Dela via


Konfigurera och verifiera nätverksanslutningar för Microsoft Defender Antivirus

Gäller för:

Plattformar

  • Windows

För att säkerställa att Microsoft Defender molnlevererad antivirusskydd fungerar korrekt måste ditt säkerhetsteam konfigurera nätverket så att det tillåter anslutningar mellan dina slutpunkter och vissa Microsoft-servrar. Den här artikeln innehåller en lista över anslutningar som måste tillåtas för att använda brandväggsreglerna. Den innehåller också instruktioner för att verifiera anslutningen. Genom att konfigurera ditt skydd på rätt sätt får du det bästa värdet från dina molnlevererad skyddstjänst.

Viktigt

Den här artikeln innehåller information om att endast konfigurera nätverksanslutningar för Microsoft Defender Antivirus. Om du använder Microsoft Defender för Endpoint (som innehåller Microsoft Defender Antivirus) kan du läsa Konfigurera enhetsproxy och Internetanslutningsinställningar för Defender för Endpoint.

Tillåt anslutningar till Microsoft Defender Antivirus-molntjänsten

Molntjänsten Microsoft Defender Antivirus ger snabbt och starkt skydd för dina slutpunkter. Det är valfritt att aktivera den molnlevererad skyddstjänsten. Microsoft Defender Antivirus-molntjänst rekommenderas eftersom den ger ett viktigt skydd mot skadlig kod på dina slutpunkter och nätverk. Mer information finns i Aktivera molnlevererat skydd för aktivering av tjänster med Intune, Microsoft Endpoint Configuration Manager, grupprincip, PowerShell-cmdletar eller enskilda klienter i Windows-säkerhet-appen.

När du har aktiverat tjänsten måste du konfigurera nätverket eller brandväggen för att tillåta anslutningar mellan nätverket och slutpunkterna. Eftersom ditt skydd är en molntjänst måste datorerna ha åtkomst till Internet och nå Microsofts molntjänster. Uteslut inte URL:en *.blob.core.windows.net från någon typ av nätverksgranskning.

Obs!

Molntjänsten Microsoft Defender Antivirus ger uppdaterat skydd till nätverket och slutpunkterna. Molntjänsten bör inte betraktas som endast skydd för dina filer som lagras i molnet. I stället använder molntjänsten distribuerade resurser och maskininlärning för att leverera skydd för dina slutpunkter snabbare än de traditionella uppdateringarna av säkerhetsinformation.

Tjänster och URL:er

Tabellen i det här avsnittet visar tjänster och deras associerade webbplatsadresser (URL:er).

Kontrollera att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er. Annars måste du skapa en tillåt-regel specifikt för dessa URL:er (exklusive URL:en *.blob.core.windows.net). URL:erna i följande tabell använder port 443 för kommunikation. (Port 80 krävs också för vissa URL:er, enligt beskrivningen i följande tabell.)

Tjänst och beskrivning URL
Microsoft Defender Molnlevererad antivirusskyddstjänst kallas Microsoft Active Protection Service (MAPS).
Microsoft Defender Antivirus använder MAPS-tjänsten för att tillhandahålla molnbaserat skydd.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) och Windows Update Service (WU)
Dessa tjänster tillåter säkerhetsinformation och produktuppdateringar.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Mer information finns i Anslutningsslutpunkter för Windows Update.
Säkerhetsinformation uppdaterar alternativ nedladdningsplats (ADL)
Det här är en alternativ plats för Microsoft Defender uppdateringar av antivirussäkerhetsinformation om den installerade säkerhetsinformationen är inaktuell (sju eller fler dagar efter).
*.download.microsoft.com
*.download.windowsupdate.com (Port 80 krävs)
go.microsoft.com (Port 80 krävs)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Lagring av insändning av skadlig kod
Det här är en uppladdningsplats för filer som skickas till Microsoft via formuläret Skicka eller automatisk sändning av exempel.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Lista över återkallade certifikat (CRL)
Windows använder den här listan när du skapar SSL-anslutningen till MAPS för uppdatering av LISTAN.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Universell GDPR-klient
Windows använder den här klienten för att skicka klientdiagnostikdata.

