cmdlets oder einzelnen Clients in der Windows-Sicherheit-App.
Nachdem Sie den Dienst aktiviert haben, müssen Sie Ihr Netzwerk oder Ihre Firewall so konfigurieren, dass Verbindungen zwischen dem Netzwerk und Ihren Endpunkten zugelassen werden. Da Ihr Schutz ein Clouddienst ist, müssen Computer Zugriff auf das Internet haben und die Microsoft-Clouddienste erreichen. Schließen Sie die URL *.blob.core.windows.net nicht von einer Netzwerküberprüfung aus.
Hinweis
Der Microsoft Defender Antivirus-Clouddienst bietet aktualisierten Schutz für Ihr Netzwerk und Ihre Endpunkte. Der Clouddienst sollte nicht nur als Schutz für Ihre Dateien betrachtet werden, die in der Cloud gespeichert sind. Stattdessen verwendet der Clouddienst verteilte Ressourcen und maschinelles Lernen, um schneller schutz für Ihre Endpunkte bereitzustellen als die herkömmlichen Security Intelligence-Updates.
Dienste und URLs
In der Tabelle in diesem Abschnitt sind Dienste und die zugehörigen Websiteadressen (URLs) aufgeführt.
Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, die den Zugriff auf diese URLs verweigern. Andernfalls müssen Sie eine Zulassungsregel speziell für diese URLs erstellen (mit Ausnahme der URL *.blob.core.windows.net). Die URLs in der folgenden Tabelle verwenden Port 443 für die Kommunikation. (Port 80 ist auch für einige URLs erforderlich, wie in der folgenden Tabelle angegeben.)
| Dienst und Beschreibung | URL |
|---|---|
| Microsoft Defender Von der Cloud bereitgestellter Antivirus-Schutzdienst wird als Microsoft Active Protection Service (MAPS) bezeichnet. Microsoft Defender Antivirus verwendet den MAPS-Dienst, um über die Cloud bereitgestellten Schutz bereitzustellen. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) und Windows Update Service (WU) Diese Dienste ermöglichen Sicherheitsinformationen und Produktupdates. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comWeitere Informationen finden Sie unter Verbindungsendpunkte für Windows Update. |
| Alternativer Downloadspeicherort (ADL) für Security Intelligence-Updates Dies ist ein alternativer Speicherort für Microsoft Defender Antivirus Security Intelligence-Updates, wenn die installierte Sicherheitsintelligenz veraltet ist (sieben oder mehr Tage im Rückstand). |
*.download.microsoft.com*.download.windowsupdate.com (Port 80 ist erforderlich)go.microsoft.com (Port 80 ist erforderlich)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Schadsoftware-Übermittlungsspeicher Dies ist ein Uploadspeicherort für Dateien, die über das Übermittlungsformular oder die automatische Beispielübermittlung an Microsoft übermittelt werden. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Zertifikatsperrliste (Certificate Revocation List, CRL) Windows verwendet diese Liste beim Erstellen der SSL-Verbindung mit MAPS zum Aktualisieren der Zertifikatsperrliste. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Universeller DSGVO-Client Windows verwendet diesen Client, um die Clientdiagnosedaten zu senden. Microsoft Defender Antivirus verwendet die Datenschutz-Grundverordnung für produktqualitäts- und überwachungszwecke. |
Das Update verwendet SSL (TCP-Port 443), um Manifeste herunterzuladen und Diagnosedaten an Microsoft hochzuladen, die die folgenden DNS-Endpunkte verwenden:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Überprüfen von Verbindungen zwischen Ihrem Netzwerk und der Cloud
Nachdem Sie die aufgeführten URLs zugelassen haben, testen Sie, ob Sie mit dem Microsoft Defender Antivirus-Clouddienst verbunden sind. Testen Sie, ob die URLs ordnungsgemäß berichte und Informationen empfangen, um sicherzustellen, dass Sie vollständig geschützt sind.
Verwenden des Cmdline-Tools zum Überprüfen des von der Cloud bereitgestellten Schutzes
Verwenden Sie das folgende Argument mit dem Microsoft Defender Antivirus-Befehlszeilenprogramm (mpcmdrun.exe), um zu überprüfen, ob Ihr Netzwerk mit dem Microsoft Defender Antivirus-Clouddienst kommunizieren kann:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Hinweis
Öffnen Sie die Eingabeaufforderung als Administrator. Klicken Sie im Startmenü mit der rechten Maustaste auf das Element, klicken Sie auf Als Administrator ausführen , und klicken Sie an der Berechtigungsaufforderung auf Ja . Dieser Befehl funktioniert nur unter Windows 10, Version 1703 oder höher, oder Windows 11.
Weitere Informationen finden Sie unter Verwalten Microsoft Defender Antivirus mit dem mpcmdrun.exe-Befehlszeilentool.
