Configurar y validar las conexiones de red del Antivirus de Windows Defender

Importante

Este artículo contiene información sobre la configuración de conexiones de red solo para Microsoft Defender Antivirus, cuando se usa sin Microsoft Defender para punto de conexión. Si usa Microsoft Defender para punto de conexión (que incluye Microsoft Defender Antivirus), consulte Configuración del proxy de dispositivo y la conectividad a Internet para Defender para punto de conexión.

Para asegurarse de que Microsoft Defender protección proporcionada en la nube de Antivirus funciona correctamente, el equipo de seguridad debe configurar la red para permitir conexiones entre los puntos de conexión y determinados servidores de Microsoft. En este artículo se enumeran los destinos a los que se debe acceder. También proporciona instrucciones para validar las conexiones. La configuración de la conectividad garantiza que recibe el mejor valor de Microsoft Defender servicios de protección entregados en la nube de Antivirus.

Requisitos previos

Sistemas operativos admitidos

• Windows

Permitir conexiones al servicio en la nube Microsoft Defender Antivirus

El servicio en la nube Microsoft Defender Antivirus proporciona una protección rápida y segura para los puntos de conexión. Aunque es opcional habilitar y usar los servicios de protección proporcionados en la nube proporcionados por Microsoft Defender Antivirus, es muy recomendable porque proporciona protección importante y oportuna contra amenazas emergentes en los puntos de conexión y la red. Para obtener más información, vea Habilitar la protección entregada en la nube, que describe cómo habilitar el servicio mediante Intune, Microsoft Configuration Manager, directiva de grupo, cmdlets de PowerShell o clientes individuales en la aplicación Seguridad de Windows.

Después de habilitar el servicio, debe configurar la red o el firewall para permitir conexiones entre la red y los puntos de conexión. Los equipos deben tener acceso a Internet y llegar a los servicios en la nube de Microsoft para un funcionamiento adecuado.

Nota:

El servicio en la nube Microsoft Defender Antivirus ofrece protección actualizada a la red y los puntos de conexión. El servicio en la nube no debe considerarse como protección para los archivos almacenados en la nube ni contra ellos; en su lugar, el servicio en la nube usa recursos distribuidos y aprendizaje automático para ofrecer protección para los puntos de conexión a una velocidad más rápida que las actualizaciones de inteligencia de seguridad tradicionales, y se aplica a las amenazas basadas en archivos y sin archivos, independientemente de dónde se originen.

Servicios y direcciones URL

En la tabla de esta sección se enumeran los servicios y sus direcciones url de sitio web asociadas.

Asegúrese de que no haya reglas de filtrado de red o firewall que denieguen el acceso a estas direcciones URL. De lo contrario, debe crear una regla de permiso específicamente para esas direcciones URL. Las direcciones URL de la tabla siguiente usan el puerto 443 para la comunicación. (El puerto 80 también es necesario para algunas direcciones URL, como se indica en la tabla siguiente).

Servicio y descripción	URL
Microsoft Defender servicio de protección de entrega en la nube antivirus se conoce como Servicio de Protección activa de Microsoft (MAPS). Microsoft Defender Antivirus usa el servicio MAPS para proporcionar protección proporcionada en la nube.	*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com
Microsoft Update Service (MU) y Windows Update Service (WU) Estos servicios permiten la inteligencia de seguridad y las actualizaciones de productos.	*.update.microsoft.com *.delivery.mp.microsoft.com *.windowsupdate.com ctldl.windowsupdate.com Para obtener más información, vea Puntos de conexión para Windows Update.
Actualizaciones de inteligencia de seguridad Ubicación de descarga alternativa (ADL) Esta es una ubicación alternativa para Microsoft Defender actualizaciones de inteligencia de seguridad del antivirus, si la inteligencia de seguridad instalada está obsoleta (siete o más días de retraso).	*.download.microsoft.com *.download.windowsupdate.com (Se requiere el puerto 80) go.microsoft.com (Se requiere el puerto 80) https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/ https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Almacenamiento de envío de malware Se trata de una ubicación de carga para los archivos enviados a Microsoft mediante el formulario de envío o el envío automático de ejemplo.	ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net
Lista de revocación de certificados (CRL) Windows usa esta lista al crear la conexión SSL a MAPS para actualizar la CRL.	http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs
Cliente de RGPD universal Windows usa este cliente para enviar los datos de diagnóstico del cliente. Microsoft Defender Antivirus usa el Reglamento general de protección de datos con fines de calidad y supervisión del producto.	La actualización usa SSL (puerto TCP 443) para descargar manifiestos y cargar datos de diagnóstico en Microsoft que usa los siguientes puntos de conexión DNS: vortex-win.data.microsoft.com settings-win.data.microsoft.com

Validación de conexiones entre la red y la nube

Después de permitir las direcciones URL enumeradas, compruebe si está conectado al servicio en la nube Microsoft Defender Antivirus. Pruebe que las direcciones URL notifican y reciben información correctamente para asegurarse de que está totalmente protegido.

