Freigeben über


Konfigurieren und Validieren von Microsoft Defender Antivirus-Netzwerkverbindungen

Gilt für:

Plattformen

  • Windows

Um sicherzustellen, dass Microsoft Defender Von der Cloud bereitgestellten Antivirus-Schutz ordnungsgemäß funktioniert, muss Ihr Sicherheitsteam Ihr Netzwerk so konfigurieren, dass Verbindungen zwischen Ihren Endpunkten und bestimmten Microsoft-Servern zugelassen werden. In diesem Artikel werden Verbindungen aufgeführt, die für die Verwendung der Firewallregeln zulässig sein müssen. Es enthält auch Anweisungen zum Überprüfen Ihrer Verbindung. Wenn Sie Ihren Schutz ordnungsgemäß konfigurieren, wird sichergestellt, dass Sie den besten Nutzen aus Ihren cloudbasierten Schutzdiensten erhalten.

Wichtig

Dieser Artikel enthält Informationen zum Konfigurieren von Netzwerkverbindungen nur für Microsoft Defender Antivirus. Wenn Sie Microsoft Defender for Endpoint (einschließlich Microsoft Defender Antivirus) verwenden, finden Sie weitere Informationen unter Konfigurieren von Einstellungen für Geräteproxy und Internetkonnektivität für Defender für Endpunkt.

Zulassen von Verbindungen mit dem Microsoft Defender Antivirus-Clouddienst

Der Microsoft Defender Antivirus-Clouddienst bietet schnellen und starken Schutz für Ihre Endpunkte. Es ist optional, den von der Cloud bereitgestellten Schutzdienst zu aktivieren. Microsoft Defender Antivirus-Clouddienst wird empfohlen, da er einen wichtigen Schutz vor Schadsoftware auf Ihren Endpunkten und ihrem Netzwerk bietet. Weitere Informationen finden Sie unter Aktivieren des in der Cloud bereitgestellten Schutzes zum Aktivieren von Diensten mit Intune, Microsoft Endpoint Configuration Manager, Gruppenrichtlinie, PowerShell-Cmdlets oder einzelnen Clients in der Windows-Sicherheit-App.

Nachdem Sie den Dienst aktiviert haben, müssen Sie Ihr Netzwerk oder Ihre Firewall so konfigurieren, dass Verbindungen zwischen dem Netzwerk und Ihren Endpunkten zugelassen werden. Da Ihr Schutz ein Clouddienst ist, müssen Computer Zugriff auf das Internet haben und die Microsoft-Clouddienste erreichen. Schließen Sie die URL *.blob.core.windows.net nicht von einer Netzwerküberprüfung aus.

Hinweis

Der Microsoft Defender Antivirus-Clouddienst bietet aktualisierten Schutz für Ihr Netzwerk und Ihre Endpunkte. Der Clouddienst sollte nicht nur als Schutz für Ihre Dateien betrachtet werden, die in der Cloud gespeichert sind. Stattdessen verwendet der Clouddienst verteilte Ressourcen und maschinelles Lernen, um schneller schutz für Ihre Endpunkte bereitzustellen als die herkömmlichen Security Intelligence-Updates.

Dienste und URLs

In der Tabelle in diesem Abschnitt sind Dienste und die zugehörigen Websiteadressen (URLs) aufgeführt.

Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, die den Zugriff auf diese URLs verweigern. Andernfalls müssen Sie eine Zulassungsregel speziell für diese URLs erstellen (mit Ausnahme der URL *.blob.core.windows.net). Die URLs in der folgenden Tabelle verwenden Port 443 für die Kommunikation. (Port 80 ist auch für einige URLs erforderlich, wie in der folgenden Tabelle angegeben.)

Dienst und Beschreibung URL
Microsoft Defender Von der Cloud bereitgestellter Antivirus-Schutzdienst wird als Microsoft Active Protection Service (MAPS) bezeichnet.
Microsoft Defender Antivirus verwendet den MAPS-Dienst, um über die Cloud bereitgestellten Schutz bereitzustellen.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) und Windows Update Service (WU)
Diese Dienste ermöglichen Sicherheitsinformationen und Produktupdates.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Weitere Informationen finden Sie unter Verbindungsendpunkte für Windows Update.
Alternativer Downloadspeicherort (ADL) für Security Intelligence-Updates
Dies ist ein alternativer Speicherort für Microsoft Defender Antivirus Security Intelligence-Updates, wenn die installierte Sicherheitsintelligenz veraltet ist (sieben oder mehr Tage im Rückstand).
*.download.microsoft.com
*.download.windowsupdate.com (Port 80 ist erforderlich)
go.microsoft.com (Port 80 ist erforderlich)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Schadsoftware-Übermittlungsspeicher
Dies ist ein Uploadspeicherort für Dateien, die über das Übermittlungsformular oder die automatische Beispielübermittlung an Microsoft übermittelt werden.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Zertifikatsperrliste (Certificate Revocation List, CRL)
Windows verwendet diese Liste beim Erstellen der SSL-Verbindung mit MAPS zum Aktualisieren der Zertifikatsperrliste.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Universeller DSGVO-Client
Windows verwendet diesen Client, um die Clientdiagnosedaten zu senden.

Microsoft Defender Antivirus verwendet die Datenschutz-Grundverordnung für produktqualitäts- und überwachungszwecke.
Das Update verwendet SSL (TCP-Port 443), um Manifeste herunterzuladen und Diagnosedaten an Microsoft hochzuladen, die die folgenden DNS-Endpunkte verwenden:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Überprüfen von Verbindungen zwischen Ihrem Netzwerk und der Cloud

Nachdem Sie die aufgeführten URLs zugelassen haben, testen Sie, ob Sie mit dem Microsoft Defender Antivirus-Clouddienst verbunden sind. Testen Sie, ob die URLs ordnungsgemäß berichte und Informationen empfangen, um sicherzustellen, dass Sie vollständig geschützt sind.

