Määritä ja vahvista Microsoft Defenderin virustentorjunnan verkkoyhteydet
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Jotta virustentorjuntaohjelman Microsoft Defender pilvipalvelun tarjoama suojaus toimisi oikein, suojaustiimisi on määritettävä verkkosi sallimaan yhteydet päätepisteiden ja tiettyjen Microsoft-palvelimien välillä. Tässä artikkelissa on luettelo yhteyksistä, jotka on sallittava palomuurisääntöjen käyttämiseksi. Se sisältää myös ohjeita yhteyden vahvistamiseen. Suojauksen määrittäminen oikein varmistaa, että saat parhaan arvon pilvipalvelun tarjoamista suojauspalveluistasi.
Tärkeää
Tässä artikkelissa on tietoja vain Microsoft Defender virustentorjunnan verkkoyhteyksien määrittämisestä. Jos käytössäsi on Microsoft Defender for Endpoint (johon sisältyy Microsoft Defender virustentorjunta), katso Laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen Defender for Endpointille.
Salli yhteydet Microsoft Defender virustentorjunnan pilvipalveluun
Microsoft Defender virustentorjuntapalvelun pilvipalvelu tarjoaa nopean ja vahvan suojauksen päätepisteillesi. Pilvipalvelun tarjoaman suojauspalvelun ottaminen käyttöön on valinnaista. Microsoft Defender virustentorjuntapilvipalvelua suositellaan, koska se tarjoaa tärkeän suojauksen haittaohjelmia vastaan päätepisteissäsi ja verkossasi. Lisätietoja on Windowsin suojaus-sovelluksen kohdassa Pilvipalvelun tarjoaman suojauksen ottaminen käyttöön Intune, Microsoftin päätepiste Configuration Manager, ryhmäkäytäntö, PowerShellin cmdlet-komennot tai yksittäiset asiakkaat.
Kun olet ottanut palvelun käyttöön, sinun on määritettävä verkkosi tai palomuurisi sallimaan yhteydet verkon ja päätepisteiden välillä. Koska suojaus on pilvipalvelu, tietokoneilla on oltava Internet-yhteys ja niihin on päästävä Microsoftin pilvipalveluihin. Älä sulje URL-osoitetta *.blob.core.windows.net pois minkääntyyppisestä verkkotarkastuksesta.
Huomautus
Microsoft Defender virustentorjuntapalvelu tarjoaa päivitetyn suojauksen verkkoosi ja päätepisteisiin. Pilvipalvelua ei tule pitää vain pilvipalveluun tallennettujen tiedostojen suojauksena. sen sijaan pilvipalvelu käyttää hajautettuja resursseja ja koneoppimista tarjotakseen suojauksen päätepisteillesi nopeammin kuin perinteiset tietoturvatiedot.
Palvelut ja URL-osoitteet
Tämän osion taulukossa luetellaan palvelut ja niihin liittyvät verkkosivuston osoitteet (URL-osoitteet).
Varmista, että palomuurin tai verkon suodatussäännöt eivät estä näiden URL-osoitteiden käyttöä. Muussa tapauksessa sinun on luotava nimenomaan näille URL-osoitteille sallittu sääntö (URL-osoitetta *.blob.core.windows.netlukuun ottamatta). Seuraavan taulukon URL-osoitteet käyttävät porttia 443 viestintää varten. (Portti 80 vaaditaan myös joissakin URL-osoitteissa, kuten seuraavassa taulukossa on mainittu.)
