Configurer et valider les connexions réseau à un antivirus Microsoft Defender
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Antivirus Microsoft Defender
Plateformes
- Windows
Pour vous assurer Microsoft Defender protection fournie par le cloud antivirus fonctionne correctement, votre équipe de sécurité doit configurer votre réseau pour autoriser les connexions entre vos points de terminaison et certains serveurs Microsoft. Cet article répertorie les connexions qui doivent être autorisées pour l’utilisation des règles de pare-feu. Il fournit également des instructions pour valider votre connexion. Si vous configurez correctement votre protection, vous bénéficiez de la meilleure valeur de vos services de protection fournis par le cloud.
Importante
Cet article contient des informations sur la configuration des connexions réseau uniquement pour Microsoft Defender Antivirus. Si vous utilisez Microsoft Defender pour point de terminaison (qui inclut Microsoft Defender Antivirus), consultez Configurer les paramètres de connectivité Internet et proxy d’appareil pour Defender pour point de terminaison.
Autoriser les connexions au service cloud Microsoft Defender Antivirus
Le service cloud Microsoft Defender Antivirus offre une protection rapide et forte pour vos points de terminaison. Il est facultatif d’activer le service de protection fourni par le cloud. Microsoft Defender service cloud antivirus est recommandé, car il fournit une protection importante contre les programmes malveillants sur vos points de terminaison et votre réseau. Pour plus d’informations, consultez Activer la protection fournie par le cloud pour activer le service avec Intune, microsoft Endpoint Configuration Manager, stratégie de groupe, applets de commande PowerShell ou clients individuels dans l’application Sécurité Windows.
Une fois que vous avez activé le service, vous devez configurer votre réseau ou pare-feu pour autoriser les connexions entre le réseau et vos points de terminaison. Étant donné que votre protection est un service cloud, les ordinateurs doivent avoir accès à Internet et atteindre les services cloud Microsoft. N’excluez pas l’URL *.blob.core.windows.net d’un quelconque type d’inspection réseau.
Remarque
Le service cloud Microsoft Defender Antivirus offre une protection mise à jour à votre réseau et à vos points de terminaison. Le service cloud ne doit pas être considéré uniquement comme une protection pour vos fichiers stockés dans le cloud ; au lieu de cela, le service cloud utilise des ressources distribuées et le Machine Learning pour fournir une protection de vos points de terminaison plus rapidement que les mises à jour traditionnelles de Security Intelligence.
Services et URL
Le tableau de cette section répertorie les services et leurs adresses de site web associées (URL).
Assurez-vous qu’il n’existe aucune règle de pare-feu ou de filtrage réseau refusant l’accès à ces URL. Sinon, vous devez créer une règle d’autorisation spécifiquement pour ces URL (à l’exception de l’URL *.blob.core.windows.net). Les URL du tableau suivant utilisent le port 443 pour la communication. (Le port 80 est également requis pour certaines URL, comme indiqué dans le tableau suivant.)
| Service et description | URL |
|---|---|
| Microsoft Defender service de protection fourni par le cloud antivirus est appelé Microsoft Active Protection Service (MAPS). Microsoft Defender Antivirus utilise le service MAPS pour fournir une protection fournie par le cloud. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) et Windows Update Service (WU) Ces services autorisent les informations de sécurité et les mises à jour des produits. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comPour plus d’informations, consultez Points de terminaison de connexion pour Windows Update. |
| Security Intelligence Updates Alternate Download Location (ADL) Il s’agit d’un autre emplacement pour Microsoft Defender mises à jour du renseignement de sécurité antivirus, si le renseignement de sécurité installé est obsolète (sept jours ou plus). |
*.download.microsoft.com*.download.windowsupdate.com (Le port 80 est requis)go.microsoft.com (Le port 80 est requis)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Stockage de soumission de programmes malveillants Il s’agit d’un emplacement de chargement pour les fichiers envoyés à Microsoft via le formulaire de soumission ou l’envoi automatique d’exemples. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Liste de révocation de certificats (CRL) Windows utilise cette liste lors de la création de la connexion SSL à MAPS pour mettre à jour la liste de révocation de certificats. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Client RGPD universel Windows utilise ce client pour envoyer les données de diagnostic du client. Microsoft Defender Antivirus utilise le Règlement général sur la protection des données à des fins de qualité et de surveillance des produits. |
La mise à jour utilise SSL (port TCP 443) pour télécharger des manifestes et charger des données de diagnostic sur Microsoft qui utilise les points de terminaison DNS suivants :vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Valider les connexions entre votre réseau et le cloud
Après avoir autorisé les URL répertoriées, testez si vous êtes connecté au service cloud antivirus Microsoft Defender. Testez que les URL signalent et reçoivent correctement des informations pour vous assurer que vous êtes entièrement protégé.