Fehlermeldungen
Im Folgenden finden Sie einige Fehlermeldungen, die möglicherweise angezeigt werden:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Ursachen
Die Grundursache dieser Fehlermeldungen ist, dass der systemweite WinHttp Proxy auf dem Gerät nicht konfiguriert ist. Wenn Sie diesen Proxy nicht festlegen, kennt das Betriebssystem den Proxy nicht und kann die Zertifikatsperrliste nicht abrufen (das Betriebssystem macht dies, nicht Defender für Endpunkt), was bedeutet, dass TLS-Verbindungen mit URLs wie http://cp.wd.microsoft.com/ nicht erfolgreich sind. Es werden erfolgreiche Verbindungen (Antwort 200) mit den Endpunkten angezeigt, aber die MAPS-Verbindungen würden weiterhin fehlschlagen.
Lösungen
In der folgenden Tabelle sind Lösungen aufgeführt:
| Lösung | Beschreibung |
|---|---|
| Lösung (bevorzugt) | Konfigurieren Sie den systemweiten WinHttp-Proxy, der die Zertifikatsperrlistenüberprüfung zulässt. |
| Lösung (bevorzugt 2) | 1. Wechseln Sie zu Computerkonfiguration Windows-Einstellungen>>Sicherheitseinstellungen>Public Key-Richtlinien>Zertifikatpfadüberprüfungseinstellungen. 2. Wählen Sie die Registerkarte Netzwerkabruf und dann Diese Richtlinieneinstellungen definieren aus. 3. Deaktivieren Sie das Kontrollkästchen Zertifikate im Microsoft-Stammzertifikatprogramm automatisch aktualisieren (empfohlen). Hier sind einige nützliche Ressourcen: - Konfigurieren von vertrauenswürdigen Stammelementen und unzulässigen Zertifikaten - Verbessern der Startzeit der Anwendung: GeneratePublisherEvidence-Einstellung in Machine.config |
| Problembegehungslösung (Alternative) Dies ist keine bewährte Methode, da Sie nicht mehr nach widerrufenen Zertifikaten oder dem Anheften von Zertifikaten suchen. |
Deaktivieren Sie die CRL-Überprüfung nur für SPYNET. Wenn Sie diese Registrierung mit SSLOption konfigurieren, wird die CRL-Überprüfung nur für SPYNET-Berichte deaktiviert. Dies wirkt sich nicht auf andere Dienste aus. Wechseln Sie zu HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, und legen Sie dann auf 2 (hexadezim) festSSLOptions (dword). Als Referenz sind die folgenden Werte für das DWORD möglich: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Versuch, eine gefälschte Schadsoftwaredatei von Microsoft herunterzuladen
Sie können eine Beispieldatei herunterladen, die Microsoft Defender Antivirus erkennt und blockiert, wenn Sie ordnungsgemäß mit der Cloud verbunden sind.
Hinweis
Die heruntergeladene Datei ist nicht genau Malware. Es handelt sich um eine gefälschte Datei, die getestet werden soll, ob Sie ordnungsgemäß mit der Cloud verbunden sind.
Wenn Sie ordnungsgemäß verbunden sind, wird eine Warnung Microsoft Defender Antivirusbenachrichtigung angezeigt.
Wenn Sie Microsoft Edge verwenden, wird auch eine Benachrichtigung angezeigt:
Eine ähnliche Meldung tritt auf, wenn Sie Internet Explorer verwenden:
Anzeigen der Erkennung gefälschter Schadsoftware in Ihrer Windows-Sicherheit-App
Wählen Sie auf der Taskleiste das Symbol Abschirmen aus, und öffnen Sie die app Windows-Sicherheit. Oder suchen Sie unter Start nach Sicherheit.
Wählen Sie Virenschutz & Bedrohungsschutz und dann Schutzverlauf aus.
Wählen Sie im Abschnitt Unter Quarantäne gestellte Bedrohungen die Option Vollständigen Verlauf anzeigen aus, um die erkannte gefälschte Schadsoftware anzuzeigen.
Hinweis
Versionen von Windows 10 vor Version 1703 verfügen über eine andere Benutzeroberfläche. Weitere Informationen finden Sie unter Microsoft Defender Antivirus in der Windows-Sicherheit-App.
Im Windows-Ereignisprotokoll wird auch Windows Defender Clientereignis-ID 1116 angezeigt.
Tipp
Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:
Siehe auch
- Konfigurieren von Geräteproxy- und Internetkonnektivitätseinstellungen für Microsoft Defender for Endpoint
- Verwenden von Gruppenrichtlinieneinstellungen zum Verwalten von Microsoft Defender Antivirus
- Wichtige Änderungen am Microsoft Active Protection Services-Endpunkt
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.