| Palvelu ja kuvaus | URL |
|---|---|
| Microsoft Defender virustentorjuntaohjelman pilvipalveluun toimitettuun suojauspalveluun viitataan nimellä Microsoft Active Protection Service (MAPS). Microsoft Defender virustentorjuntaohjelma tarjoaa pilvessä toimitetun suojauksen MAPS-palvelun avulla. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) ja Windows Update Service (WU) Nämä palvelut mahdollistavat suojaustiedot ja tuotepäivitykset. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comLisätietoja on artikkelissa Windows Update yhteyden päätepisteet. |
| Suojaustietopäivitykset: vaihtoehtoinen lataussijainti (ADL) Tämä on vaihtoehtoinen sijainti virustentorjunnan Microsoft Defender suojaustietopäivityksille, jos asennettu suojaustieto on vanhentunut (vähintään seitsemän päivää jäljessä). |
*.download.microsoft.com*.download.windowsupdate.com (Portti 80 vaaditaan)go.microsoft.com (Portti 80 vaaditaan)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Haittaohjelmien lähettämisen tallennustila Tämä on Lähetyslomakkeen tai automaattisen lähetyksen kautta Microsoftille lähetettyjen tiedostojen lataussijainti. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Varmenteen kumoamisluettelo (CRL) Windows käyttää tätä luetteloa luodessaan SSL-yhteyttä MAPSiin kumousluettelon päivittämistä varten. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Yleinen GDPR-asiakasohjelma Windows käyttää tätä asiakasta asiakkaan diagnostiikkatietojen lähettämiseen. Microsoft Defender virustentorjuntaohjelma käyttää yleistä tietosuoja-asetusta tuotteiden laatuun ja valvontaan. |
Päivitys käyttää SSL:ää (TCP-portti 443) luetteloiden lataamiseen ja diagnostiikkatietojen lataamiseen Microsoftille, joka käyttää seuraavia DNS-päätepisteitä:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Verkon ja pilvipalvelun välisten yhteyksien vahvistaminen
Kun olet sallinut luetellut URL-osoitteet, testaa, oletko yhteydessä Microsoft Defender virustentorjunnan pilvipalveluun. Testaa, että URL-osoitteet ilmoittavat ja vastaanottavat tietoja oikein, jotta olet täysin suojattu.
Käytä cmdline-työkalua pilvipalveluun toimitetun suojauksen vahvistamiseen
Käytä seuraavaa argumenttia Microsoft Defender Antivirus -komentoriviapuohjelman (mpcmdrun.exe) kanssa varmistaaksesi, että verkkosi voi olla yhteydessä Microsoft Defender virustentorjuntapilvipalveluun:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Huomautus
Avaa komentokehote järjestelmänvalvojana. Napsauta kohdetta hiiren kakkospainikkeella Käynnistä-valikossa , valitse Suorita järjestelmänvalvojana ja valitse Kyllä käyttöoikeuskehotteesta. Tämä komento toimii vain Windows 10 versiossa 1703 tai Windows 11.
Lisätietoja on artikkelissa Microsoft Defender virustentorjunta mpcmdrun.exe komentorivityökalun avulla.
Alla olevien taulukoiden avulla voit tarkastella kohtaamiasi virhesanomia sekä tietoja pääsyystä ja mahdollisista ratkaisuista:
| Virheviestit | Syy |
|---|---|
| Aloitusaika: <Day_of_the_week> KK PP VVVV HH:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 VahvistaKartatYhdistäminen ValidateMapsConnection ei pystynyt muodostamaan yhteyttä MAPSiin (hr=0x80070006 httpcore=451) MpCmdRun.exe: h = 0x80070006** ValidateMapsConnection ei pystynyt muodostamaan yhteyttä MAPSiin (hr=0x80072F8F httpcore=451) MpCmdRun.exe: h = 0x80072F8F ValidateMapsConnection ei pystynyt muodostamaan yhteyttä MAPSiin (hr=0x80072EFE httpcore=451) MpCmdRun.exe: h = 0x80072EFE |
