تكوين اتصالات الشبكة برنامج الحماية من الفيروسات من Microsoft Defender والتحقق من صحتها
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- برنامج الحماية من الفيروسات من Microsoft Defender
الأنظمة الأساسية
- بالنسبة لنظام التشغيل
لضمان عمل Microsoft Defender الحماية المقدمة من السحابة لمكافحة الفيروسات بشكل صحيح، يجب على فريق الأمان تكوين شبكتك للسماح بالاتصالات بين نقاط النهاية وبعض خوادم Microsoft. تسرد هذه المقالة الاتصالات التي يجب السماح بها لاستخدام قواعد جدار الحماية. كما يوفر إرشادات للتحقق من صحة اتصالك. يضمن تكوين الحماية الخاصة بك بشكل صحيح تلقي أفضل قيمة من خدمات الحماية التي توفرها السحابة.
هام
تحتوي هذه المقالة على معلومات حول تكوين اتصالات الشبكة فقط Microsoft Defender Antivirus. إذا كنت تستخدم Microsoft Defender لنقطة النهاية (الذي يتضمن Microsoft Defender مكافحة الفيروسات)، فشاهد تكوين إعدادات وكيل الجهاز والاتصال بالإنترنت ل Defender لنقطة النهاية.
السماح بالاتصالات بخدمة سحابة مكافحة الفيروسات Microsoft Defender
توفر خدمة Microsoft Defender Antivirus السحابية حماية سريعة وقوية لنقاط النهاية الخاصة بك. من الاختياري تمكين خدمة الحماية المقدمة من السحابة. يوصى Microsoft Defender خدمة سحابة مكافحة الفيروسات، لأنها توفر حماية مهمة ضد البرامج الضارة على نقاط النهاية والشبكة. لمزيد من المعلومات، راجع تمكين الحماية المقدمة من السحابة لتمكين الخدمة باستخدام Intune أو Microsoft Endpoint Configuration Manager أو نهج المجموعة أو PowerShell cmdlets أو العملاء الفرديين في تطبيق أمن Windows.
بعد تمكين الخدمة، تحتاج إلى تكوين الشبكة أو جدار الحماية للسماح بالاتصالات بين الشبكة ونقاط النهاية. نظرا لأن حمايتك خدمة سحابية، يجب أن يكون لأجهزة الكمبيوتر حق الوصول إلى الإنترنت والوصول إلى خدمات Microsoft السحابية. لا تستبعد عنوان URL *.blob.core.windows.net من أي نوع من فحص الشبكة.
ملاحظة
توفر خدمة Microsoft Defender Antivirus السحابية حماية محدثة لشبكتك ونقاط النهاية. يجب ألا تعتبر الخدمة السحابية بمثابة حماية فقط لملفاتك المخزنة في السحابة؛ بدلا من ذلك، تستخدم الخدمة السحابية الموارد الموزعة والتعلم الآلي لتوفير الحماية لنقاط النهاية الخاصة بك بمعدل أسرع من تحديثات التحليل الذكي للأمان التقليدية.
الخدمات وعناوين URL
يسرد الجدول في هذا القسم الخدمات وعناوين مواقع الويب المقترنة بها (عناوين URL).
تأكد من عدم وجود جدار حماية أو قواعد تصفية شبكة تمنع الوصول إلى عناوين URL هذه. وإلا، يجب إنشاء قاعدة السماح خصيصا لعناوين URL هذه (باستثناء عنوان URL *.blob.core.windows.net). تستخدم عناوين URL في الجدول التالي المنفذ 443 للاتصال. (المنفذ 80 مطلوب أيضا لبعض عناوين URL، كما هو ملاحظ في الجدول التالي.)
| الخدمة والوصف | Url |
|---|---|
| Microsoft Defender يشار إلى خدمة الحماية المقدمة من السحابة للحماية من الفيروسات باسم خدمة الحماية النشطة من Microsoft (MAPS). يستخدم برنامج الحماية من الفيروسات Microsoft Defender خدمة MAPS لتوفير الحماية التي توفرها السحابة. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) وخدمة Windows Update (WU) تسمح هذه الخدمات بالتحليل الذكي للأمان وتحديثات المنتجات. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comلمزيد من المعلومات، راجع نقاط نهاية الاتصال Windows Update. |
| تحديثات معلومات الأمان موقع التنزيل البديل (ADL) هذا موقع بديل لتحديثات التحليل الذكي لأمان برنامج الحماية من الفيروسات Microsoft Defender، إذا كان التحليل الذكي للأمان المثبت قديما (بعد سبعة أيام أو أكثر). |
*.download.microsoft.com*.download.windowsupdate.com (المنفذ 80 مطلوب)go.microsoft.com (المنفذ 80 مطلوب)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| تخزين إرسال البرامج الضارة هذا موقع تحميل للملفات المرسلة إلى Microsoft عبر نموذج الإرسال أو إرسال العينة التلقائي. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| قائمة إبطال الشهادات (CRL) يستخدم Windows هذه القائمة أثناء إنشاء اتصال SSL ب MAPS لتحديث CRL. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| عميل القانون العام لحماية البيانات (GDPR) يستخدم Windows هذا العميل لإرسال بيانات تشخيص العميل. يستخدم برنامج الحماية من الفيروسات Microsoft Defender التنظيم العام لحماية البيانات لأغراض جودة المنتج والمراقبة. |
يستخدم التحديث SSL (منفذ TCP 443) لتنزيل البيانات وتحميل البيانات التشخيصية إلى Microsoft التي تستخدم نقاط نهاية DNS التالية:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
التحقق من صحة الاتصالات بين شبكتك والسحابة
بعد السماح بعناوين URL المدرجة، اختبر ما إذا كنت متصلا بخدمة Microsoft Defender Antivirus السحابية. اختبر عناوين URL التي تقوم بالإبلاغ عن المعلومات وتلقيها بشكل صحيح للتأكد من أنك محمي بالكامل.