Utiliser l’outil cmdline pour valider la protection fournie par le cloud
Utilisez l’argument suivant avec l’utilitaire de ligne de commande antivirus Microsoft Defender (mpcmdrun.exe) pour vérifier que votre réseau peut communiquer avec le service cloud antivirus Microsoft Defender :
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Remarque
Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur. Cliquez avec le bouton droit sur l’élément dans le menu Démarrer , cliquez sur Exécuter en tant qu’administrateur , puis cliquez sur Oui à l’invite d’autorisations. Cette commande fonctionne uniquement sur Windows 10, version 1703 ou ultérieure, ou Windows 11.
Pour plus d’informations, consultez Gérer l’antivirus Microsoft Defender avec l’outil en ligne de commande mpcmdrun.exe.
Messages d’erreur
Voici quelques messages d’erreur que vous pouvez voir :
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Causes
La cause racine de ces messages d’erreur est que l’appareil n’a pas son proxy à l’échelle WinHttp du système configuré. Si vous ne définissez pas ce proxy, le système d’exploitation n’est pas au courant du proxy et ne peut pas extraire la liste de révocation de certificats (le système d’exploitation le fait, pas Defender pour point de terminaison), ce qui signifie que les connexions TLS aux URL comme http://cp.wd.microsoft.com/ n’aboutissent pas. Vous voyez des connexions (réponse 200) réussies aux points de terminaison, mais les connexions MAPS échouent toujours.
Solutions
Le tableau suivant répertorie les solutions :
| Solution | Description |
|---|---|
| Solution (par défaut) | Configurez le proxy WinHttp à l’échelle du système qui autorise la liste de révocation de certificats case activée. |
| Solution (préféré 2) | 1. Accédez à Configuration> ordinateurParamètres Windows Paramètres>de sécurité Paramètres>de clé publique Stratégies> duchemin d’accès du certificat Paramètres de validation. 2. Sélectionnez l’onglet Récupération du réseau , puis sélectionnez Définir ces paramètres de stratégie. 3. Désactivez la case Mettre à jour automatiquement les certificats dans le programme de certificats racine Microsoft (recommandé) case activée. Voici quelques ressources utiles : - Configurer des racines approuvées et des certificats non autorisés - Amélioration du temps de démarrage de l’application : paramètre GeneratePublisherEvidence dans Machine.config |
| Solution de contournement (alternative) Il ne s’agit pas d’une bonne pratique, car vous ne vérifiez plus les certificats révoqués ou l’épinglage de certificat. |
Désactivez la liste de révocation de certificats case activée uniquement pour SPYNET. La configuration de ce registre SSLOption désactive la liste de révocation de certificats case activée uniquement pour les rapports SPYNET. Cela n’aura pas d’impact sur les autres services. Accédez à HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, puis définissez sur SSLOptions (dword)2 (hexadécimal). Pour référence, voici les valeurs possibles pour le DWORD : - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Tentative de téléchargement d’un fichier de programme malveillant factice à partir de Microsoft
Vous pouvez télécharger un exemple de fichier que Microsoft Defender antivirus détectera et bloquera si vous êtes correctement connecté au cloud.
Remarque
Le fichier téléchargé n’est pas exactement un programme malveillant. Il s’agit d’un faux fichier conçu pour tester si vous êtes correctement connecté au cloud.
Si vous êtes correctement connecté, un avertissement s’affiche Microsoft Defender notification antivirus.
Si vous utilisez Microsoft Edge, un message de notification s’affiche également :
Un message similaire se produit si vous utilisez Internet Explorer :
Afficher la détection de programmes malveillants factices dans votre application Sécurité Windows
Dans la barre des tâches, sélectionnez l’icône Bouclier, ouvrez l’application Sécurité Windows. Vous pouvez également rechercher Sécurité dans l’écran de démarrage.
Sélectionnez Protection contre les virus & contre les menaces, puis historique de protection.
Sous la section Menaces mises en quarantaine , sélectionnez Afficher l’historique complet pour voir les faux programmes malveillants détectés.
Remarque
Les versions de Windows 10 antérieures à la version 1703 ont une interface utilisateur différente. Consultez antivirus Microsoft Defender dans l’application Sécurité Windows.
Le journal des événements Windows affiche également Windows Defender’ID d’événement client 1116.
Conseil
Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :
Voir aussi
- Configurer les paramètres de proxy d’appareil et de connectivité Internet pour Microsoft Defender pour point de terminaison
- Utiliser les paramètres de stratégie de groupe pour configurer et gérer Microsoft Defender Antivirus
- Modifications importantes apportées au point de terminaison Microsoft Active Protection Services
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.