Partilhar via


Configurar e validar ligações de rede do Antivírus do Microsoft Defender

Aplica-se a:

Plataformas

  • Windows

Para garantir Microsoft Defender a proteção fornecida pela cloud do Antivírus funciona corretamente, a sua equipa de segurança tem de configurar a sua rede para permitir ligações entre os pontos finais e determinados servidores Microsoft. Este artigo lista as ligações que têm de ser permitidas para utilizar as regras de firewall. Também fornece instruções para validar a sua ligação. Configurar a proteção corretamente garante que recebe o melhor valor dos seus serviços de proteção fornecidos na cloud.

Importante

Este artigo contém informações sobre como configurar ligações de rede apenas para o Antivírus Microsoft Defender. Se estiver a utilizar Microsoft Defender para Endpoint (que inclui Microsoft Defender Antivírus), veja Configurar o proxy de dispositivos e as definições de conectividade à Internet para o Defender para Endpoint.

Permitir ligações ao serviço cloud antivírus do Microsoft Defender

O Microsoft Defender serviço cloud Antivírus fornece proteção rápida e forte para os seus pontos finais. É opcional ativar o serviço de proteção fornecido pela cloud. Microsoft Defender serviço cloud antivírus é recomendado, uma vez que fornece proteção importante contra software maligno nos pontos finais e na rede. Para obter mais informações, consulte Ativar a proteção fornecida pela cloud para ativar o serviço com Intune, Microsoft Endpoint Configuration Manager, Política de Grupo, cmdlets do PowerShell ou clientes individuais na aplicação Segurança do Windows.

Depois de ativar o serviço, tem de configurar a sua rede ou firewall para permitir ligações entre a rede e os pontos finais. Uma vez que a sua proteção é um serviço cloud, os computadores têm de ter acesso à Internet e aceder aos serviços cloud da Microsoft. Não exclua o URL *.blob.core.windows.net de qualquer tipo de inspeção de rede.

Nota

O Microsoft Defender serviço cloud Antivírus fornece proteção atualizada para a sua rede e pontos finais. O serviço cloud não deve ser considerado apenas como proteção para os seus ficheiros armazenados na cloud; Em vez disso, o serviço cloud utiliza recursos distribuídos e machine learning para fornecer proteção para os seus pontos finais a um ritmo mais rápido do que as atualizações tradicionais de Informações de segurança.

Serviços e URLs

A tabela nesta secção lista os serviços e os respetivos endereços (URLs) associados.

Confirme que não existem regras de filtragem de rede ou firewall que neguem o acesso a estes URLs. Caso contrário, tem de criar uma regra de permissão especificamente para esses URLs (excluindo o URL *.blob.core.windows.net). Os URLs na tabela seguinte utilizam a porta 443 para comunicação. (A porta 80 também é necessária para alguns URLs, conforme indicado na tabela seguinte.)

Serviço e descrição URL
Microsoft Defender serviço de proteção fornecido pela cloud do Antivírus é denominado Serviço de Proteção Ativa Microsoft (MAPS).
Microsoft Defender Antivírus utiliza o serviço MAPS para fornecer proteção fornecida pela cloud.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Serviço Microsoft Update (MU) e Serviço de Windows Update (WU)
Estes serviços permitem informações de segurança e atualizações de produtos.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Para obter mais informações, veja Pontos finais de ligação para Windows Update.
Atualizações de informações de segurança Localização de Transferência Alternativa (ADL)
Esta é uma localização alternativa para Microsoft Defender atualizações de informações de Segurança antivírus, se as informações de Segurança instaladas estiverem desatualizadas (sete ou mais dias atrasados).
*.download.microsoft.com
*.download.windowsupdate.com (A porta 80 é necessária)
go.microsoft.com (A porta 80 é necessária)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Armazenamento de submissão de software maligno
Esta é uma localização de carregamento para ficheiros submetidos à Microsoft através do formulário submissão ou submissão automática de exemplo.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Lista de Revogação de Certificados (CRL)
O Windows utiliza esta lista ao criar a ligação SSL ao MAPS para atualizar a CRL.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Cliente do RGPD Universal
O Windows utiliza este cliente para enviar os dados de diagnóstico do cliente.