Verwenden des Cmdline-Tools zum Überprüfen des von der Cloud bereitgestellten Schutzes

Verwenden Sie das folgende Argument mit dem Microsoft Defender Antivirus-Befehlszeilenprogramm (mpcmdrun.exe), um zu überprüfen, ob Ihr Netzwerk mit dem Microsoft Defender Antivirus-Clouddienst kommunizieren kann:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Hinweis

Öffnen Sie die Eingabeaufforderung als Administrator. Klicken Sie im Startmenü mit der rechten Maustaste auf das Element, klicken Sie auf Als Administrator ausführen , und klicken Sie an der Berechtigungsaufforderung auf Ja . Dieser Befehl funktioniert nur unter Windows 10, Version 1703 oder höher, oder Windows 11.

Weitere Informationen finden Sie unter Verwalten Microsoft Defender Antivirus mit dem mpcmdrun.exe-Befehlszeilentool.

Fehlermeldungen

Im Folgenden finden Sie einige Fehlermeldungen, die möglicherweise angezeigt werden:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Ursachen

Die Grundursache dieser Fehlermeldungen ist, dass der systemweite WinHttp Proxy auf dem Gerät nicht konfiguriert ist. Wenn Sie diesen Proxy nicht festlegen, kennt das Betriebssystem den Proxy nicht und kann die Zertifikatsperrliste nicht abrufen (das Betriebssystem macht dies, nicht Defender für Endpunkt), was bedeutet, dass TLS-Verbindungen mit URLs wie http://cp.wd.microsoft.com/ nicht erfolgreich sind. Es werden erfolgreiche Verbindungen (Antwort 200) mit den Endpunkten angezeigt, aber die MAPS-Verbindungen würden weiterhin fehlschlagen.

Lösungen

In der folgenden Tabelle sind Lösungen aufgeführt:

Lösung Beschreibung
Lösung (bevorzugt) Konfigurieren Sie den systemweiten WinHttp-Proxy, der die Zertifikatsperrlistenüberprüfung zulässt.
Lösung (bevorzugt 2) 1. Wechseln Sie zu Computerkonfiguration Windows-Einstellungen>>Sicherheitseinstellungen>Public Key-Richtlinien>Zertifikatpfadüberprüfungseinstellungen.
2. Wählen Sie die Registerkarte Netzwerkabruf und dann Diese Richtlinieneinstellungen definieren aus.
3. Deaktivieren Sie das Kontrollkästchen Zertifikate im Microsoft-Stammzertifikatprogramm automatisch aktualisieren (empfohlen).

Hier sind einige nützliche Ressourcen:
- Konfigurieren von vertrauenswürdigen Stammelementen und unzulässigen Zertifikaten
- Verbessern der Startzeit der Anwendung: GeneratePublisherEvidence-Einstellung in Machine.config
Problembegehungslösung (Alternative)
Dies ist keine bewährte Methode, da Sie nicht mehr nach widerrufenen Zertifikaten oder dem Anheften von Zertifikaten suchen.
Deaktivieren Sie die CRL-Überprüfung nur für SPYNET.
Wenn Sie diese Registrierung mit SSLOption konfigurieren, wird die CRL-Überprüfung nur für SPYNET-Berichte deaktiviert. Dies wirkt sich nicht auf andere Dienste aus.

Wechseln Sie zu HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, und legen Sie dann auf 2 (hexadezim) festSSLOptions (dword).
Als Referenz sind die folgenden Werte für das DWORD möglich:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Versuch, eine gefälschte Schadsoftwaredatei von Microsoft herunterzuladen

Sie können eine Beispieldatei herunterladen, die Microsoft Defender Antivirus erkennt und blockiert, wenn Sie ordnungsgemäß mit der Cloud verbunden sind.

Hinweis

Die heruntergeladene Datei ist nicht genau Malware. Es handelt sich um eine gefälschte Datei, die getestet werden soll, ob Sie ordnungsgemäß mit der Cloud verbunden sind.

Wenn Sie ordnungsgemäß verbunden sind, wird eine Warnung Microsoft Defender Antivirusbenachrichtigung angezeigt.

Wenn Sie Microsoft Edge verwenden, wird auch eine Benachrichtigung angezeigt:

Die Benachrichtigung, dass Schadsoftware in Edge gefunden wurde

Eine ähnliche Meldung tritt auf, wenn Sie Internet Explorer verwenden:

Die Microsoft Defender Antivirus-Benachrichtigung, dass Schadsoftware gefunden wurde

Anzeigen der Erkennung gefälschter Schadsoftware in Ihrer Windows-Sicherheit-App

  1. Wählen Sie auf der Taskleiste das Symbol Abschirmen aus, und öffnen Sie die app Windows-Sicherheit. Oder suchen Sie unter Start nach Sicherheit.

  2. Wählen Sie Virenschutz & Bedrohungsschutz und dann Schutzverlauf aus.

  3. Wählen Sie im Abschnitt Unter Quarantäne gestellte Bedrohungen die Option Vollständigen Verlauf anzeigen aus, um die erkannte gefälschte Schadsoftware anzuzeigen.

    Hinweis

    Versionen von Windows 10 vor Version 1703 verfügen über eine andere Benutzeroberfläche. Weitere Informationen finden Sie unter Microsoft Defender Antivirus in der Windows-Sicherheit-App.

    Im Windows-Ereignisprotokoll wird auch Windows Defender Clientereignis-ID 1116 angezeigt.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.