Настройка и проверка сетевого подключения антивирусной программы "Защитник Windows"
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Чтобы обеспечить правильность работы Microsoft Defender антивирусной облачной защиты, команда безопасности должна настроить сеть, чтобы разрешить подключения между конечными точками и определенными серверами Майкрософт. В этой статье перечислены подключения, которые должны быть разрешены для использования правил брандмауэра. В нем также содержатся инструкции по проверке подключения. Правильная настройка защиты гарантирует, что вы получите наилучшую ценность от облачных служб защиты.
Важно!
Эта статья содержит сведения о настройке сетевых подключений только для Microsoft Defender антивирусной программы. Если вы используете Microsoft Defender для конечной точки (включая антивирусную программу Microsoft Defender), см. статью Настройка параметров прокси-сервера устройства и подключения к Интернету для Defender для конечной точки.
Разрешить подключения к облачной службе антивирусной Microsoft Defender
Облачная служба антивирусной программы Microsoft Defender обеспечивает быструю и надежную защиту конечных точек. Включить облачную службу защиты необязательно. рекомендуется Microsoft Defender облачная служба антивирусной программы, так как она обеспечивает важную защиту от вредоносных программ в конечных точках и сети. Дополнительные сведения см. в статье Включение облачной защиты для включения службы с помощью Intune, microsoft Endpoint Configuration Manager, групповая политика, командлетов PowerShell или отдельных клиентов в приложении Безопасность Windows.
После включения службы необходимо настроить сеть или брандмауэр, чтобы разрешить подключения между сетью и конечными точками. Так как защита является облачной службой, компьютеры должны иметь доступ к Интернету и обращаться к облачным службам Майкрософт. Не исключайте URL-адрес *.blob.core.windows.net из любой проверки сети.
Примечание.
Облачная служба антивирусной программы Microsoft Defender обеспечивает обновленную защиту сети и конечных точек. Облачная служба не должна рассматриваться как защита только для файлов, хранящихся в облаке; Вместо этого облачная служба использует распределенные ресурсы и машинное обучение для обеспечения защиты конечных точек быстрее, чем традиционные обновления аналитики безопасности.
Службы и URL-адреса
В таблице в этом разделе перечислены службы и связанные с ними адреса веб-сайтов (URL-адреса).
Убедитесь, что нет правил фильтрации брандмауэра или сети, запрещающих доступ к этим URL-адресам. В противном случае необходимо создать правило разрешения специально для этих URL-адресов (за исключением URL-адреса *.blob.core.windows.net). URL-адреса в следующей таблице используют порт 443 для связи. (Порт 80 также требуется для некоторых URL-адресов, как указано в следующей таблице.)
| Служба и описание | URL-адрес |
|---|---|
| Microsoft Defender антивирусная облачная служба защиты называется Microsoft Active Protection Service (MAPS). антивирусная программа Microsoft Defender использует службу MAPS для обеспечения облачной защиты. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Служба Центра обновления Майкрософт (MU) и служба клиентский компонент Центра обновления Windows (WU) Эти службы поддерживают аналитику безопасности и обновления продуктов. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comДополнительные сведения см. в статье Конечные точки подключения для клиентский компонент Центра обновления Windows. |
| Альтернативное расположение загрузки обновлений аналитики безопасности (ADL) Это альтернативное расположение для Microsoft Defender обновлений антивирусной аналитики безопасности, если установленная аналитика безопасности устарела (отстает от семи дней или более). |
*.download.microsoft.com*.download.windowsupdate.com (Требуется порт 80)go.microsoft.com (Требуется порт 80)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Хранилище отправки вредоносных программ Это расположение для отправки файлов, отправленных в корпорацию Майкрософт с помощью формы отправки или автоматической отправки образцов. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Список отзыва сертификатов (CRL) Windows использует этот список при создании SSL-подключения к MAPS для обновления списка отзыва сертификатов. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Универсальный клиент GDPR Windows использует этот клиент для отправки диагностических данных клиента. Microsoft Defender антивирусная программа использует Общий регламент по защите данных для качества продукции и мониторинга. |
Обновление использует ПРОТОКОЛ SSL (TCP-порт 443) для скачивания манифестов и отправки диагностических данных в корпорацию Майкрософт, которая использует следующие конечные точки DNS:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Проверка подключений между сетью и облаком
После разрешения перечисленных URL-адресов проверьте, подключены ли вы к облачной службе Microsoft Defender антивирусной программы. Убедитесь, что URL-адреса правильно передают и получают сведения, чтобы убедиться, что вы полностью защищены.
