Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
- Antivirová ochrana v Microsoft Defenderu
Důležité
Tento článek obsahuje informace o konfiguraci síťových připojení pouze pro Microsoft Defender Antivirus, pokud se používá bez Microsoft Defender for Endpoint. Pokud používáte Microsoft Defender for Endpoint (která zahrnuje Microsoft Defender Antivirus), přečtěte si téma Konfigurace nastavení proxy serveru zařízení a připojení k internetu pro Defender for Endpoint.
Platformy
- Windows
Aby Microsoft Defender antivirová ochrana v cloudu fungovala správně, musí váš bezpečnostní tým nakonfigurovat vaši síť tak, aby umožňovala připojení mezi vašimi koncovými body a určitými servery Microsoftu. Tento článek uvádí, které cíle jsou velmi přístupné. Obsahuje také pokyny pro ověřování připojení. Správná konfigurace připojení zajistí, že z Microsoft Defender antivirové ochrany dostanete nejlepší hodnotu.
Povolení připojení ke cloudové službě Microsoft Defender Antivirus
Cloudová služba Microsoft Defender Antivirus poskytuje rychlou a silnou ochranu koncových bodů. Přestože je volitelné povolit a používat cloudové služby ochrany poskytované službou Microsoft Defender Antivirus, důrazně to doporučujeme, protože poskytuje důležitou a včasnou ochranu před vznikajícími hrozbami ve vašich koncových bodech a síti. Další informace najdete v tématu Povolení cloudové ochrany, která popisuje, jak povolit službu pomocí Intune, Microsoft Endpoint Configuration Manager, Zásady skupiny, rutin PowerShellu nebo jednotlivých klientů v aplikaci Zabezpečení Windows.
Po povolení služby musíte nakonfigurovat síť nebo bránu firewall tak, aby umožňovaly připojení mezi sítí a vašimi koncovými body. Počítače musí mít přístup k internetu a musí mít přístup ke cloudovým službám Microsoftu, aby mohly správně fungovat.
Poznámka
Cloudová služba Microsoft Defender Antivirus poskytuje aktualizovanou ochranu vaší sítě a koncových bodů. Cloudová služba by neměla být považována za ochranu souborů uložených v cloudu ani proti souborům. Místo toho cloudová služba používá distribuované prostředky a strojové učení k zajištění ochrany koncových bodů rychleji než tradiční aktualizace bezpečnostních funkcí a vztahuje se na hrozby založené na souborech a bez souborů bez ohledu na to, odkud pocházejí.
Služby a adresy URL
Tabulka v této části obsahuje seznam služeb a jejich přidružených webových adres (URL).
Ujistěte se, že žádná pravidla firewallu nebo síťového filtrování nezamítají přístup k těmto adresám URL. Jinak musíte vytvořit pravidlo povolení speciálně pro tyto adresy URL. Adresy URL v následující tabulce používají port 443 pro komunikaci. (Port 80 je také vyžadován pro některé adresy URL, jak je uvedeno v následující tabulce.)
| Služba a popis | URL |
|---|---|
| Služba ochrany Microsoft Defender Antivirus v cloudu se označuje jako služba MAPS (Microsoft Active Protection Service). Microsoft Defender Antivirus používá k zajištění ochrany v cloudu službu MAPS. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Služba Microsoft Update (MU) a služba Windows Update Service (WU) Tyto služby umožňují informace o zabezpečení a aktualizace produktů. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comDalší informace najdete v tématu Koncové body připojení pro služba Windows Update. |
| Alternativní umístění pro stahování (ADL) aktualizace bezpečnostních informací Jedná se o alternativní umístění pro aktualizace Microsoft Defender Antivirus Security Intelligence, pokud je nainstalovaná funkce Security Intelligence zaostalá (sedm nebo více dní pozadu). |
*.download.microsoft.com*.download.windowsupdate.com (Vyžaduje se port 80.)go.microsoft.com (Vyžaduje se port 80.)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Úložiště pro odesílání malwaru Toto je umístění pro nahrání souborů odeslaných do Microsoftu prostřednictvím formuláře pro odeslání nebo automatického odeslání vzorku. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Seznam odvolaných certifikátů (CRL) Systém Windows používá tento seznam při vytváření připojení SSL ke službě MAPS pro aktualizaci seznamu CRL. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Univerzální klient GDPR Systém Windows používá tohoto klienta k odesílání diagnostických dat klienta. Microsoft Defender Antivirus používá obecné nařízení o ochraně osobních údajů pro účely kvality a monitorování produktů. |
Aktualizace používá protokol SSL (port TCP 443) ke stažení manifestů a nahrání diagnostických dat do Microsoftu, který používá následující koncové body DNS:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Ověření připojení mezi vaší sítí a cloudem
Po povolení uvedených adres URL otestujte, jestli jste připojení ke cloudové službě Microsoft Defender Antivirus. Otestujte, že adresy URL správně hlásí a přijímají informace, abyste měli jistotu, že jste plně chráněni.
