Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Tento článek obsahuje informace o konfiguraci síťových připojení pouze pro Microsoft Defender Antivirus, pokud se používá bez Microsoft Defender for Endpoint. Pokud používáte Microsoft Defender for Endpoint (která zahrnuje Microsoft Defender Antivirus), přečtěte si téma Konfigurace nastavení proxy serveru zařízení a připojení k internetu pro Defender for Endpoint.
Aby Microsoft Defender antivirová ochrana v cloudu fungovala správně, musí váš bezpečnostní tým nakonfigurovat vaši síť tak, aby umožňovala připojení mezi vašimi koncovými body a určitými servery Microsoftu. Tento článek uvádí, které cíle musí být přístupné. Obsahuje také pokyny pro ověřování připojení. Správná konfigurace připojení zajistí, že z Microsoft Defender antivirové ochrany dostanete nejlepší hodnotu.
Požadavky
Podporované operační systémy
- Windows
Povolení připojení ke cloudové službě Microsoft Defender Antivirus
Cloudová služba Microsoft Defender Antivirus poskytuje rychlou a silnou ochranu koncových bodů. Přestože je volitelné povolit a používat cloudové služby ochrany poskytované službou Microsoft Defender Antivirus, důrazně to doporučujeme, protože poskytuje důležitou a včasnou ochranu před vznikajícími hrozbami ve vašich koncových bodech a síti. Další informace najdete v tématu Povolení cloudové ochrany, která popisuje, jak povolit službu pomocí Intune, Microsoft Configuration Manager, Zásady skupiny, rutin PowerShellu nebo jednotlivých klientů v aplikaci Zabezpečení Windows.
Po povolení služby musíte nakonfigurovat síť nebo bránu firewall tak, aby umožňovaly připojení mezi sítí a vašimi koncovými body. Počítače musí mít přístup k internetu a musí mít přístup ke cloudovým službám Microsoftu, aby mohly správně fungovat.
Poznámka
Cloudová služba Microsoft Defender Antivirus poskytuje aktualizovanou ochranu vaší sítě a koncových bodů. Cloudová služba by neměla být považována za ochranu souborů uložených v cloudu ani proti souborům. Místo toho cloudová služba používá distribuované prostředky a strojové učení k zajištění ochrany koncových bodů rychleji než tradiční aktualizace bezpečnostních funkcí a vztahuje se na hrozby založené na souborech a bez souborů bez ohledu na to, odkud pocházejí.
Služby a adresy URL
Tabulka v této části obsahuje seznam služeb a jejich přidružených webových adres (URL).
Ujistěte se, že žádná pravidla firewallu nebo síťového filtrování nezamítají přístup k těmto adresám URL. Jinak musíte vytvořit pravidlo povolení speciálně pro tyto adresy URL. Adresy URL v následující tabulce používají port 443 pro komunikaci. (Port 80 je také vyžadován pro některé adresy URL, jak je uvedeno v následující tabulce.)
| Služba a popis | URL |
|---|---|
| Služba ochrany Microsoft Defender Antivirus v cloudu se označuje jako služba MAPS (Microsoft Active Protection Service). Microsoft Defender Antivirus používá k zajištění ochrany v cloudu službu MAPS. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Služba Microsoft Update (MU) a služba služba Windows Update Service (WU) Tyto služby umožňují informace o zabezpečení a aktualizace produktů. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comDalší informace najdete v tématu Koncové body připojení pro služba služba Windows Update. |
| Alternativní umístění pro stahování (ADL) aktualizace bezpečnostních informací Jedná se o alternativní umístění pro aktualizace Microsoft Defender Antivirus Security Intelligence, pokud je nainstalovaná funkce Security Intelligence zaostalá (sedm nebo více dní pozadu). |
*.download.microsoft.com*.download.windowsupdate.com (Vyžaduje se port 80.)go.microsoft.com (Vyžaduje se port 80.)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Úložiště pro odesílání malwaru Toto je umístění pro nahrání souborů odeslaných do Microsoftu prostřednictvím formuláře pro odeslání nebo automatického odeslání vzorku. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Seznam odvolaných certifikátů (CRL) Systém Windows používá tento seznam při vytváření připojení SSL ke službě MAPS pro aktualizaci seznamu CRL. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Univerzální klient GDPR Systém Windows používá tohoto klienta k odesílání diagnostických dat klienta. Microsoft Defender Antivirus používá obecné nařízení o ochraně osobních údajů pro účely kvality a monitorování produktů. |
Aktualizace používá protokol SSL (port TCP 443) ke stažení manifestů a nahrání diagnostických dat do Microsoftu, který používá následující koncové body DNS:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Ověření připojení mezi vaší sítí a cloudem
Po povolení uvedených adres URL otestujte, jestli jste připojení ke cloudové službě Microsoft Defender Antivirus. Otestujte, že adresy URL správně hlásí a přijímají informace, abyste měli jistotu, že jste plně chráněni.