Проверка облачной защиты с помощью средства cmdline
Используйте следующий аргумент со служебной программой командной строки антивирусной программы Microsoft Defender (mpcmdrun.exe), чтобы убедиться, что сеть может взаимодействовать с облачной службой антивирусной программы Microsoft Defender:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Примечание.
Откройте окно командной строки от имени администратора. Щелкните правой кнопкой мыши элемент в меню "Пуск" , выберите Запуск от имени администратора и выберите да в запросе разрешений. Эта команда будет работать только в Windows 10 версии 1703 или более поздней или Windows 11.
Дополнительные сведения см. в статье Управление антивирусной программой Microsoft Defender с помощью средства командной строки mpcmdrun.exe.
Сообщения об ошибках
Ниже приведены некоторые сообщения об ошибках.
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Первопричины
Основная причина этих сообщений об ошибках заключается в том, что на устройстве не настроен прокси-сервер для всей WinHttp системы. Если этот прокси-сервер не задан, операционная система не знает о прокси-сервере и не может получить список отзыва отзыва сертификатов (операционная система делает это, а не Defender для конечной точки), что означает, что подключения TLS к URL-адресам http://cp.wd.microsoft.com/ не будут выполнены. Вы увидите успешные (ответ 200) подключения к конечным точкам, но подключения MAPS по-прежнему завершаются сбоем.
Решения
В следующей таблице перечислены решения.
| Решение | Описание |
|---|---|
| Решение (предпочтительное) | Настройте общесистемный прокси-сервер WinHttp, который позволяет проверка CRL. |
| Решение (предпочтительное 2) | 1. Перейдитев раздел Конфигурация > компьютераПараметры>Windows Параметры безопасности Политики открытых>ключей> Параметрыпроверки пути к сертификату. 2. Перейдите на вкладку Получение сети, а затем выберите Определить эти параметры политики. 3. Снимите флажок Автоматически обновлять сертификаты в программе корневых сертификатов Майкрософт (рекомендуется) проверка. Ниже приведены некоторые полезные ресурсы: - Настройка доверенных корневых и запрещенных сертификатов - Повышение времени запуска приложения: параметр GeneratePublisherEvidence в Machine.config |
| Решение для обхода (альтернатива) Это не рекомендуется, так как вы больше не проверяете наличие отозванных сертификатов или закрепления сертификатов. |
Отключите CRL проверка только для SPYNET. Настройка этого реестра SSLOption отключает проверка CRL только для отчетов SPYNET. Это не повлияет на другие службы. Перейдите в раздел HKLM\SOFTWARE\Policies\Microsoft\Защитник Windows\Spynet, а затем задайте значение SSLOptions (dword)2 (шестнадцатеричный). Для справки ниже приведены возможные значения для DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Попытка скачать поддельный файл вредоносных программ из Корпорации Майкрософт
Вы можете скачать пример файла, который Microsoft Defender антивирусная программа обнаружит и заблокит, если вы правильно подключены к облаку.
Примечание.
Скачанный файл не является точно вредоносной программой. Это поддельный файл, предназначенный для проверки правильности подключения к облаку.
Если вы правильно подключены, вы увидите предупреждение Microsoft Defender уведомление антивирусной программы.
Если вы используете Microsoft Edge, вы также увидите уведомление:
Аналогичное сообщение возникает, если вы используете интернет-Обозреватель:
Просмотр обнаружения поддельных вредоносных программ в приложении Безопасность Windows
На панели задач щелкните значок Щит, откройте приложение Безопасность Windows. Или выполните поиск на начальном экране по запросу Безопасность.
Выберите Антивирусная & защита от угроз, а затем выберите Журнал защиты.
В разделе Угрозы, помещенные в карантин , выберите Просмотреть полный журнал , чтобы просмотреть обнаруженные поддельные вредоносные программы.
Примечание.
Версии Windows 10 до версии 1703 имеют другой пользовательский интерфейс. См. статью Антивирусная программа Microsoft Defender в приложении Безопасность Windows.
В журнале событий Windows также будет отображаться Защитник Windows событие клиента с идентификатором 1116.
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
См. также
- Настройка параметров прокси-сервера устройства и подключения к Интернету для Microsoft Defender для конечной точки
- Использование параметров групповой политики для настройки и управления антивирусной программой в Microsoft Defender
- Важные изменения в конечной точке служб Microsoft Active Protection Services
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.