Uso de la herramienta de línea de comandos MpCmdRun para validar la protección entregada en la nube

Siga estos pasos para comprobar que la red puede comunicarse con el servicio en la nube Microsoft Defender Antivirus:

1. Abra un símbolo del sistema con privilegios elevados (una ventana del símbolo del sistema que abrió seleccionando Ejecutar como administrador). Por ejemplo:

   1. Abra el menú Inicio y escriba cmd.
   2. Haga clic con el botón derecho en el resultado del símbolo del sistema y seleccione Ejecutar como administrador.

2. En el símbolo del sistema con privilegios elevados, ejecute los siguientes comandos:

   Sugerencia

   El primer comando cambia el directorio a la versión más reciente de la versión> de <la plataforma antimalware en %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Si esa ruta de acceso no existe, se dirige a %ProgramFiles%\Windows Defender.

   (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
   
   MpCmdRun.exe -ValidateMapsConnection
   

Para obtener más información sobre MpCmdRun, vea Configurar y administrar Microsoft Defender Antivirus con la herramienta de línea de comandos MpCmdRun.

Mensajes de error

Estos son algunos mensajes de error que podría ver:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection

ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006

ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F

ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Causas principales

La causa principal de estos mensajes de error es que el dispositivo no tiene configurado su proxy en todo WinHttp el sistema. Si no establece este proxy, el sistema operativo no conoce el proxy y no puede capturar la CRL (el sistema operativo lo hace, no Defender para punto de conexión), lo que significa que las conexiones TLS a direcciones URL como http://cp.wd.microsoft.com/ no se ejecutan correctamente. Verá conexiones correctas (respuesta 200) a los puntos de conexión, pero las conexiones de MAPS seguirán generando errores.

Soluciones

• Solución preferida: configure el proxy WinHttp para todo el sistema que permite la comprobación de CRL.

• Solución alternativa: configurar la siguiente SSLOption clave y valor del Registro para deshabilitar la comprobación de CRL solo para SpyNet. Esta clave del Registro no afecta a otros servicios. Esta solución no es un procedimiento recomendado, ya que ya no está comprobando si hay certificados revocados o anclaje de certificados.

  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet]
  "SSLOptions"=dword:00000002
  

  Los valores disponibles son los siguientes:

  • 0: Deshabilite las comprobaciones de anclaje y revocación.
  • 1: Deshabilitar el anclaje.
  • 2: Deshabilite solo las comprobaciones de revocación.
  • 3 (valor predeterminado): habilite las comprobaciones de revocación y el anclaje.

Intento de descargar un archivo de malware falso de Microsoft

Puede descargar un archivo de ejemplo que Microsoft Defender Antivirus detectará y bloqueará si está conectado correctamente a la nube.

Nota:

El archivo descargado no es exactamente malware. Es un archivo falso diseñado para probar si está conectado correctamente a la nube.

Si está conectado correctamente, verá una advertencia Microsoft Defender notificación antivirus.

Si usa Microsoft Edge, también verá un mensaje de notificación:

Se produce un mensaje similar si usa Internet Explorer:

Visualización de la detección de malware falso en la aplicación Seguridad de Windows

1. En la barra de tareas, seleccione el icono de Escudo y abra la aplicación Seguridad de Windows. O bien, busque en Start for Security (Iniciar por seguridad).

2. Seleccione Virus & protección contra amenazas y, a continuación, seleccione Historial de protección.

3. En la sección Amenazas en cuarentena , seleccione Ver historial completo para ver el malware falso detectado.

   Nota:

   Las versiones de Windows 10 anteriores a la versión 1703 tienen una interfaz de usuario diferente. Consulta Microsoft Defender Antivirus en la aplicación Seguridad de Windows.

   El registro de eventos de Windows también mostrará el identificador de evento 1116 del cliente de Windows Defender.

Sugerencia

Si busca información relacionada con el antivirus para otras plataformas, consulte:

• Microsoft Defender para punto de conexión en Mac
• Microsoft Defender para punto de conexión en Linux
• Configurar Defender para punto de conexión en características de Android
• Configurar Microsoft Defender para punto de conexión en las características iOS

Vea también

• Configuración del proxy de dispositivo y la conectividad a Internet para Microsoft Defender para punto de conexión
• Usar directiva de grupo configuración para configurar y administrar Microsoft Defender Antivirus
• Cambios importantes en el punto de conexión de Microsoft Active Protection Services