Microsoft Defender Antivirus använder den allmänna dataskyddsförordningen för produktkvalitet och övervakningsändamål.
Uppdateringen använder SSL (TCP-port 443) för att ladda ned manifest och ladda upp diagnostikdata till Microsoft som använder följande DNS-slutpunkter:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Verifiera anslutningar mellan ditt nätverk och molnet

När du har tillåtit webbadresserna i listan testar du om du är ansluten till Microsoft Defender Antivirus-molntjänsten. Testa att URL:erna rapporterar och tar emot information korrekt för att säkerställa att du är helt skyddad.

Använd cmdline-verktyget för att verifiera molnlevererat skydd

Använd följande argument med kommandoradsverktyget Microsoft Defender Antivirus (mpcmdrun.exe) för att kontrollera att nätverket kan kommunicera med molntjänsten Microsoft Defender Antivirus:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Obs!

Öppna Kommandotolken som administratör. Högerklicka på objektet på Start-menyn , klicka på Kör som administratör och klicka på Ja i behörighetsprompten. Det här kommandot fungerar bara på Windows 10 version 1703 eller senare eller Windows 11.

Mer information finns i Hantera Microsoft Defender Antivirus med kommandoradsverktyget mpcmdrun.exe.

Felmeddelanden

Här följer några felmeddelanden som du kan se:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Grundorsakerna

Rotorsaken till dessa felmeddelanden är att enheten inte har konfigurerat sin systemomfattande WinHttp proxy. Om du inte anger den här proxyn är operativsystemet inte medvetet om proxyn och kan inte hämta listan över återkallade certifikat (operativsystemet gör detta, inte Defender för Endpoint), vilket innebär att TLS-anslutningar till URL:er som http://cp.wd.microsoft.com/ inte lyckas. Du ser lyckade (svar 200)-anslutningar till slutpunkterna, men MAPS-anslutningarna skulle fortfarande misslyckas.

Lösningar

I följande tabell visas lösningar:

Lösning Beskrivning
Lösning (rekommenderas) Konfigurera den systemomfattande WinHttp-proxyn som tillåter CRL-kontrollen.
Lösning (föredras 2) 1. Gå till Datorkonfiguration>Windows-inställningar>Säkerhetsinställningar>Offentliga nyckelprinciper>Certifikatsökvägsvalideringsinställningar.
2. Välj fliken Nätverkshämtning och välj sedan Definiera dessa principinställningar.
3. Avmarkera kryssrutan Uppdatera certifikat automatiskt i Microsofts rotcertifikatprogram (rekommenderas).

Här är några användbara resurser:
- Konfigurera betrodda rötter och otillåtna certifikat
- Förbättra programmets starttid: Inställningen GeneratePublisherEvidence i Machine.config
Lösning för arbete (alternativ)
Det här är inte bästa praxis eftersom du inte längre söker efter återkallade certifikat eller att fästa certifikat.
Inaktivera CRL-kontroll endast för SPYNET.
Om du konfigurerar det här registret inaktiverar SSLOption endast CRL-kontroll för SPYNET-rapportering. Det påverkar inte andra tjänster.

Gå till HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet och ange SSLOptions (dword) sedan till 2 (hex).
Här är möjliga värden för DWORD:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Försök att ladda ned en falsk skadlig fil från Microsoft

Du kan ladda ned en exempelfil som Microsoft Defender Antivirus identifierar och blockerar om du är korrekt ansluten till molnet.

Obs!

Den nedladdade filen är inte direkt skadlig kod. Det är en falsk fil som är utformad för att testa om du är korrekt ansluten till molnet.

Om du är korrekt ansluten visas en varning Microsoft Defender Antivirus-meddelande.

Om du använder Microsoft Edge visas även ett meddelande:

Meddelandet om att skadlig kod hittades i Edge

Ett liknande meddelande visas om du använder Internet Explorer:

Microsoft Defender Antivirus-meddelandet om att skadlig kod hittades

Visa identifiering av falsk skadlig kod i din Windows-säkerhet-app

  1. I aktivitetsfältet väljer du ikonen Sköld och öppnar appen Windows-säkerhet. Du kan också söka efter Säkerhetsstart.

  2. Välj Virus & skydd mot hot och välj sedan Skyddshistorik.

  3. Under avsnittet Hot i karantän väljer du Se fullständig historik för att se den identifierade falska skadliga koden.

    Obs!

    Versioner av Windows 10 före version 1703 har ett annat användargränssnitt. Se Microsoft Defender Antivirus i Windows-säkerhet-appen.

    Windows-händelseloggen visar även Windows Defender klienthändelse-ID 1116.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.