Použití nástroje cmdline k ověření cloudové ochrany
Pomocí následujícího argumentu pomocí nástroje příkazového řádku Microsoft Defender Antivirus (mpcmdrun.exe) ověřte, že vaše síť může komunikovat s cloudovou službou Microsoft Defender Antivirus:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Poznámka
Otevřete příkazový řádek jako správce. Pravým tlačítkem myši klikněte na položku v nabídce Start , klikněte na Spustit jako správce a v příkazovém řádku oprávnění klikněte na Ano . Tento příkaz bude fungovat jenom u Windows 10 verze 1703 nebo vyšší nebo Windows 11.
Další informace najdete v tématu Správa Microsoft Defender Antivirové ochrany pomocí nástroje příkazového řádku mpcmdrun.exe.
Chybové zprávy
Tady je několik chybových zpráv, které se můžou zobrazit:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Příčiny
Původní příčinou těchto chybových zpráv je, že zařízení nemá nakonfigurovaný proxy server pro celý WinHttp systém. Pokud tento proxy server nenastavíte, operační systém o tomto proxy serveru neví a nemůže načíst seznam CRL (dělá to operační systém, ne Defender for Endpoint), což znamená, že připojení TLS k adresám URL, jako http://cp.wd.microsoft.com/ jsou, nebudou úspěšná. Zobrazí se úspěšná připojení (odpověď 200) ke koncovým bodům, ale připojení MAPS stále selhávají.
Řešení
V následující tabulce jsou uvedena řešení:
| Řešení | Popis |
|---|---|
| Řešení (upřednostňované) | Nakonfigurujte proxy server WinHttp pro celý systém, který umožňuje kontrolu seznamu CRL. |
| Řešení (upřednostňované 2) | 1. Přejděte na Konfigurace> počítačeNastavení> systému WindowsNastavení> zabezpečeníZásady veřejného klíče Zásady>ověření cesty certifikátu Nastavení ověření. 2. Vyberte kartu Načtení sítě a pak vyberte Definovat tato nastavení zásad. 3. Zrušte zaškrtnutí políčka Automaticky aktualizovat certifikáty v programu Microsoft Root Certificate Program (doporučeno). Tady je několik užitečných zdrojů informací: - Konfigurace důvěryhodných kořenových certifikátů a nepovolené certifikáty - Vylepšení doby spuštění aplikace: Nastavení GeneratePublisherEvidence v Machine.config |
| Alternativní řešení (alternativní) To není osvědčený postup, protože už nekontrolujete odvolané certifikáty nebo připnutí certifikátu. |
Zakažte kontrolu seznamu CRL jenom pro SPYNET. Konfigurace tohoto registru SSLOption zakáže kontrolu seznamu CRL pouze pro generování sestav SPYNET. Nebude mít vliv na jiné služby. Přejděte na HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet a pak nastavte SSLOptions (dword) na 2 (hex). Pro referenci jsou zde možné hodnoty pro DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Pokus o stažení falešného souboru malwaru od Microsoftu
Můžete si stáhnout ukázkový soubor, který Microsoft Defender Antivirus zjistí a zablokuje, pokud jste správně připojení ke cloudu.
Poznámka
Stažený soubor není zrovna malware. Jedná se o falešný soubor navržený k otestování, jestli jste správně připojeni ke cloudu.
Pokud jste správně připojeni, zobrazí se upozornění Microsoft Defender oznámení Antivirové ochrany.
Pokud používáte Microsoft Edge, zobrazí se také zpráva s oznámením:
Podobná zpráva se zobrazí, pokud používáte Internet Explorer:
Zobrazení detekce falešného malwaru v aplikaci Zabezpečení Windows
Na hlavním panelu vyberte ikonu Štít a otevřete aplikaci Zabezpečení Windows. Nebo v nabídce Start vyhledejte Zabezpečení.
Vyberte Antivirová & ochrana před hrozbami a pak vyberte Historie ochrany.
V části Hrozby v karanténě vyberte Zobrazit úplnou historii a zobrazte zjištěný falešný malware.
Poznámka
Verze Windows 10 před verzí 1703 mají jiné uživatelské rozhraní. Viz Microsoft Defender Antivirus v aplikaci Zabezpečení Windows.
V protokolu událostí Windows se také zobrazí událost klienta Windows Defenderu s ID 1116.
Tip
Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na:
Viz také
- Konfigurace nastavení proxy serveru zařízení a připojení k internetu pro Microsoft Defender for Endpoint
- Konfigurace a správa Microsoft Defender Antivirové ochrany pomocí nastavení Zásady skupiny
- Důležité změny koncového bodu služby Microsoft Active Protection Services
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.