Määritä ja vahvista Microsoft Defenderin virustentorjunnan verkkoyhteydet
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Jotta virustentorjuntaohjelman Microsoft Defender pilvipalvelun tarjoama suojaus toimisi oikein, suojaustiimisi on määritettävä verkkosi sallimaan yhteydet päätepisteiden ja tiettyjen Microsoft-palvelimien välillä. Tässä artikkelissa on luettelo yhteyksistä, jotka on sallittava palomuurisääntöjen käyttämiseksi. Se sisältää myös ohjeita yhteyden vahvistamiseen. Suojauksen määrittäminen oikein varmistaa, että saat parhaan arvon pilvipalvelun tarjoamista suojauspalveluistasi.
Tärkeää
Tässä artikkelissa on tietoja vain Microsoft Defender virustentorjunnan verkkoyhteyksien määrittämisestä. Jos käytössäsi on Microsoft Defender for Endpoint (johon sisältyy Microsoft Defender virustentorjunta), katso Laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen Defender for Endpointille.
Salli yhteydet Microsoft Defender virustentorjunnan pilvipalveluun
Microsoft Defender virustentorjuntapalvelun pilvipalvelu tarjoaa nopean ja vahvan suojauksen päätepisteillesi. Pilvipalvelun tarjoaman suojauspalvelun ottaminen käyttöön on valinnaista. Microsoft Defender virustentorjuntapilvipalvelua suositellaan, koska se tarjoaa tärkeän suojauksen haittaohjelmia vastaan päätepisteissäsi ja verkossasi. Lisätietoja on Windowsin suojaus-sovelluksen kohdassa Pilvipalvelun tarjoaman suojauksen ottaminen käyttöön Intune, Microsoftin päätepiste Configuration Manager, ryhmäkäytäntö, PowerShellin cmdlet-komennot tai yksittäiset asiakkaat.
Kun olet ottanut palvelun käyttöön, sinun on määritettävä verkkosi tai palomuurisi sallimaan yhteydet verkon ja päätepisteiden välillä. Koska suojaus on pilvipalvelu, tietokoneilla on oltava Internet-yhteys ja niihin on päästävä Microsoftin pilvipalveluihin. Älä sulje URL-osoitetta *.blob.core.windows.net pois minkääntyyppisestä verkkotarkastuksesta.
Huomautus
Microsoft Defender virustentorjuntapalvelu tarjoaa päivitetyn suojauksen verkkoosi ja päätepisteisiin. Pilvipalvelua ei tule pitää vain pilvipalveluun tallennettujen tiedostojen suojauksena. sen sijaan pilvipalvelu käyttää hajautettuja resursseja ja koneoppimista tarjotakseen suojauksen päätepisteillesi nopeammin kuin perinteiset tietoturvatiedot.
Palvelut ja URL-osoitteet
Tämän osion taulukossa luetellaan palvelut ja niihin liittyvät verkkosivuston osoitteet (URL-osoitteet).
Varmista, että palomuurin tai verkon suodatussäännöt eivät estä näiden URL-osoitteiden käyttöä. Muussa tapauksessa sinun on luotava nimenomaan näille URL-osoitteille sallittu sääntö (URL-osoitetta *.blob.core.windows.netlukuun ottamatta). Seuraavan taulukon URL-osoitteet käyttävät porttia 443 viestintää varten. (Portti 80 vaaditaan myös joissakin URL-osoitteissa, kuten seuraavassa taulukossa on mainittu.)
| Palvelu ja kuvaus | URL |
|---|---|
| Microsoft Defender virustentorjuntaohjelman pilvipalveluun toimitettuun suojauspalveluun viitataan nimellä Microsoft Active Protection Service (MAPS). Microsoft Defender virustentorjuntaohjelma tarjoaa pilvessä toimitetun suojauksen MAPS-palvelun avulla. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) ja Windows Update Service (WU) Nämä palvelut mahdollistavat suojaustiedot ja tuotepäivitykset. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comLisätietoja on artikkelissa Windows Update yhteyden päätepisteet. |
| Suojaustietopäivitykset: vaihtoehtoinen lataussijainti (ADL) Tämä on vaihtoehtoinen sijainti virustentorjunnan Microsoft Defender suojaustietopäivityksille, jos asennettu suojaustieto on vanhentunut (vähintään seitsemän päivää jäljessä). |
*.download.microsoft.com*.download.windowsupdate.com (Portti 80 vaaditaan)go.microsoft.com (Portti 80 vaaditaan)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Haittaohjelmien lähettämisen tallennustila Tämä on Lähetyslomakkeen tai automaattisen lähetyksen kautta Microsoftille lähetettyjen tiedostojen lataussijainti. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Varmenteen kumoamisluettelo (CRL) Windows käyttää tätä luetteloa luodessaan SSL-yhteyttä MAPSiin kumousluettelon päivittämistä varten. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Yleinen GDPR-asiakasohjelma Windows käyttää tätä asiakasta asiakkaan diagnostiikkatietojen lähettämiseen. Microsoft Defender virustentorjuntaohjelma käyttää yleistä tietosuoja-asetusta tuotteiden laatuun ja valvontaan. |
Päivitys käyttää SSL:ää (TCP-portti 443) luetteloiden lataamiseen ja diagnostiikkatietojen lataamiseen Microsoftille, joka käyttää seuraavia DNS-päätepisteitä:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Verkon ja pilvipalvelun välisten yhteyksien vahvistaminen
Kun olet sallinut luetellut URL-osoitteet, testaa, oletko yhteydessä Microsoft Defender virustentorjunnan pilvipalveluun. Testaa, että URL-osoitteet ilmoittavat ja vastaanottavat tietoja oikein, jotta olet täysin suojattu.