استخدام أداة cmdline للتحقق من صحة الحماية المقدمة من السحابة
استخدم الوسيطة التالية مع الأداة المساعدة لسطر أوامر برنامج الحماية من الفيروسات Microsoft Defender (mpcmdrun.exe) للتحقق من أن شبكتك يمكنها الاتصال بخدمة سحابة برنامج الحماية من الفيروسات Microsoft Defender:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
ملاحظة
افتح موجه الأوامر كمسؤول. انقر بزر الماوس الأيمن فوق العنصر في قائمة البدء ، وانقر فوق تشغيل كمسؤول وانقر فوق نعم في مطالبة الأذونات. سيعمل هذا الأمر فقط على Windows 10 أو الإصدار 1703 أو أعلى أو Windows 11.
لمزيد من المعلومات، راجع إدارة برنامج الحماية من الفيروسات Microsoft Defender باستخدام أداة سطر الأوامر mpcmdrun.exe.
رسائل الخطأ
فيما يلي بعض رسائل الخطأ التي قد تراها:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
الأسباب الجذرية
السبب الجذري لرسائل الخطأ هذه هو أن الجهاز لم يتم تكوين وكيله على مستوى WinHttp النظام. إذا لم تقم بتعيين هذا الوكيل، فلن يكون نظام التشغيل على علم بالوكيل ولا يمكنه إحضار CRL (يقوم نظام التشغيل بذلك، وليس Defender لنقطة النهاية)، ما يعني أن اتصالات TLS بعناوين URL مثل http://cp.wd.microsoft.com/ لا تنجح. ترى اتصالات ناجحة (استجابة 200) بنقاط النهاية، ولكن اتصالات MAPS ستظل تفشل.
حلول
يسرد الجدول التالي الحلول:
| الحل | الوصف |
|---|---|
| الحل (مفضل) | تكوين وكيل WinHttp على مستوى النظام الذي يسمح بفحص CRL. |
| الحل (المفضل 2) | 1. انتقل إلى تكوين> الكمبيوترإعدادات Windows إعدادات>الأمان إعدادات>نهج المفتاح> العامإعدادات التحقق من صحة مسار الشهادة. 2. حدد علامة التبويب استرداد الشبكة ، ثم حدد تعريف إعدادات النهج هذه. 3. قم بإلغاء تحديد خانة الاختيار تحديث الشهادات تلقائيا في برنامج شهادة جذر Microsoft (مستحسن). فيما يلي بعض الموارد المفيدة: - تكوين الجذور الموثوق بها والشهادات غير المسموح بها - تحسين وقت بدء تشغيل التطبيق: إعداد GeneratePublisherEvidence في Machine.config |
| حل الحل البديل (بديل) هذه ليست أفضل ممارسة لأنك لم تعد تتحقق من الشهادات التي تم إبطالها أو تثبيت الشهادة. |
تعطيل فحص CRL فقط ل SPYNET. يؤدي تكوين هذا السجل SSLOption إلى تعطيل التحقق من CRL فقط لإعداد تقارير SPYNET. لن يؤثر ذلك على الخدمات الأخرى. انتقل إلى HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet، ثم قم بتعيين SSLOptions (dword) إلى 2 (سداسي عشري). للرجوع إليها، فيما يلي القيم المحتملة ل DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
محاولة تنزيل ملف برامج ضارة مزيفة من Microsoft
يمكنك تنزيل نموذج ملف Microsoft Defender سيكتشفه برنامج مكافحة الفيروسات ويحظره إذا كنت متصلا بالسحابة بشكل صحيح.
ملاحظة
الملف الذي تم تنزيله ليس بالبرامج الضارة بالضبط. إنه ملف مزيف مصمم لاختبار ما إذا كنت متصلا بالسحابة بشكل صحيح.
إذا كنت متصلا بشكل صحيح، فسترى تحذيرا Microsoft Defender إعلام مكافحة الفيروسات.
إذا كنت تستخدم Microsoft Edge، فسترى أيضا رسالة إعلام:
تحدث رسالة مماثلة إذا كنت تستخدم Internet Explorer:
عرض الكشف عن البرامج الضارة المزيفة في تطبيق أمن Windows
في شريط المهام، حدد أيقونة Shield، وافتح تطبيق أمن Windows. أو ابحث في قائمة البدء عن الأمان.
حدد الحماية من الفيروسات & التهديدات، ثم حدد محفوظات الحماية.
ضمن قسم التهديدات المعزولة ، حدد الاطلاع على المحفوظات الكاملة لمشاهدة البرامج الضارة المزيفة المكتشفة.
ملاحظة
إصدارات Windows 10 قبل الإصدار 1703 لها واجهة مستخدم مختلفة. راجع برنامج الحماية من الفيروسات Microsoft Defender في تطبيق أمن Windows.
سيظهر سجل أحداث Windows أيضا معرف حدث عميل Windows Defender 1116.
تلميح
إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:
راجع أيضًا
- تكوين إعدادات وكيل الجهاز والاتصال بالإنترنت Microsoft Defender لنقطة النهاية
- استخدام إعدادات نهج المجموعة لتكوين برنامج الحماية من الفيروسات Microsoft Defender وإدارته
- تغييرات مهمة على نقطة نهاية خدمات الحماية النشطة من Microsoft
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