Použití nástroje příkazového řádku MpCmdRun k ověření cloudové ochrany
Ověřte, že vaše síť může komunikovat s cloudovou službou Microsoft Defender Antivirus:
Na příkazovém řádku se zvýšenými oprávněními (okno příkazového řádku, které jste otevřeli výběrem možnosti Spustit jako správce) spusťte následující příkazy:
Tip
První příkaz změní adresář na nejnovější verzi antimalwarové <verze> platformy v nástroji %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Pokud tato cesta neexistuje, přejde do %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Další informace o nástroji MpCmdRun najdete v tématu Konfigurace a správa Microsoft Defender Antivirové ochrany pomocí nástroje příkazového řádku MpCmdRun.
Chybové zprávy
Tady je několik chybových zpráv, které se můžou zobrazit:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Příčiny
Původní příčinou těchto chybových zpráv je, že zařízení nemá nakonfigurovaný proxy server pro celý WinHttp systém. Pokud tento proxy server nenastavíte, operační systém o tomto proxy serveru neví a nemůže načíst seznam CRL (dělá to operační systém, ne Defender for Endpoint), což znamená, že připojení TLS k adresám URL, jako http://cp.wd.microsoft.com/ jsou, nebudou úspěšná. Zobrazí se úspěšná připojení (odpověď 200) ke koncovým bodům, ale připojení MAPS stále selhávají.
Řešení
Upřednostňované řešení: Nakonfigurujte proxy server WinHttp pro celý systém, který umožňuje kontrolu seznamu CRL.
Alternativní řešení: Konfigurace následujícího
SSLOptionklíče registru a hodnoty pro zakázání kontroly seznamu CRL pouze pro SpyNet. Tento klíč registru nemá vliv na jiné služby. Toto řešení není osvědčeným postupem, protože už nekontrolujete odvolané certifikáty nebo připnutí certifikátu.Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet] "SSLOptions"=dword:00000002Dostupné hodnoty jsou:
- 0: Zakažte kontroly připnutí a odvolání.
- 1: Zakažte připnutí.
- 2: Zakažte pouze kontroly odvolání.
- 3 (výchozí): Povolte kontroly odvolání a připnutí.
Pokus o stažení falešného souboru malwaru od Microsoftu
Můžete si stáhnout ukázkový soubor, který Microsoft Defender Antivirus zjistí a zablokuje, pokud jste správně připojení ke cloudu.
Poznámka
Stažený soubor není zrovna malware. Jedná se o falešný soubor navržený k otestování, jestli jste správně připojeni ke cloudu.
Pokud jste správně připojeni, zobrazí se upozornění Microsoft Defender oznámení Antivirové ochrany.
Pokud používáte Microsoft Edge, zobrazí se také zpráva s oznámením:
Podobná zpráva se zobrazí, pokud používáte Internet Explorer:
Zobrazení detekce falešného malwaru v aplikaci Zabezpečení Windows
Na hlavním panelu vyberte ikonu Štít a otevřete aplikaci Zabezpečení Windows. Nebo v nabídce Start vyhledejte Zabezpečení.
Vyberte Antivirová & ochrana před hrozbami a pak vyberte Historie ochrany.
V části Hrozby v karanténě vyberte Zobrazit úplnou historii a zobrazte zjištěný falešný malware.
Poznámka
Verze Windows 10 před verzí 1703 mají jiné uživatelské rozhraní. Viz Microsoft Defender Antivirus v aplikaci Zabezpečení Windows.
V protokolu událostí Windows se také zobrazí událost klienta Windows Defenderu s ID 1116.
Tip
Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na: