Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
- Antivirus Microsoft Defender
Importante
Cet article contient des informations sur la configuration des connexions réseau uniquement pour Microsoft Defender Antivirus, lorsqu’il est utilisé sans Microsoft Defender pour point de terminaison. Si vous utilisez Microsoft Defender pour point de terminaison (qui inclut Microsoft Defender Antivirus), consultez Configurer les paramètres de connectivité Internet et proxy d’appareil pour Defender pour point de terminaison.
Plateformes
- Windows
Pour vous assurer Microsoft Defender protection fournie par le cloud antivirus fonctionne correctement, votre équipe de sécurité doit configurer votre réseau pour autoriser les connexions entre vos points de terminaison et certains serveurs Microsoft. Cet article répertorie les destinations qui sont accessibles. Il fournit également des instructions pour valider les connexions. La configuration correcte de la connectivité garantit que vous bénéficiez du meilleur rapport qualité-prix de Microsoft Defender services de protection fournis par le cloud antivirus.
Autoriser les connexions au service cloud Microsoft Defender Antivirus
Le service cloud Microsoft Defender Antivirus fournit une protection rapide et forte pour vos points de terminaison. Bien qu’il soit facultatif d’activer et d’utiliser les services de protection fournis par le cloud fournis par Microsoft Defender Antivirus, il est fortement recommandé, car il offre une protection importante et opportune contre les menaces émergentes sur vos points de terminaison et votre réseau. Pour plus d’informations, consultez Activer la protection fournie par le cloud, qui décrit comment activer le service à l’aide de Intune, microsoft Endpoint Configuration Manager, stratégie de groupe, applets de commande PowerShell ou clients individuels dans l’application Sécurité Windows.
Une fois que vous avez activé le service, vous devez configurer votre réseau ou pare-feu pour autoriser les connexions entre le réseau et vos points de terminaison. Les ordinateurs doivent avoir accès à Internet et atteindre les services cloud Microsoft pour un fonctionnement correct.
Remarque
Le service cloud Microsoft Defender Antivirus offre une protection mise à jour à votre réseau et à vos points de terminaison. Le service cloud ne doit pas être considéré comme une protection pour ou contre les fichiers stockés dans le cloud ; au lieu de cela, le service cloud utilise des ressources distribuées et le Machine Learning pour fournir une protection de vos points de terminaison à un rythme plus rapide que les mises à jour traditionnelles de Security Intelligence, et s’applique aux menaces basées sur des fichiers et sans fichier, quel que soit leur origine.
Services et URL
Le tableau de cette section répertorie les services et leurs adresses de site web associées (URL).
Assurez-vous qu’il n’existe aucune règle de pare-feu ou de filtrage réseau refusant l’accès à ces URL. Sinon, vous devez créer une règle d’autorisation spécifique pour ces URL. Les URL du tableau suivant utilisent le port 443 pour la communication. (Le port 80 est également requis pour certaines URL, comme indiqué dans le tableau suivant.)
| Service et description | URL |
|---|---|
| Microsoft Defender service de protection fourni par le cloud antivirus est appelé Microsoft Active Protection Service (MAPS). Microsoft Defender Antivirus utilise le service MAPS pour fournir une protection fournie par le cloud. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) et Windows Update Service (WU) Ces services autorisent les informations de sécurité et les mises à jour des produits. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comPour plus d’informations, consultez Points de terminaison de connexion pour Windows Update. |
| Security Intelligence Updates Alternate Download Location (ADL) Il s’agit d’un autre emplacement pour Microsoft Defender mises à jour du renseignement de sécurité antivirus, si le renseignement de sécurité installé est obsolète (sept jours ou plus). |
*.download.microsoft.com*.download.windowsupdate.com (Le port 80 est requis)go.microsoft.com (Le port 80 est requis)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Stockage de soumission de programmes malveillants Il s’agit d’un emplacement de chargement pour les fichiers envoyés à Microsoft via le formulaire de soumission ou l’envoi automatique d’exemples. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Liste de révocation de certificats (CRL) Windows utilise cette liste lors de la création de la connexion SSL à MAPS pour mettre à jour la liste de révocation de certificats. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Client RGPD universel Windows utilise ce client pour envoyer les données de diagnostic du client. Microsoft Defender Antivirus utilise le Règlement général sur la protection des données à des fins de qualité et de surveillance des produits. |
La mise à jour utilise SSL (port TCP 443) pour télécharger des manifestes et charger des données de diagnostic sur Microsoft qui utilise les points de terminaison DNS suivants :vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Valider les connexions entre votre réseau et le cloud
Après avoir autorisé les URL répertoriées, testez si vous êtes connecté au service cloud antivirus Microsoft Defender. Testez que les URL signalent et reçoivent correctement des informations pour vous assurer que vous êtes entièrement protégé.
