Konfigurere og validere Microsoft Defender antivirusnettverkstilkoblinger
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender Antivirus
Plattformer
- Windows
For å sikre at Microsoft Defender antivirussky-levert beskyttelse fungerer som den skal, må sikkerhetsteamet konfigurere nettverket til å tillate tilkoblinger mellom endepunktene og bestemte Microsoft-servere. Denne artikkelen viser tilkoblinger som må tillates for bruk av brannmurreglene. Den inneholder også instruksjoner for validering av tilkoblingen. Konfigurering av beskyttelsen sikrer at du får den beste verdien fra de skyleverte beskyttelsestjenestene dine.
Viktig
Denne artikkelen inneholder informasjon om hvordan du konfigurerer nettverkstilkoblinger bare for Microsoft Defender Antivirus. Hvis du bruker Microsoft Defender for endepunkt (som inkluderer Microsoft Defender Antivirus), kan du se Konfigurere innstillinger for enhetsproxy og Internett-tilkobling for Defender for Endpoint.
Tillat tilkoblinger til Microsoft Defender Antivirus-skytjenesten
Den Microsoft Defender antivirusskytjenesten gir rask og sterk beskyttelse for endepunktene dine. Det er valgfritt å aktivere den skyleverte beskyttelsestjenesten. Microsoft Defender antivirusskytjenesten anbefales, fordi den gir viktig beskyttelse mot skadelig programvare på endepunktene og nettverket. Hvis du vil ha mer informasjon, kan du se Aktivere skylevert beskyttelse for å aktivere tjenesten med Intune, Microsoft Endpoint Configuration Manager, gruppepolicy, PowerShell-cmdleter eller individuelle klienter i Windows Sikkerhet-appen.
Når du har aktivert tjenesten, må du konfigurere nettverket eller brannmuren til å tillate tilkoblinger mellom nettverket og endepunktene. Fordi beskyttelsen din er en skytjeneste, må datamaskiner ha tilgang til Internett og nå Microsoft-skytjenestene. Ikke utelat nettadressen *.blob.core.windows.net fra noen form for nettverksinspeksjon.
Obs!
Den Microsoft Defender Antivirus-skytjenesten gir oppdatert beskyttelse til nettverket og endepunktene. Skytjenesten bør ikke anses som bare beskyttelse for filene dine som er lagret i skyen. I stedet bruker skytjenesten distribuerte ressurser og maskinlæring til å levere beskyttelse for endepunktene raskere enn de tradisjonelle sikkerhetsanalyseoppdateringene.
Tjenester og nettadresser
Tabellen i denne delen viser tjenester og tilhørende nettadresser.
Kontroller at det ikke finnes noen brannmur- eller nettverksfiltreringsregler som nekter tilgang til disse URL-adressene. Ellers må du opprette en tillatelsesregel spesielt for disse URL-adressene (unntatt URL-adressen *.blob.core.windows.net). URL-adressene i tabellen nedenfor bruker port 443 for kommunikasjon. (Port 80 er også nødvendig for noen nettadresser, som nevnt i tabellen nedenfor.)
| Tjeneste og beskrivelse | URL |
|---|---|
| Microsoft Defender Antivirus cloud-delivered protection service kalles Microsoft Active Protection Service (MAPS). Microsoft Defender Antivirus bruker MAPS-tjenesten til å gi skybasert beskyttelse. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) og Windows Update Service (WU) Disse tjenestene tillater sikkerhetsintelligens og produktoppdateringer. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comHvis du vil ha mer informasjon, kan du se Tilkoblingsendepunkter for Windows Update. |
| Sikkerhetsanalyseoppdateringer alternativ nedlastingsplassering (ADL) Dette er en alternativ plassering for Microsoft Defender antivirussikkerhetsanalyseoppdateringer, hvis den installerte sikkerhetsintelligensen er utdatert (sju eller flere dager bak). |
*.download.microsoft.com*.download.windowsupdate.com (Port 80 kreves)go.microsoft.com (Port 80 kreves)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Lagringsplass for innsending av skadelig programvare Dette er en opplastingsplassering for filer som sendes til Microsoft via innsendingsskjemaet eller automatisk eksempelinnsending. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Sertifikatopphevelser (CRL) Windows bruker denne listen når du oppretter SSL-tilkoblingen til MAPS for å oppdatere crl. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Universell GDPR-klient Windows bruker denne klienten til å sende klientens diagnosedata. Microsoft Defender Antivirus bruker forskrift om generell databeskyttelse for produktkvalitet og overvåkingsformål. |
Oppdateringen bruker SSL (TCP Port 443) til å laste ned manifester og laste opp diagnosedata til Microsoft som bruker følgende DNS-endepunkter:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Validere tilkoblinger mellom nettverket og skyen
Når du har tillatt nettadressene som er oppført, kan du teste om du er koblet til Microsoft Defender Antivirus-skytjenesten. Test nettadressene rapporterer og mottar informasjon riktig for å sikre at du er fullstendig beskyttet.
Bruk cmdline-verktøyet til å validere skybasert beskyttelse
Bruk følgende argument med kommandolinjeverktøyet Microsoft Defender Antivirus (mpcmdrun.exe) for å bekrefte at nettverket kan kommunisere med Microsoft Defender Antivirus-skytjenesten:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Obs!
Åpne ledeteksten som administrator. Høyreklikk elementet på Start-menyen , klikk Kjør som administrator , og klikk Ja i ledeteksten for tillatelser. Denne kommandoen fungerer bare på Windows 10, versjon 1703 eller nyere eller Windows 11.
Hvis du vil ha mer informasjon, kan du se Behandle Microsoft Defender Antivirus med kommandolinjeverktøyet mpcmdrun.exe.
Feilmeldinger
Her er noen feilmeldinger du kan se:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Årsaker til rot
Hovedårsaken til disse feilmeldingene er at enheten ikke har konfigurert sin systemomfattende WinHttp proxy. Hvis du ikke angir denne proxyen, er ikke operativsystemet klar over proxyen og kan ikke hente crl (operativsystemet gjør dette, ikke Defender for Endpoint), noe som betyr at TLS-tilkoblinger til nettadresser som http://cp.wd.microsoft.com/ ikke lykkes. Du ser vellykkede (svar 200) tilkoblinger til endepunktene, men MAPS-tilkoblingene vil fremdeles mislykkes.
Løsninger
Tabellen nedenfor viser løsninger:
| Løsning | Beskrivelse |
|---|---|
| Løsning (foretrukket) | Konfigurer den systemomfattende WinHttp-proxyen som tillater CRL-kontroll. |
| Løsning (foretrukket 2) | 1. Gå til> Innstillinger forsikkerhetsinnstillinger>> forfellesnøkkelpolicyer> forvalideringsinnstillinger for sertifikatbane. 2. Velg fanen Nettverkshenting , og velg deretter Definer disse policyinnstillingene. 3. Fjern merket for Oppdater sertifikater automatisk i Microsofts rotsertifikatprogram (anbefales ). Her er noen nyttige ressurser: - Konfigurer klarerte røtter og ikke tillatte sertifikater - Forbedre oppstartstiden for programmet: GeneratePublisherEvidence-innstillingen i Machine.config |
| Løsning for omarbeiding (alternativ) Dette er ikke en anbefalt fremgangsmåte fordi du ikke lenger ser etter tilbakekalte sertifikater eller sertifikat festing. |
Deaktiver CRL-kontroll bare for SPYNET. Konfigurering av denne register-SSLOption deaktiverer CRL-kontroll bare for SPYNET-rapportering. Det vil ikke påvirke andre tjenester. Gå til HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, og sett SSLOptions (dword) deretter til 2 (hex). Her er mulige verdier for DWORD for referanse: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Forsøk på å laste ned en falsk fil for skadelig programvare fra Microsoft
Du kan laste ned en eksempelfil som Microsoft Defender Antivirus vil oppdage og blokkere hvis du er riktig koblet til skyen.
Obs!
Den nedlastede filen er ikke akkurat skadelig programvare. Det er en falsk fil som er utformet for å teste om du er riktig koblet til skyen.
Hvis du er riktig tilkoblet, ser du en advarsel Microsoft Defender antivirusvarsel.
Hvis du bruker Microsoft Edge, ser du også en varslingsmelding:
Det oppstår en lignende melding hvis du bruker Internet Explorer:
Vis gjenkjenning av falsk skadelig programvare i Windows Sikkerhet-appen
Velg Skjold-ikonet på oppgavelinjen, åpne Windows Sikkerhet-appen. Du kan også søke i Start etter sikkerhet.
Velg Virus & trusselbeskyttelse, og velg deretter Beskyttelseslogg.
Under delen Trusler i karantene velger du Se hele loggen for å se den oppdagede falske skadelige programvaren.
Obs!
Versjoner av Windows 10 før versjon 1703 har et annet brukergrensesnitt. Se Microsoft Defender Antivirus i Windows Sikkerhet-appen.
Hendelsesloggen for Windows viser også Windows Defender klienthendelses-ID 1116.
Tips
Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:
Se også
- Konfigurer innstillinger for enhetsproxy og Internett-tilkobling for Microsoft Defender for endepunkt
- Bruk gruppepolicy innstillinger til å konfigurere og administrere Microsoft Defender Antivirus
- Viktige endringer i endepunktet for Microsoft Active Protection Services
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.