Näiden virhesanomien pääsyy on se, että laitteelle ei ole määritetty järjestelmänlaajuista WinHttp-välityspalvelinta. Jos et määritä järjestelmän laajuista WinHttp-välityspalvelinta, käyttöjärjestelmä ei ole tietoinen välityspalvelimesta eikä voi noutaa kumouspalvelinta (käyttöjärjestelmä tekee näin, ei Defender for Endpointia), mikä tarkoittaa, että TLS-yhteydet samankaltaisiin http://cp.wd.microsoft.com/ URL-osoitteisiin eivät täysin onnistu. Näet onnistuneet (vastaus 200) yhteydet päätepisteisiin, mutta MAPS-yhteydet epäonnistuvat silti. |
| Ratkaisu | Kuvaus |
|---|---|
| Ratkaisu (ensisijainen) | Määritä järjestelmänlaajuinen WinHttp-välityspalvelin, joka sallii crl-tarkistuksen. |
| Ratkaisu (ensisijainen 2) | - Asennus uudelleenohjaa Microsoftin automaattisen päivityksen URL-osoitteen yhteydettömään ympäristöön - Määritä palvelin, jolla on Internet-yhteys CTL-tiedostojen noutamista varten - Ohjaa Microsoftin automaattisen päivityksen URL-osoite irralliselle ympäristölle Hyödyllisiä viittauksia: - Siirry kohtaan Tietokoneasetukset > Windowsin asetukset > Suojausasetukset > Yleiset avainkäytännöt > Varmennepolun kelpoisuusasetukset>Valitse Verkkohaku-välilehti>Valitse Määritä nämä käytäntöasetukset>Valitse, jos haluat poistaa Päivitä varmenteet automaattisesti Microsoftin päävarmenneohjelmassa (suositus) -valintaruudun. - Kumotun varmenteen luettelon (CRL) tarkistus – sovellusvalinta - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
| Kiertoratkaisu (vaihtoehtoinen) Ei paras käytäntö, koska et enää tarkista kumotut varmenteet tai varmenteiden kiinnittäminen. |
Poista crl-tarkistus käytöstä vain SPYNET-verkossa. Tämän rekisterin määrittäminen SSLOption poistaa käytöstä VAIN CRL-tarkistuksen SPYNET-raportoinnissa. Se ei vaikuta muihin palveluihin. Tähän kohteeseen: Siirry kohtaan HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) arvoon 0 (hex). - 0 – poista kiinnitys- ja kumoamistarkistukset käytöstä - 1 – poista kiinnittäminen käytöstä - 2 – poista käytöstä vain kumoamistarkistukset - 3 – ota kumoamistarkistukset käyttöön ja kiinnitä (oletus) |
Yritys ladata väärennetty haittaohjelmatiedosto Microsoftilta
Voit ladata mallitiedoston, jonka Microsoft Defender virustentorjunta havaitsee ja estää, jos olet muodostanut yhteyden pilvipalveluun oikein.
Huomautus
Ladattu tiedosto ei ole täysin haittaohjelma. Se on valetiedosto, joka on suunniteltu testaamaan, oletko muodostanut yhteyden pilvipalveluun oikein.
Jos yhteys on muodostettu oikein, virustentorjuntaa Microsoft Defender ilmoitus tulee näyttöön.
Jos käytät Microsoft Edgeä, näet myös ilmoitusviestin:
Jos käytät Internet Exploreria, näyttöön tulee samankaltainen sanoma:
Näytä haittaohjelmien valetunnistus Windowsin suojaus sovelluksessasi
Valitse tehtäväpalkissa Shield-kuvake ja avaa Windowsin suojaus sovellus. Voit myös etsiä Suojaus-toiminnosta aloitusnäyttöä.
Valitse Virus & uhkien suojaus ja valitse sitten Suojaushistoria.
Valitse Karanteeniin lisätyt uhat -osiossa Näytä koko historia , jotta näet havaitut väärennetyt haittaohjelmat.
Huomautus
Versiota 1703 edeltävillä Windows 10 versioilla on eri käyttöliittymä. Katso Microsoft Defender virustentorjunta Windowsin suojaus sovelluksessa.
Windowsin tapahtumalokissa näkyy myös Windows Defender asiakkaan tapahtumatunnus 1116.
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
Defender for Endpointin ominaisuuksien määrittäminen Androidissa
Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä
Tutustu myös seuraaviin ohjeartikkeleihin:
- Määritä laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen Microsoft Defender for Endpoint
- ryhmäkäytäntö asetusten avulla voit määrittää ja hallita Microsoft Defender virustentorjuntaa
- Tärkeitä muutoksia Microsoft Active Protection Services -päätepisteeseen
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle