Määritä ja vahvista Microsoft Defenderin virustentorjunnan verkkoyhteydet

Tärkeää

Tässä artikkelissa on tietoja verkkoyhteyksien määrittämisestä vain Microsoft Defender virustentorjuntaa varten, kun niitä käytetään ilman Microsoft Defender for Endpoint. Jos käytössäsi on Microsoft Defender for Endpoint (johon sisältyy Microsoft Defender virustentorjunta), katso Lisätietoja kohdasta Defender for Endpointin laitevälityspalvelimen ja Internet-yhteysasetusten määrittäminen.

Jotta virustentorjuntaohjelman Microsoft Defender pilvipalvelun tarjoama suojaus toimisi oikein, suojaustiimisi on määritettävä verkkosi sallimaan yhteydet päätepisteiden ja tiettyjen Microsoft-palvelimien välillä. Tässä artikkelissa luetellaan kohteet, joihin kohteiden on oltava käytettävissä. Se sisältää myös ohjeet yhteyksien vahvistamiseen. Kun määrität yhteyden oikein, saat parhaan arvon Microsoft Defender virustentorjuntaohjelman pilvitoimitettavista suojauspalveluista.

Ennakkovaatimukset

Tuetut käyttöjärjestelmät

• Windows

Salli yhteydet Microsoft Defender virustentorjunnan pilvipalveluun

Microsoft Defender antivirus -pilvipalvelu tarjoaa nopean ja vahvan suojauksen päätepisteillesi. Vaikka on valinnaista ottaa käyttöön ja käyttää Microsoft Defender virustentorjunnan tarjoamia pilvipalveluita, se on erittäin suositeltavaa, koska se tarjoaa tärkeän ja oikea-aikaisen suojauksen päätepisteiden ja verkon uusia uhkia vastaan. Lisätietoja on artikkelissa Pilvipalveluun toimitetun suojauksen käyttöönotto, jossa kuvataan, miten palvelu otetaan käyttöön Intune, Microsoft Configuration Manager, ryhmäkäytäntö, PowerShellin cmdlet-komentojen tai yksittäisten asiakkaiden avulla Windowsin suojaus-sovelluksessa.

Kun olet ottanut palvelun käyttöön, sinun on määritettävä verkkosi tai palomuurisi sallimaan yhteydet verkon ja päätepisteiden välillä. Tietokoneilla on oltava Internet-yhteys ja niiden on päästävä Microsoftin pilvipalveluihin, jotta ne toimisi kunnolla.

Huomautus

Microsoft Defender virustentorjuntapalvelu tarjoaa päivitetyn suojauksen verkkoosi ja päätepisteisiin. Pilvipalvelua ei tule pitää suojauksena pilvipalveluun tallennetuille tiedostoille eikä niitä vastaan. sen sijaan pilvipalvelu käyttää hajautettuja resursseja ja koneoppimista tarjotakseen suojauksen päätepisteillesi nopeammin kuin perinteiset tietoturvatietopäivitykset, ja se koskee tiedostopohjaisia ja tiedostottomia uhkia riippumatta siitä, mistä ne ovat peräisin.

Palvelut ja URL-osoitteet

Tämän osion taulukossa luetellaan palvelut ja niihin liittyvät verkkosivuston osoitteet (URL-osoitteet).

Varmista, että palomuurin tai verkon suodatussäännöt eivät estä näiden URL-osoitteiden käyttöä. Muussa tapauksessa sinun on luotava nimenomaan näille URL-osoitteille sallittu sääntö. Seuraavan taulukon URL-osoitteet käyttävät porttia 443 viestintään. (Portti 80 vaaditaan myös joillekin URL-osoitteille, kuten seuraavassa taulukossa on mainittu.)

Palvelu ja kuvaus	URL
Microsoft Defender virustentorjuntaohjelman pilvipalveluun toimitettuun suojauspalveluun viitataan nimellä Microsoft Active Protection Service (MAPS). Microsoft Defender virustentorjuntaohjelma tarjoaa pilvessä toimitetun suojauksen MAPS-palvelun avulla.	*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com
Microsoft Update Service (MU) ja Windows Update Service (WU) Nämä palvelut mahdollistavat suojaustiedot ja tuotepäivitykset.	*.update.microsoft.com *.delivery.mp.microsoft.com *.windowsupdate.com ctldl.windowsupdate.com Lisätietoja on artikkelissa Windows Update yhteyden päätepisteet.
Suojaustietopäivitykset: vaihtoehtoinen lataussijainti (ADL) Tämä on vaihtoehtoinen sijainti virustentorjunnan Microsoft Defender suojaustietopäivityksille, jos asennettu suojaustieto on vanhentunut (vähintään seitsemän päivää jäljessä).	*.download.microsoft.com *.download.windowsupdate.com (Portti 80 vaaditaan) go.microsoft.com (Portti 80 vaaditaan) https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/ https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Haittaohjelmien lähettämisen tallennustila Tämä on Lähetyslomakkeen tai automaattisen lähetyksen kautta Microsoftille lähetettyjen tiedostojen lataussijainti.	ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net
Varmenteen kumoamisluettelo (CRL) Windows käyttää tätä luetteloa luodessaan SSL-yhteyttä MAPSiin kumousluettelon päivittämistä varten.	http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs
Yleinen GDPR-asiakasohjelma Windows käyttää tätä asiakasta asiakkaan diagnostiikkatietojen lähettämiseen. Microsoft Defender virustentorjuntaohjelma käyttää yleistä tietosuoja-asetusta tuotteiden laatuun ja valvontaan.	Päivitys käyttää SSL:ää (TCP-portti 443) luetteloiden lataamiseen ja diagnostiikkatietojen lataamiseen Microsoftille, joka käyttää seuraavia DNS-päätepisteitä: vortex-win.data.microsoft.com settings-win.data.microsoft.com

Verkon ja pilvipalvelun välisten yhteyksien vahvistaminen

Kun olet sallinut luetellut URL-osoitteet, testaa, oletko yhteydessä Microsoft Defender virustentorjunnan pilvipalveluun. Testaa, että URL-osoitteet ilmoittavat ja vastaanottavat tietoja oikein, jotta olet täysin suojattu.

