Konfigurer og valider Microsoft Defender Antivirus netværksforbindelser
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender Antivirus
Platforme
- Windows
For at sikre at Microsoft Defender Cloud-leveret beskyttelse fungerer korrekt, skal sikkerhedsteamet konfigurere dit netværk, så det tillader forbindelser mellem dine slutpunkter og visse Microsoft-servere. Denne artikel indeholder en liste over forbindelser, der skal være tilladt ved brug af firewallreglerne. Den indeholder også instruktioner til validering af forbindelsen. Konfiguration af din beskyttelse korrekt sikrer, at du får den bedste værdi fra dine skybaserede beskyttelsestjenester.
Vigtigt!
Denne artikel indeholder oplysninger om konfiguration af netværksforbindelser kun for Microsoft Defender Antivirus. Hvis du bruger Microsoft Defender for Endpoint (hvilket omfatter Microsoft Defender Antivirus), skal du se Konfigurer indstillinger for enhedsproxy og internetforbindelse for Defender for Endpoint.
Tillad forbindelser til cloudtjenesten Microsoft Defender Antivirus
Cloudtjenesten Microsoft Defender Antivirus sikrer hurtig og stærk beskyttelse af dine slutpunkter. Det er valgfrit at aktivere den skybaserede beskyttelsestjeneste. Microsoft Defender Cloud Service antivirus anbefales, da den giver vigtig beskyttelse mod malware på dine slutpunkter og netværk. Du kan finde flere oplysninger under Aktivér skybaseret beskyttelse for at aktivere tjenesten med Intune, Microsoft Endpoint Configuration Manager, Gruppepolitik, PowerShell-cmdlet'er eller individuelle klienter i appen Windows Sikkerhed.
Når du har aktiveret tjenesten, skal du konfigurere netværket eller firewallen for at tillade forbindelser mellem netværket og dine slutpunkter. Da din beskyttelse er en cloudtjeneste, skal computere have adgang til internettet og kontakte Microsofts cloudtjenester. Udelad ikke URL-adressen *.blob.core.windows.net fra nogen form for netværksinspektion.
Bemærk!
Cloudtjenesten Microsoft Defender Antivirus leverer opdateret beskyttelse til dit netværk og dine slutpunkter. Cloudtjenesten bør ikke betragtes som kun beskyttelse af dine filer, der er gemt i cloudmiljøet. Cloudtjenesten bruger i stedet distribuerede ressourcer og maskinel indlæring til at levere beskyttelse til dine slutpunkter hurtigere end de traditionelle Sikkerhedsintelligensopdateringer.
Tjenester og URL-adresser
Tabellen i dette afsnit indeholder en liste over tjenester og deres tilknyttede webstedsadresser (URL-adresser).
Sørg for, at der ikke er nogen regler for firewall- eller netværksfiltrering, der nægter adgang til disse URL-adresser. Ellers skal du oprette en tilladelsesregel specifikt for disse URL-adresser (undtagen URL-adressen *.blob.core.windows.net). URL-adresserne i følgende tabel bruger port 443 til kommunikation. (Port 80 er også påkrævet for nogle URL-adresser, som nævnt i følgende tabel).
| Tjeneste og beskrivelse | URL |
|---|---|
| Microsoft Defender Antivirus cloud-leveret beskyttelsestjeneste kaldes Microsoft Active Protection Service (MAPS). Microsoft Defender Antivirus bruger MAPS-tjenesten til at yde skybaseret beskyttelse. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) og Windows Update Service (WU) Disse tjenester tillader sikkerhedsintelligens og produktopdateringer. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comDu kan finde flere oplysninger under Forbindelsesslutpunkter for Windows Update. |
| ADL (Security Intelligence Updates Alternate Download Location) Dette er en alternativ placering til Microsoft Defender Antivirus Security Intelligence-opdateringer, hvis den installerede Sikkerhedsintelligens er forældet (syv eller flere dage bagud). |
*.download.microsoft.com*.download.windowsupdate.com (Port 80 er påkrævet)go.microsoft.com (Port 80 er påkrævet)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Lager til indsendelse af malware Dette er en placering til overførsel af filer, der er sendt til Microsoft via indsendelsesformularen eller automatisk eksempelafsendelse. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Liste over tilbagekaldte certifikater (CRL) Windows bruger denne liste, mens du opretter SSL-forbindelsen til MAPS til opdatering af liste over tilbagekaldte certifikater. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Universel GDPR-klient Windows bruger denne klient til at sende klientdiagnosticeringsdata. Microsoft Defender Antivirus bruger den generelle forordning om databeskyttelse til produktkvalitet og overvågning. |
Opdateringen bruger SSL (TCP Port 443) til at downloade manifester og overføre diagnosticeringsdata til Microsoft, der bruger følgende DNS-slutpunkter:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Valider forbindelser mellem dit netværk og cloudmiljøet
Når du har tilladt de angivne URL-adresser, skal du teste, om du har forbindelse til cloudtjenesten Microsoft Defender Antivirus. Test, at URL-adresserne rapporterer korrekt og modtager oplysninger for at sikre, at du er fuldt beskyttet.
