Konfigurieren und Validieren von Microsoft Defender Antivirus-Netzwerkverbindungen

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender Antivirus

Plattformen

• Windows

Tipp

RSS-Feed: Sie werden benachrichtigt, wenn diese Seite aktualisiert wird, indem Sie die folgende URL kopieren und in Ihren Feedreader einfügen:

https://github.com/MicrosoftDocs/microsoft-365-docs/commits/public/microsoft-365/security/defender-endpoint/configure-network-connections-microsoft-defender-antivirus.md.atom

Um sicherzustellen, dass Microsoft Defender Von der Cloud bereitgestellten Antivirus-Schutz ordnungsgemäß funktioniert, muss Ihr Sicherheitsteam Ihr Netzwerk so konfigurieren, dass Verbindungen zwischen Ihren Endpunkten und bestimmten Microsoft-Servern zugelassen werden. In diesem Artikel werden Verbindungen aufgeführt, die für die Verwendung der Firewallregeln zulässig sein müssen. Es enthält auch Anweisungen zum Überprüfen Ihrer Verbindung. Wenn Sie Ihren Schutz ordnungsgemäß konfigurieren, wird sichergestellt, dass Sie den besten Nutzen aus Ihren von der Cloud bereitgestellten Schutzdiensten erhalten.

Wichtig

Dieser Artikel enthält Informationen zum Konfigurieren von Netzwerkverbindungen nur für Microsoft Defender Antivirus. Wenn Sie Microsoft Defender for Endpoint (einschließlich Microsoft Defender Antivirus) verwenden, finden Sie weitere Informationen unter Konfigurieren von Einstellungen für Geräteproxy und Internetkonnektivität für Defender für Endpunkt.

Zulassen von Verbindungen mit dem Microsoft Defender Antivirus-Clouddienst

Der Microsoft Defender Antivirus-Clouddienst bietet schnellen und starken Schutz für Ihre Endpunkte. Es ist optional, den von der Cloud bereitgestellten Schutzdienst zu aktivieren. Microsoft Defender Antivirus-Clouddienst wird empfohlen, da er einen wichtigen Schutz vor Schadsoftware auf Ihren Endpunkten und im Netzwerk bietet. Weitere Informationen finden Sie unter Aktivieren des in der Cloud bereitgestellten Schutzes zum Aktivieren von Diensten mit Intune, Microsoft Endpoint Configuration Manager, Gruppenrichtlinie, PowerShell-Cmdlets oder einzelnen Clients in der Windows-Sicherheit-App.

Nachdem Sie den Dienst aktiviert haben, müssen Sie Ihr Netzwerk oder Ihre Firewall so konfigurieren, dass Verbindungen zwischen dem Netzwerk und Ihren Endpunkten zugelassen werden. Da Ihr Schutz ein Clouddienst ist, müssen Computer Zugriff auf das Internet haben und die Microsoft-Clouddienste erreichen. Schließen Sie die URL *.blob.core.windows.net nicht von einer Netzwerküberprüfung aus.

Hinweis

Der Microsoft Defender Antivirus-Clouddienst bietet aktualisierten Schutz für Ihr Netzwerk und Ihre Endpunkte. Der Clouddienst sollte nicht nur als Schutz für Ihre Dateien betrachtet werden, die in der Cloud gespeichert sind. Stattdessen verwendet der Clouddienst verteilte Ressourcen und maschinelles Lernen, um schneller schutz für Ihre Endpunkte bereitzustellen als die herkömmlichen Security Intelligence-Updates.

Dienste und URLs

In der Tabelle in diesem Abschnitt sind Dienste und die zugehörigen Websiteadressen (URLs) aufgeführt.

Stellen Sie sicher, dass keine Firewall- oder Netzwerkfilterregeln vorhanden sind, die den Zugriff auf diese URLs verweigern. Andernfalls müssen Sie eine Zulassungsregel speziell für diese URLs erstellen (mit Ausnahme der URL *.blob.core.windows.net). Die URLs in der folgenden Tabelle verwenden Port 443 für die Kommunikation.