MpCmdRun-komentorivityökalun avulla voit vahvistaa pilvipalveluun toimitetun suojauksen

Toimi seuraavasti varmistaaksesi, että verkkosi voi olla yhteydessä Microsoft Defender virustentorjuntaohjelman pilvipalveluun:

1. Avaa järjestelmänvalvojan oikeellinen komentokehote (komentokehoteikkuna, jonka avasit valitsemalla Suorita järjestelmänvalvojana). Esimerkki:

   1. Avaa Käynnistä-valikko ja kirjoita cmd.
   2. Napsauta komentokehotteen tulosta hiiren kakkospainikkeella ja valitse sitten Suorita järjestelmänvalvojana.

2. Suorita järjestelmän laajennetussa komentokehotteessa seuraavat komennot:

   Vihje

   Ensimmäinen komento muuttaa hakemiston haittaohjelmien torjuntaympäristön <uusimmaksi versioksi> kohteessa %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Jos polkua ei ole olemassa, se siirtyy kohteeseen %ProgramFiles%\Windows Defender.

   (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
   
   MpCmdRun.exe -ValidateMapsConnection
   

Lisätietoja MpCmdRunista on artikkelissa Microsoft Defender virustentorjunnan määrittäminen ja hallinta MpCmdRun-komentorivityökalulla.

Virheviestit

Seuraavassa on joitakin virhesanomia, joita saatat nähdä:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection

ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006

ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F

ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Perussyitä

Näiden virhesanomien pääsyy on se, että laitteen järjestelmänlaajuista WinHttp välityspalvelinta ei ole määritetty. Jos et määritä tätä välityspalvelinta, käyttöjärjestelmä ei ole tietoinen välityspalvelimesta eikä voi noutaa kumouspalvelinta (käyttöjärjestelmä tekee näin, ei Defender for Endpointia), mikä tarkoittaa, että TLS-yhteydet URL-osoitteisiin, kuten http://cp.wd.microsoft.com/ , eivät onnistu. Näet onnistuneet (vastaus 200) yhteydet päätepisteisiin, mutta MAPS-yhteydet epäonnistuvat silti.

Ratkaisuja

• Ensisijainen ratkaisu: Määritä järjestelmänlaajuinen WinHttp-välityspalvelin, joka sallii crl-tarkistuksen.

• Vaihtoehtoinen ratkaisu: Määritetään seuraava SSLOption rekisteriavain ja arvo niin, että vain SpyNetin CRL-tarkistus poistetaan käytöstä. Tämä rekisteriavain ei vaikuta muihin palveluihin. Tämä ratkaisu ei ole paras käytäntö, koska et enää tarkista kumotut varmenteet tai varmenteiden kiinnittäminen.

  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet]
  "SSLOptions"=dword:00000002
  

  Käytettävissä olevat arvot ovat:

  • 0: Poista kiinnitys- ja kumoamistarkistukset käytöstä.
  • 1: Poista kiinnittäminen käytöstä.
  • 2: Poista vain kumoamistarkistukset käytöstä.
  • 3 (oletus): Ota kumoamistarkistukset ja kiinnittäminen käyttöön.

Yritys ladata väärennetty haittaohjelmatiedosto Microsoftilta

Voit ladata mallitiedoston, jonka Microsoft Defender virustentorjunta havaitsee ja estää, jos olet muodostanut yhteyden pilvipalveluun oikein.

Huomautus

Ladattu tiedosto ei ole täysin haittaohjelma. Se on valetiedosto, joka on suunniteltu testaamaan, oletko muodostanut yhteyden pilvipalveluun oikein.

Jos yhteys on muodostettu oikein, virustentorjuntaa Microsoft Defender ilmoitus tulee näyttöön.

Jos käytät Microsoft Edgeä, näet myös ilmoitusviestin:

Jos käytät Internet Exploreria, näyttöön tulee samankaltainen sanoma:

Näytä haittaohjelmien valetunnistus Windowsin suojaus sovelluksessasi

1. Valitse tehtäväpalkissa Shield-kuvake ja avaa Windowsin suojaus sovellus. Voit myös etsiä Suojaus-toiminnosta aloitusnäyttöä.

2. Valitse Virus & uhkien suojaus ja valitse sitten Suojaushistoria.

3. Valitse Karanteeniin lisätyt uhat -osiossa Näytä koko historia , jotta näet havaitut väärennetyt haittaohjelmat.

   Huomautus

   Versiota 1703 edeltävillä Windows 10 versioilla on eri käyttöliittymä. Katso Microsoft Defender virustentorjunta Windowsin suojaus sovelluksessa.

   Windowsin tapahtumalokissa näkyy myös Windows Defender -asiakasohjelman tapahtumatunnus 1116.

Vihje

Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:

• Microsoft Defender for Endpoint Macissa
• Microsoft Defender for Endpoint Linuxissa
• Defender for Endpointin ominaisuuksien määrittäminen Androidissa
• Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä

Tutustu myös seuraaviin ohjeartikkeleihin:

• Määritä laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen Microsoft Defender for Endpoint
• ryhmäkäytäntö asetusten avulla voit määrittää ja hallita Microsoft Defender virustentorjuntaa
• Tärkeitä muutoksia Microsoft Active Protection Services -päätepisteeseen