Microsoft Defender Antivírus utiliza o Regulamento Geral sobre a Proteção de Dados para fins de qualidade e monitorização de produtos.
A atualização utiliza SSL (Porta TCP 443) para transferir manifestos e carregar dados de diagnóstico para a Microsoft que utilizem os seguintes pontos finais DNS:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Validar as ligações entre a rede e a cloud

Depois de permitir os URLs listados, teste se está ligado ao serviço cloud antivírus Microsoft Defender. Teste se os URLs estão a comunicar e a receber informações corretamente para garantir que está totalmente protegido.

Utilizar a ferramenta cmdline para validar a proteção fornecida pela cloud

Utilize o seguinte argumento com o utilitário de linha de comandos do Antivírus Microsoft Defender (mpcmdrun.exe) para verificar se a sua rede consegue comunicar com o serviço cloud antivírus Microsoft Defender:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Nota

Abra a Linha de Comandos como administrador. Clique com o botão direito do rato no item no menu Iniciar , clique em Executar como administrador e clique em Sim na linha de comandos de permissões. Este comando só funcionará em Windows 10, versão 1703 ou superior ou Windows 11.

Para obter mais informações, veja Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool (Gerir o Antivírus do Microsoft Defender com a ferramenta de linha de comandos mpcmdrun.exe).

Mensagens de erro

Seguem-se algumas mensagens de erro que poderá ver:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Causas raiz

A causa principal destas mensagens de erro é o dispositivo não ter o proxy ao nível WinHttp do sistema configurado. Se não definir este proxy, o sistema operativo não tem conhecimento do proxy e não consegue obter o CRL (o sistema operativo faz isto, não o Defender para Ponto Final), o que significa que as ligações TLS a URLs como http://cp.wd.microsoft.com/ não têm êxito. Verá ligações com êxito (resposta 200) aos pontos finais, mas as ligações maps continuarão a falhar.

Soluções

A tabela seguinte lista as soluções:

Solução Descrição
Solução (Preferencial) Configure o proxy WinHttp ao nível do sistema que permite a verificação crl.
Solução (Preferencial 2) 1. Aceda a Configuração> do ComputadorDefinições do Windows Definições>de Segurança Definições>de Chave Pública Políticas> deValidação do Caminho do Certificado.
2. Selecione o separador Obtenção de Rede e, em seguida, selecione Definir estas definições de política.
3. Desmarque a caixa de verificação Atualizar certificados automaticamente no Programa de Certificados de Raiz da Microsoft (recomendado ).

Eis alguns recursos úteis:
- Configurar Raízes Fidedignas e Certificados Não Permitidos
- Melhorar o tempo de Arranque da aplicação: Definição GeneratePublisherEvidence no Machine.config
Solução de solução alternativa
Esta não é uma melhor prática, uma vez que já não está a procurar certificados revogados ou afixação de certificados.
Desative a verificação CRL apenas para SPYNET.
Configurar este registo SSLOption desativa a verificação CRL apenas para relatórios SPYNET. Não afetará outros serviços.

Aceda a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet e, em seguida, defina SSLOptions (dword) como 2 (hex).
Para referência, eis os valores possíveis para o DWORD:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Tentar transferir um ficheiro de software maligno falso da Microsoft

Pode transferir um ficheiro de exemplo que Microsoft Defender Antivírus irá detetar e bloquear se estiver corretamente ligado à cloud.

Nota

O ficheiro transferido não é exatamente software maligno. É um ficheiro falso concebido para testar se está devidamente ligado à cloud.

Se estiver ligado corretamente, verá um aviso Microsoft Defender notificação de Antivírus.

Se estiver a utilizar o Microsoft Edge, também verá uma mensagem de notificação:

A notificação de que o software maligno foi encontrado no Edge

Se estiver a utilizar o Internet Explorer, ocorrerá uma mensagem semelhante:

A notificação do Antivírus Microsoft Defender de que foi encontrado software maligno

Ver a deteção de software maligno falso na sua aplicação Segurança do Windows

  1. Na barra de tarefas, selecione o ícone Escudo e abra a aplicação Segurança do Windows. Em alternativa, pesquise Iniciar por Segurança.

  2. Selecione Vírus & proteção contra ameaças e, em seguida, selecione Histórico de proteção.

  3. Na secção Ameaças em quarentena , selecione Ver histórico completo para ver o software maligno falso detetado.

    Nota

    As versões do Windows 10 anteriores à versão 1703 têm uma interface de utilizador diferente. Veja Microsoft Defender Antivírus na aplicação Segurança do Windows.

    O registo de eventos do Windows também mostrará Windows Defender ID de evento de cliente 1116.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.