Dienst und Beschreibung	URL
Microsoft Defender In der Cloud bereitgestellter Antivirus-Schutzdienst wird als Microsoft Active Protection Service (MAPS) bezeichnet. Microsoft Defender Antivirus verwendet den MAPS-Dienst, um über die Cloud bereitgestellten Schutz bereitzustellen.	*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com ctldl.windows.com
Microsoft Update Service (MU) und Windows Update Service (WU) Diese Dienste ermöglichen Sicherheitsinformationen und Produktupdates.	*.update.microsoft.com *.delivery.mp.microsoft.com *.windowsupdate.com Weitere Informationen finden Sie unter Verbindungsendpunkte für Windows Update
Alternativer Downloadspeicherort (ADL) für Security Intelligence-Updates Dies ist ein alternativer Speicherort für Microsoft Defender Antivirus Security Intelligence-Updates, wenn die installierte Sicherheitsintelligenz veraltet ist (sieben oder mehr Tage im Rückstand).	*.download.microsoft.com *.download.windowsupdate.com go.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/ https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Schadsoftware-Übermittlungsspeicher Dies ist ein Uploadspeicherort für Dateien, die über das Übermittlungsformular oder die automatische Beispielübermittlung an Microsoft übermittelt werden.	ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net
Zertifikatsperrliste (Certificate Revocation List, CRL) Windows verwendet diese Liste beim Erstellen der SSL-Verbindung mit MAPS zum Aktualisieren der Zertifikatsperrliste.	http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs
Symbolspeicher Microsoft Defender Antivirus verwendet den Symbolspeicher, um bestimmte kritische Dateien während der Wartungsflows wiederherzustellen.	https://msdl.microsoft.com/download/symbols
Universeller DSGVO-Client Windows verwendet diesen Client, um die Clientdiagnosedaten zu senden. Microsoft Defender Antivirus verwendet die Datenschutz-Grundverordnung für produktqualitäts- und überwachungszwecke.	Das Update verwendet SSL (TCP-Port 443), um Manifeste herunterzuladen und Diagnosedaten an Microsoft hochzuladen, die die folgenden DNS-Endpunkte verwenden: vortex-win.data.microsoft.com settings-win.data.microsoft.com

Überprüfen von Verbindungen zwischen Ihrem Netzwerk und der Cloud

Nachdem Sie die aufgeführten URLs zugelassen haben, testen Sie, ob Sie mit dem Microsoft Defender Antivirus-Clouddienst verbunden sind. Testen Sie, ob die URLs ordnungsgemäß berichte und Informationen empfangen, um sicherzustellen, dass Sie vollständig geschützt sind.

Verwenden des Cmdline-Tools zum Überprüfen des von der Cloud bereitgestellten Schutzes

Verwenden Sie das folgende Argument mit dem Microsoft Defender Antivirus-Befehlszeilenprogramm (mpcmdrun.exe), um zu überprüfen, ob Ihr Netzwerk mit dem Microsoft Defender Antivirus-Clouddienst kommunizieren kann:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Hinweis

Öffnen Sie die Eingabeaufforderung als Administrator. Klicken Sie im Startmenü mit der rechten Maustaste auf das Element, klicken Sie auf Als Administrator ausführen , und klicken Sie an der Berechtigungsaufforderung auf Ja . Dieser Befehl funktioniert nur unter Windows 10, Version 1703 oder höher, oder Windows 11.

Weitere Informationen finden Sie unter Verwalten Microsoft Defender Antivirus mit dem mpcmdrun.exe-Befehlszeilentool.

Versuch, eine gefälschte Schadsoftwaredatei von Microsoft herunterzuladen

Sie können eine Beispieldatei herunterladen, die Microsoft Defender Antivirus erkennt und blockiert, wenn Sie ordnungsgemäß mit der Cloud verbunden sind. Besuchen Sie https://aka.ms/ioavtest1 , um die Datei herunterzuladen.

Hinweis

Die heruntergeladene Datei ist nicht genau Malware. Es handelt sich um eine gefälschte Datei, die getestet werden soll, ob Sie ordnungsgemäß mit der Cloud verbunden sind.

Wenn Sie ordnungsgemäß verbunden sind, wird eine Warnung Microsoft Defender Antivirusbenachrichtigung angezeigt.

Wenn Sie Microsoft Edge verwenden, wird auch eine Benachrichtigung angezeigt:

Eine ähnliche Meldung tritt auf, wenn Sie Internet Explorer verwenden:

Anzeigen der Erkennung gefälschter Schadsoftware in Ihrer Windows-Sicherheit-App

1. Wählen Sie auf der Taskleiste das Symbol Abschirmen aus, und öffnen Sie die Windows-Sicherheit App. Oder suchen Sie unter Start nach Sicherheit.

2. Wählen Sie Virenschutz &und dann Schutzverlauf aus.

3. Wählen Sie im Abschnitt Unter Quarantäne gestellte Bedrohungen die Option Vollständigen Verlauf anzeigen aus, um die erkannte gefälschte Schadsoftware anzuzeigen.

   Hinweis

   Versionen von Windows 10 vor Version 1703 verfügen über eine andere Benutzeroberfläche. Weitere Informationen finden Sie unter Microsoft Defender Antivirus in der Windows-Sicherheit-App.

   Im Windows-Ereignisprotokoll wird auch Windows Defender Clientereignis-ID 1116 angezeigt.

   Tipp

   Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:

   • Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
   • Microsoft Defender für Endpunkt für Mac
   • macOS Antivirus-Richtlinieneinstellungen für Microsoft Defender Antivirus für Intune
   • Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux
   • Microsoft Defender für Endpunkt unter Linux
   • Konfigurieren von Defender für Endpunkt unter Android-Features
   • Konfigurieren von Microsoft Defender für Endpunkt unter iOS-Features

Siehe auch

• Konfigurieren von Geräteproxy- und Internetkonnektivitätseinstellungen für Microsoft Defender for Endpoint
• Verwenden von Gruppenrichtlinieneinstellungen zum Verwalten von Microsoft Defender Antivirus
• Wichtige Änderungen am Microsoft Active Protection Services-Endpunkt