Käytä cmdline-työkalua pilvipalveluun toimitetun suojauksen vahvistamiseen
Käytä seuraavaa argumenttia Microsoft Defender Antivirus -komentoriviapuohjelman (mpcmdrun.exe) kanssa varmistaaksesi, että verkkosi voi olla yhteydessä Microsoft Defender virustentorjuntapilvipalveluun:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Huomautus
Avaa komentokehote järjestelmänvalvojana. Napsauta kohdetta hiiren kakkospainikkeella Käynnistä-valikossa , valitse Suorita järjestelmänvalvojana ja valitse Kyllä käyttöoikeuskehotteesta. Tämä komento toimii vain Windows 10 versiossa 1703 tai Windows 11.
Lisätietoja on artikkelissa Microsoft Defender virustentorjunta mpcmdrun.exe komentorivityökalun avulla.
Virheviestit
Seuraavassa on joitakin virhesanomia, joita saatat nähdä:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Perussyitä
Näiden virhesanomien pääsyy on se, että laitteen järjestelmänlaajuista WinHttp välityspalvelinta ei ole määritetty. Jos et määritä tätä välityspalvelinta, käyttöjärjestelmä ei ole tietoinen välityspalvelimesta eikä voi noutaa kumouspalvelinta (käyttöjärjestelmä tekee näin, ei Defender for Endpointia), mikä tarkoittaa, että TLS-yhteydet URL-osoitteisiin, kuten http://cp.wd.microsoft.com/ , eivät onnistu. Näet onnistuneet (vastaus 200) yhteydet päätepisteisiin, mutta MAPS-yhteydet epäonnistuvat silti.
Ratkaisuja
Seuraavassa taulukossa on lueteltu ratkaisut:
| Ratkaisu | Kuvaus |
|---|---|
| Ratkaisu (ensisijainen) | Määritä järjestelmänlaajuinen WinHttp-välityspalvelin, joka sallii crl-tarkistuksen. |
| Ratkaisu (ensisijainen 2) | 1. Siirry kohtaan Tietokoneasetukset>Windowsin asetukset>Suojausasetukset>Yleiset avainkäytännöt>Varmennepolun vahvistusasetukset. 2. Valitse Verkon nouto -välilehti ja valitse sitten Määritä nämä käytäntöasetukset. 3. Poista Päivitä varmenteet automaattisesti Microsoft Root Certificate Program (suositus) -valintaruudun valinta. Seuraavassa on joitakin hyödyllisiä resursseja: - Luotettujen pääjuurien ja ei-sallittujen varmenteiden määrittäminen - Sovelluksen käynnistysajan parantaminen: GeneratePublisherEvidence-asetus Machine.config |
| Kiertoratkaisu (vaihtoehtoinen) Tämä ei ole paras käytäntö, koska et enää tarkista kumotut varmenteet tai varmenteiden kiinnittäminen. |
Poista crl-tarkistus käytöstä vain SPYNET-verkossa. Tämän rekisterin määrittäminen SSLOption poistaa käytöstä VAIN CRL-tarkistuksen SPYNET-raportoinnissa. Se ei vaikuta muihin palveluihin. Siirry kohtaan HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet ja aseta sen arvoksi SSLOptions (dword)2 (hex). DWORD:n mahdollisia arvoja ovat seuraavat: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Yritys ladata väärennetty haittaohjelmatiedosto Microsoftilta
Voit ladata mallitiedoston, jonka Microsoft Defender virustentorjunta havaitsee ja estää, jos olet muodostanut yhteyden pilvipalveluun oikein.
Huomautus
Ladattu tiedosto ei ole täysin haittaohjelma. Se on valetiedosto, joka on suunniteltu testaamaan, oletko muodostanut yhteyden pilvipalveluun oikein.
Jos yhteys on muodostettu oikein, virustentorjuntaa Microsoft Defender ilmoitus tulee näyttöön.
Jos käytät Microsoft Edgeä, näet myös ilmoitusviestin:
Jos käytät Internet Exploreria, näyttöön tulee samankaltainen sanoma:
Näytä haittaohjelmien valetunnistus Windowsin suojaus sovelluksessasi
Valitse tehtäväpalkissa Shield-kuvake ja avaa Windowsin suojaus sovellus. Voit myös etsiä Suojaus-toiminnosta aloitusnäyttöä.
Valitse Virus & uhkien suojaus ja valitse sitten Suojaushistoria.
Valitse Karanteeniin lisätyt uhat -osiossa Näytä koko historia , jotta näet havaitut väärennetyt haittaohjelmat.
Huomautus
Versiota 1703 edeltävillä Windows 10 versioilla on eri käyttöliittymä. Katso Microsoft Defender virustentorjunta Windowsin suojaus sovelluksessa.
Windowsin tapahtumalokissa näkyy myös Windows Defender asiakkaan tapahtumatunnus 1116.
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
Tutustu myös seuraaviin ohjeartikkeleihin:
- Määritä laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen Microsoft Defender for Endpoint
- ryhmäkäytäntö asetusten avulla voit määrittää ja hallita Microsoft Defender virustentorjuntaa
- Tärkeitä muutoksia Microsoft Active Protection Services -päätepisteeseen
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.