Utiliser l’outil cmdline pour valider la protection fournie par le cloud
Utilisez l’argument suivant avec l’utilitaire de ligne de commande antivirus Microsoft Defender (mpcmdrun.exe) pour vérifier que votre réseau peut communiquer avec le service cloud antivirus Microsoft Defender :
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Remarque
Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur. Cliquez avec le bouton droit sur l’élément dans le menu Démarrer , cliquez sur Exécuter en tant qu’administrateur , puis cliquez sur Oui à l’invite d’autorisations. Cette commande fonctionne uniquement sur Windows 10, version 1703 ou ultérieure, ou Windows 11.
Pour plus d’informations, consultez Gérer l’antivirus Microsoft Defender avec l’outil en ligne de commande mpcmdrun.exe.
Messages d’erreur
Voici quelques messages d’erreur que vous pouvez voir :
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Causes
La cause racine de ces messages d’erreur est que l’appareil n’a pas son proxy à l’échelle WinHttp du système configuré. Si vous ne définissez pas ce proxy, le système d’exploitation n’est pas au courant du proxy et ne peut pas extraire la liste de révocation de certificats (le système d’exploitation le fait, pas Defender pour point de terminaison), ce qui signifie que les connexions TLS aux URL comme http://cp.wd.microsoft.com/ n’aboutissent pas. Vous voyez des connexions (réponse 200) réussies aux points de terminaison, mais les connexions MAPS échouent toujours.
Solutions
Le tableau suivant répertorie les solutions :
| Solution | Description |
|---|---|
| Solution (par défaut) | Configurez le proxy WinHttp à l’échelle du système qui autorise la liste de révocation de certificats case activée. |
| Solution (préféré 2) | 1. Accédez à Configuration> ordinateurParamètres Windows Paramètres>de sécurité Paramètres>de clé publique Stratégies> duchemin d’accès du certificat Paramètres de validation. 2. Sélectionnez l’onglet Récupération du réseau , puis sélectionnez Définir ces paramètres de stratégie. 3. Désactivez la case Mettre à jour automatiquement les certificats dans le programme de certificats racine Microsoft (recommandé) case activée. Voici quelques ressources utiles : - Configurer des racines approuvées et des certificats non autorisés - Amélioration du temps de démarrage de l’application : paramètre GeneratePublisherEvidence dans Machine.config |
| Solution de contournement (alternative) Il ne s’agit pas d’une bonne pratique, car vous ne vérifiez plus les certificats révoqués ou l’épinglage de certificat. |
Désactivez la liste de révocation de certificats case activée uniquement pour SPYNET. La configuration de ce registre SSLOption désactive la liste de révocation de certificats case activée uniquement pour les rapports SPYNET. Cela n’aura pas d’impact sur les autres services. Accédez à HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, puis définissez sur SSLOptions (dword)2 (hexadécimal). Pour référence, voici les valeurs possibles pour le DWORD : - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Tentative de téléchargement d’un fichier de programme malveillant factice à partir de Microsoft
Vous pouvez télécharger un exemple de fichier que Microsoft Defender antivirus détectera et bloquera si vous êtes correctement connecté au cloud.
Remarque
Le fichier téléchargé n’est pas exactement un programme malveillant. Il s’agit d’un faux fichier conçu pour tester si vous êtes correctement connecté au cloud.
Si vous êtes correctement connecté, un avertissement s’affiche Microsoft Defender notification antivirus.
Si vous utilisez Microsoft Edge, un message de notification s’affiche également :
Un message similaire se produit si vous utilisez Internet Explorer :
Afficher la détection de programmes malveillants factices dans votre application Sécurité Windows
Dans la barre des tâches, sélectionnez l’icône Bouclier, ouvrez l’application Sécurité Windows. Vous pouvez également rechercher Sécurité dans l’écran de démarrage.
Sélectionnez Protection contre les virus & contre les menaces, puis historique de protection.
Sous la section Menaces mises en quarantaine , sélectionnez Afficher l’historique complet pour voir les faux programmes malveillants détectés.
Remarque
Les versions de Windows 10 antérieures à la version 1703 ont une interface utilisateur différente. Consultez antivirus Microsoft Defender dans l’application Sécurité Windows.
Le journal des événements Windows affiche également l’ID d’événement du client Windows Defender 1116.
Conseil
Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :
Voir aussi
- Configurer les paramètres de proxy d’appareil et de connectivité Internet pour Microsoft Defender pour point de terminaison
- Utiliser les paramètres de stratégie de groupe pour configurer et gérer Microsoft Defender Antivirus
- Modifications importantes apportées au point de terminaison Microsoft Active Protection Services
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.