Brug cmdlineværktøjet til at validere skybaseret beskyttelse
Brug følgende argument sammen med kommandolinjeværktøjet Microsoft Defender Antivirus (mpcmdrun.exe) til at bekræfte, at netværket kan kommunikere med cloudtjenesten Microsoft Defender Antivirus:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Bemærk!
Åbn kommandoprompt som administrator. Højreklik på elementet i menuen Start , klik på Kør som administrator , og klik på Ja i tilladelsesprompten. Denne kommando fungerer kun på Windows 10, version 1703 eller nyere eller Windows 11.
Du kan få flere oplysninger under Administrer Microsoft Defender Antivirus med kommandolinjeværktøjet mpcmdrun.exe.
Fejlmeddelelser
Her er nogle fejlmeddelelser, som du kan se:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Rodårsager
Hovedårsagen til disse fejlmeddelelser er, at enheden ikke har konfigureret proxyen for hele WinHttp systemet. Hvis du ikke angiver denne proxy, er operativsystemet ikke bekendt med proxyen og kan ikke hente listelisten (operativsystemet gør dette, ikke Defender for Endpoint), hvilket betyder, at TLS-forbindelser til URL-adresser som http://cp.wd.microsoft.com/ ikke lykkes. Du får vist vellykkede forbindelser (svar 200) til slutpunkterne, men MAPS-forbindelserne vil stadig mislykkes.
Løsninger
I følgende tabel vises løsninger:
| Løsning | Beskrivelse |
|---|---|
| Løsning (foretrukket) | Konfigurer den WinHttp-proxy for hele systemet, der tillader kontrol af sikkerhed på rækkeniveau. |
| Løsning (foretrukket 2) | 1. Gå til Computerkonfiguration>Windows-indstillinger>Sikkerhedsindstillinger> Politikker >for offentlige nøglerValideringsindstillinger for certifikatsti. 2. Vælg fanen Netværkshentning , og vælg derefter Definer disse politikindstillinger. 3. Fjern markeringen i afkrydsningsfeltet Opdater automatisk certifikater i Microsoft Root Certificate Program (anbefales). Her er nogle nyttige ressourcer: - Konfigurer rodcertifikater, der er tillid til, og certifikater, der ikke er tilladt - Forbedring af programstarttid: Opret indstillingenPublisherEvidence i Machine.config |
| Løsning, der kan omgås (alternativ) Dette er ikke bedste praksis, da du ikke længere søger efter tilbagekaldte certifikater eller certifikatfastgørelse. |
Deaktiver kun kontrol af sikkerhed på rækkeniveau for SPYNET. Konfiguration af denne SSLOption i registreringsdatabasen deaktiverer kun kontrol af sikkerhed på rækkeniveau for SPYNET-rapportering. Det påvirker ikke andre tjenester. Gå til HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, og angiv SSLOptions (dword) derefter til 2 (hex). Du kan se følgende mulige værdier for DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Forsøg på at downloade en falsk malwarefil fra Microsoft
Du kan downloade en eksempelfil, som Microsoft Defender Antivirus registrerer og blokerer, hvis du har korrekt forbindelse til skyen.
Bemærk!
Den downloadede fil er ikke ligefrem malware. Det er en falsk fil, der er designet til at teste, om du har korrekt forbindelse til cloudmiljøet.
Hvis du har forbindelse korrekt, får du vist en advarsel Microsoft Defender Antivirus-meddelelse.
Hvis du bruger Microsoft Edge, får du også vist en meddelelse:
Der forekommer en lignende meddelelse, hvis du bruger Internet Explorer:
Få vist registrering af falsk malware i din Windows Sikkerhed-app
Vælg ikonet Skjold på proceslinjen, og åbn appen Windows Sikkerhed. Du kan også søge i Start efter sikkerhed.
Vælg Virus & trusselsbeskyttelse, og vælg derefter Beskyttelseshistorik.
Under afsnittet Karantænetrusler skal du vælge Se hele historikken for at se den registrerede falske malware.
Bemærk!
Versioner af Windows 10 før version 1703 har en anden brugergrænseflade. Se Microsoft Defender Antivirus i Windows Sikkerhed-appen.
Windows-hændelsesloggen viser også Windows Defender klienthændelses-id 1116.
Tip
Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:
Se også
- Konfigurer indstillingerne for enhedsproxy og internetforbindelse for Microsoft Defender for Endpoint
- Brug Gruppepolitik indstillinger til at konfigurere og administrere Microsoft Defender Antivirus
- Vigtige ændringer af Slutpunktet for Microsoft Active Protection Services
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.