Netwerkverbindingen van Microsoft Defender Antivirus configureren en valideren
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender Antivirus
Platforms
- Windows
Om ervoor te zorgen Microsoft Defender Antivirus-cloudbeveiliging goed werkt, moet uw beveiligingsteam uw netwerk configureren om verbindingen tussen uw eindpunten en bepaalde Microsoft-servers toe te staan. In dit artikel worden verbindingen vermeld die moeten worden toegestaan voor het gebruik van de firewallregels. Het bevat ook instructies voor het valideren van uw verbinding. Als u uw beveiliging correct configureert, zorgt u ervoor dat u de beste waarde krijgt van uw cloudbeveiligingsservices.
Belangrijk
Dit artikel bevat informatie over het configureren van netwerkverbindingen alleen voor Microsoft Defender Antivirus. Als u Microsoft Defender voor Eindpunt gebruikt (waaronder Microsoft Defender Antivirus), raadpleegt u Instellingen voor apparaatproxy en internetverbinding configureren voor Defender voor Eindpunt.
Verbindingen met de Microsoft Defender Antivirus-cloudservice toestaan
De Microsoft Defender Antivirus-cloudservice biedt snelle en sterke beveiliging voor uw eindpunten. Het is optioneel om de cloudbeveiligingsservice in te schakelen. Microsoft Defender Antivirus-cloudservice wordt aanbevolen, omdat deze belangrijke bescherming biedt tegen malware op uw eindpunten en netwerk. Zie Cloudbeveiliging inschakelen voor het inschakelen van service met Intune, Microsoft Endpoint Configuration Manager, groepsbeleid, PowerShell-cmdlets of afzonderlijke clients in de Windows-beveiliging-app voor meer informatie.
Nadat u de service hebt ingeschakeld, moet u uw netwerk of firewall configureren om verbindingen tussen het netwerk en uw eindpunten toe te staan. Omdat uw beveiliging een cloudservice is, moeten computers toegang hebben tot internet en de Microsoft-cloudservices bereiken. Sluit de URL *.blob.core.windows.net niet uit van een netwerkinspectie.
Opmerking
De Microsoft Defender Antivirus-cloudservice biedt bijgewerkte beveiliging voor uw netwerk en eindpunten. De cloudservice moet niet worden beschouwd als alleen beveiliging voor uw bestanden die zijn opgeslagen in de cloud; In plaats daarvan maakt de cloudservice gebruik van gedistribueerde resources en machine learning om uw eindpunten sneller te beveiligen dan de traditionele updates voor beveiligingsinformatie.
Services en URL's
De tabel in deze sectie bevat een lijst met services en de bijbehorende websiteadressen (URL's).
Zorg ervoor dat er geen firewall- of netwerkfilterregels zijn die de toegang tot deze URL's weigeren. Anders moet u specifiek voor deze URL's een regel voor toestaan maken (met uitzondering van de URL *.blob.core.windows.net). De URL's in de volgende tabel gebruiken poort 443 voor communicatie. (Poort 80 is ook vereist voor sommige URL's, zoals vermeld in de volgende tabel.)
| Service en beschrijving | URL |
|---|---|
| Microsoft Defender Antivirus-cloudbeveiligingsservice wordt Microsoft Active Protection Service (MAPS) genoemd. Microsoft Defender Antivirus gebruikt de MAPS-service om cloudbeveiliging te bieden. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) en Windows Update Service (WU) Deze services maken beveiligingsinformatie en productupdates mogelijk. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comZie Verbindingseindpunten voor Windows Update voor meer informatie. |
| Updates voor beveiligingsinformatie Alternatieve downloadlocatie (ADL) Dit is een alternatieve locatie voor Microsoft Defender Antivirus Beveiligingsinformatie-updates, als de geïnstalleerde beveiligingsinformatie verouderd is (zeven of meer dagen achter). |
*.download.microsoft.com*.download.windowsupdate.com (Poort 80 is vereist)go.microsoft.com (Poort 80 is vereist)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Opslag voor inzending van malware Dit is een uploadlocatie voor bestanden die naar Microsoft zijn verzonden via het inzendingsformulier of automatische voorbeeldinzending. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Certificaatintrekkingslijst (CRL) Windows gebruikt deze lijst tijdens het maken van de SSL-verbinding met MAPS voor het bijwerken van de CRL. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Universele AVG-client Windows gebruikt deze client om de diagnostische gegevens van de client te verzenden. Microsoft Defender Antivirus maakt gebruik van de Algemene verordening gegevensbescherming voor productkwaliteit en bewakingsdoeleinden. |
De update maakt gebruik van SSL (TCP-poort 443) om manifesten te downloaden en diagnostische gegevens te uploaden naar Microsoft die gebruikmaken van de volgende DNS-eindpunten:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Verbindingen tussen uw netwerk en de cloud valideren
Nadat u de vermelde URL's hebt toegestaan, test u of u bent verbonden met de Microsoft Defender Antivirus-cloudservice. Test of de URL's correct rapporteren en informatie ontvangen om ervoor te zorgen dat u volledig bent beveiligd.
Het hulpprogramma cmdline gebruiken om cloudbeveiliging te valideren
Gebruik het volgende argument met het opdrachtregelprogramma Microsoft Defender Antivirus (mpcmdrun.exe) om te controleren of uw netwerk kan communiceren met de Microsoft Defender Antivirus-cloudservice:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Opmerking
Open de opdrachtprompt als beheerder. Klik met de rechtermuisknop op het item in het startmenu , klik op Als administrator uitvoeren en klik op Ja bij de machtigingsprompt. Deze opdracht werkt alleen op Windows 10, versie 1703 of hoger of Windows 11.
Zie Microsoft Defender Antivirus beheren met het opdrachtregelprogramma mpcmdrun.exe voor meer informatie.
Foutberichten
Hier volgen enkele foutberichten die u kunt zien:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Oorzaken
De hoofdoorzaak van deze foutberichten is dat de proxy voor het hele systeem WinHttp niet is geconfigureerd op het apparaat. Als u deze proxy niet instelt, is het besturingssysteem niet op de hoogte van de proxy en kan het de CRL niet ophalen (het besturingssysteem doet dit, niet Defender voor Eindpunt), wat betekent dat TLS-verbindingen met URL's als http://cp.wd.microsoft.com/ niet slagen. U ziet geslaagde (antwoord 200) verbindingen met de eindpunten, maar de MAPS-verbindingen mislukken nog steeds.
Oplossingen
De volgende tabel bevat oplossingen:
| Oplossing | Beschrijving |
|---|---|
| Oplossing (voorkeur) | Configureer de WinHttp-proxy voor het hele systeem waarmee de CRL-controle kan worden uitgevoerd. |
| Oplossing (voorkeur 2) | 1. Ga naar Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Openbare-sleutelbeleid>Certificaatpadvalidatie-instellingen. 2. Selecteer het tabblad Netwerk ophalen en selecteer vervolgens Deze beleidsinstellingen definiëren. 3. Schakel het selectievakje Certificaten automatisch bijwerken in het Microsoft-basiscertificaatprogramma (aanbevolen) uit. Hier volgen enkele nuttige bronnen: - Vertrouwde wortels en niet-toegestane certificaten configureren - Opstarttijd van toepassing verbeteren: instelling GeneratePublisherEvidence in Machine.config |
| Work-around-oplossing (alternatief) Dit is geen aanbevolen procedure omdat u niet langer controleert op ingetrokken certificaten of het vastmaken van certificaten. |
CRL-controle alleen uitschakelen voor SPYNET. Als u dit register SSLOption configureert, wordt CRL-controle alleen uitgeschakeld voor SPYNET-rapportage. Dit heeft geen invloed op andere services. Ga naar HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet en stel in SSLOptions (dword) op 2 (hex). Ter referentie zijn hier mogelijke waarden voor de DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Poging om een nep-malwarebestand van Microsoft te downloaden
U kunt een voorbeeldbestand downloaden dat Microsoft Defender Antivirus detecteert en blokkeert als u op de juiste manier bent verbonden met de cloud.
Opmerking
Het gedownloade bestand is niet echt malware. Het is een nepbestand dat is ontworpen om te testen of u op de juiste manier bent verbonden met de cloud.
Als u op de juiste manier bent verbonden, ziet u een waarschuwing Microsoft Defender Antivirusmelding.
Als u Microsoft Edge gebruikt, ziet u ook een meldingsbericht:
Een soortgelijk bericht treedt op als u Internet Explorer gebruikt:
De detectie van valse malware weergeven in uw Windows-beveiliging-app
Selecteer op de taakbalk het pictogram Schild en open de app Windows-beveiliging. Of zoek in Start naar Beveiliging.
Selecteer Virus & threat protection en selecteer vervolgens Beveiligingsgeschiedenis.
Selecteer in de sectie Bedreigingen in quarantaine de optie Volledige geschiedenis weergeven om de gedetecteerde valse malware te zien.
Opmerking
Versies van Windows 10 vóór versie 1703 hebben een andere gebruikersinterface. Zie Microsoft Defender Antivirus in de Windows-beveiliging-app.
In het Windows-gebeurtenislogboek wordt ook Windows Defender client-gebeurtenis-id 1116 weergegeven.
Tip
Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:
Zie ook
- Instellingen voor apparaatproxy en internetverbinding configureren voor Microsoft Defender voor Eindpunt
- Groepsbeleid-instellingen gebruiken om Microsoft Defender Antivirus te configureren en te beheren
- Belangrijke wijzigingen in Microsoft Active Protection Services-eindpunt
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.