配置和验证 Microsoft Defender 防病毒软件网络连接

适用于:

平台

  • Windows

为了确保Microsoft Defender防病毒云提供的保护正常工作,安全团队必须配置网络,以允许终结点与某些 Microsoft 服务器之间的连接。 本文列出了必须允许使用防火墙规则的连接。 它还提供了有关验证连接的说明。 正确配置保护可确保从云提供的保护服务中获得最大价值。

重要

本文包含有关仅为防病毒Microsoft Defender配置网络连接的信息。 如果使用Microsoft Defender for Endpoint (包括Microsoft Defender防病毒) ,请参阅为 Defender for Endpoint 配置设备代理和 Internet 连接设置

允许连接到Microsoft Defender防病毒云服务

Microsoft Defender防病毒云服务为终结点提供快速而强大的保护。 启用云提供的保护服务是可选的。 建议Microsoft Defender防病毒云服务,因为它提供针对终结点和网络上恶意软件的重要保护。 有关详细信息,请参阅在 Windows 安全中心 应用中使用 Intune、Microsoft Endpoint Configuration Manager、组策略、PowerShell cmdlet 或单个客户端启用服务的云交付保护

启用服务后,需要配置网络或防火墙,以允许网络与终结点之间的连接。 由于保护是云服务,因此计算机必须有权访问 Internet 并访问 Microsoft 云服务。 不要从任何类型的网络检查中排除 URL *.blob.core.windows.net

注意

Microsoft Defender防病毒云服务为网络和终结点提供更新的保护。 不应将云服务视为仅保护存储在云中的文件;相反,云服务使用分布式资源和机器学习,以比传统安全智能更新更快的速度为终结点提供保护。

服务和 URL

本部分中的表列出了服务及其关联的网站地址 (URL) 。

确保没有拒绝访问这些 URL 的防火墙或网络筛选规则。 否则,必须专门为这些 URL 创建允许规则, (排除 URL *.blob.core.windows.net) 。 下表中的 URL 使用端口 443 进行通信。 某些 URL 还需要 (端口 80,如下表所述。)

服务和说明 URL
Microsoft Defender防病毒云提供的保护服务称为 Microsoft Active Protection Service (MAPS) 。
Microsoft Defender防病毒使用 MAPS 服务提供云提供的保护。
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) 和 Windows 更新 Service (WU)
这些服务允许安全智能和产品更新。
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

有关详细信息,请参阅Windows 更新的连接终结点
安全智能更新备用下载位置 (ADL)
如果已安装的安全智能已过期 () 七天或更多天,则这是Microsoft Defender防病毒安全智能更新的备用位置。
*.download.microsoft.com
*.download.windowsupdate.com (端口 80 是必需的)
go.microsoft.com (端口 80 是必需的)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
恶意软件提交存储
这是通过提交表单或自动示例提交提交到 Microsoft 的文件的上传位置。
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
证书吊销列表 (CRL)
Windows 在创建与 MAPS 的 SSL 连接以更新 CRL 时使用此列表。
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
通用 GDPR 客户端
Windows 使用此客户端发送客户端诊断数据。

Microsoft Defender防病毒使用一般数据保护条例来保证产品质量和监视目的。
此更新使用 SSL (TCP 端口 443) 下载清单并将诊断数据上传到使用以下 DNS 终结点的 Microsoft:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

验证网络与云之间的连接

允许列出的 URL 后,测试是否已连接到 Microsoft Defender 防病毒云服务。 测试 URL 是否正确报告和接收信息,以确保你受到完全保护。

使用 cmdline 工具验证云提供的保护

将以下参数与 Microsoft Defender 防病毒命令行实用工具 (mpcmdrun.exe) 来验证网络是否可以与Microsoft Defender防病毒云服务通信:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

注意

以管理员身份打开“命令提示符”。 右键单击 “开始 ”菜单中的项,单击“ 以管理员身份运行 ”,并在权限提示符处单击“ ”。 此命令仅适用于 Windows 10、版本 1703 或更高版本或Windows 11。

有关详细信息,请参阅使用 mpcmdrun.exe 命令行工具管理Microsoft Defender防病毒

错误消息

下面是你可能会看到的一些错误消息:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

根源

这些错误消息的根本原因是设备未配置其系统范围的 WinHttp 代理。 如果未设置此代理,则操作系统不知道代理,并且无法提取 CRL (操作系统执行此操作,而不是 Defender for Endpoint) ,这意味着与 URL 的 http://cp.wd.microsoft.com/ TLS 连接不会成功。 你会看到成功 (响应 200) 终结点的连接,但 MAPS 连接仍会失败。

解决方案

下表列出了解决方案:

解决方案 说明
解决方案 (首选) 配置允许 CRL 检查的系统范围的 WinHttp 代理。
解决方案 (首选 2) 1. 转到“计算机配置>”“Windows 设置”“>安全设置>”“公钥策略>”“证书路径验证设置”。
2. 选择“ 网络检索 ”选项卡,然后选择“ 定义这些策略设置”。
3. 清除“Microsoft 根证书计划 (推荐) 检查”框中的“自动更新证书 ”。

下面是一些有用的资源:
- 配置受信任的根证书和不允许的证书
- 缩短应用程序启动时间:Machine.config中的 GeneratePublisherEvidence 设置
替代) (解决方法
这不是最佳做法,因为你不再检查吊销的证书或证书固定。
仅对 SPYNET 禁用 CRL 检查。
配置此注册表 SSLOption 仅对 SPYNET 报告禁用 CRL 检查。 它不会影响其他服务。

转到 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet,然后将 设置为 SSLOptions (dword)2 (十六进制) 。
下面是 DWORD 的可能值,以供参考:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

尝试从 Microsoft 下载虚假恶意软件文件

可以下载一个示例文件,Microsoft Defender防病毒将检测并阻止你是否正确连接到云。

注意

下载的文件并不完全是恶意软件。 它是一个虚假文件,旨在测试是否已正确连接到云。

如果连接正确,你将看到一条警告Microsoft Defender防病毒通知。

如果使用的是 Microsoft Edge,还会看到一条通知消息:

在 Edge 中发现恶意软件的通知

如果使用 Internet Explorer,则会出现类似的消息:

发现恶意软件的Microsoft Defender防病毒通知

在 Windows 安全中心 应用中查看假恶意软件检测

  1. 在任务栏上,选择“盾牌”图标,打开Windows 安全中心应用。 或者,搜索“开始”以获取安全性

  2. 选择“ 病毒 & 威胁防护”,然后选择“ 保护历史记录”。

  3. 在“ 隔离的威胁 ”部分下,选择“ 查看完整历史记录 ”以查看检测到的虚假恶意软件。

    注意

    版本 1703 之前的 Windows 10 版本具有不同的用户界面。 请参阅 Windows 安全中心 应用中Microsoft Defender防病毒

    Windows 事件日志还会显示Windows Defender客户端事件 ID 1116

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区