Partager via


Configurer et valider les connexions réseau à un antivirus Microsoft Defender

S’applique à :

  • Antivirus Microsoft Defender

Importante

Cet article contient des informations sur la configuration des connexions réseau uniquement pour Microsoft Defender Antivirus, lorsqu’il est utilisé sans Microsoft Defender pour point de terminaison. Si vous utilisez Microsoft Defender pour point de terminaison (qui inclut Microsoft Defender Antivirus), consultez Configurer les paramètres de connectivité Internet et proxy d’appareil pour Defender pour point de terminaison.

Plateformes

  • Windows

Pour vous assurer Microsoft Defender protection fournie par le cloud antivirus fonctionne correctement, votre équipe de sécurité doit configurer votre réseau pour autoriser les connexions entre vos points de terminaison et certains serveurs Microsoft. Cet article répertorie les destinations qui sont accessibles. Il fournit également des instructions pour valider les connexions. La configuration correcte de la connectivité garantit que vous bénéficiez du meilleur rapport qualité-prix de Microsoft Defender services de protection fournis par le cloud antivirus.

Autoriser les connexions au service cloud Microsoft Defender Antivirus

Le service cloud Microsoft Defender Antivirus fournit une protection rapide et forte pour vos points de terminaison. Bien qu’il soit facultatif d’activer et d’utiliser les services de protection fournis par le cloud fournis par Microsoft Defender Antivirus, il est fortement recommandé, car il offre une protection importante et opportune contre les menaces émergentes sur vos points de terminaison et votre réseau. Pour plus d’informations, consultez Activer la protection fournie par le cloud, qui décrit comment activer le service à l’aide de Intune, microsoft Endpoint Configuration Manager, stratégie de groupe, applets de commande PowerShell ou clients individuels dans l’application Sécurité Windows.

Une fois que vous avez activé le service, vous devez configurer votre réseau ou pare-feu pour autoriser les connexions entre le réseau et vos points de terminaison. Les ordinateurs doivent avoir accès à Internet et atteindre les services cloud Microsoft pour un fonctionnement correct.

Remarque

Le service cloud Microsoft Defender Antivirus offre une protection mise à jour à votre réseau et à vos points de terminaison. Le service cloud ne doit pas être considéré comme une protection pour ou contre les fichiers stockés dans le cloud ; au lieu de cela, le service cloud utilise des ressources distribuées et le Machine Learning pour fournir une protection de vos points de terminaison à un rythme plus rapide que les mises à jour traditionnelles de Security Intelligence, et s’applique aux menaces basées sur des fichiers et sans fichier, quel que soit leur origine.

Services et URL

Le tableau de cette section répertorie les services et leurs adresses de site web associées (URL).

Assurez-vous qu’il n’existe aucune règle de pare-feu ou de filtrage réseau refusant l’accès à ces URL. Sinon, vous devez créer une règle d’autorisation spécifique pour ces URL. Les URL du tableau suivant utilisent le port 443 pour la communication. (Le port 80 est également requis pour certaines URL, comme indiqué dans le tableau suivant.)

Service et description URL
Microsoft Defender service de protection fourni par le cloud antivirus est appelé Microsoft Active Protection Service (MAPS).
Microsoft Defender Antivirus utilise le service MAPS pour fournir une protection fournie par le cloud.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) et Windows Update Service (WU)
Ces services autorisent les informations de sécurité et les mises à jour des produits.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Pour plus d’informations, consultez Points de terminaison de connexion pour Windows Update.
Security Intelligence Updates Alternate Download Location (ADL)
Il s’agit d’un autre emplacement pour Microsoft Defender mises à jour du renseignement de sécurité antivirus, si le renseignement de sécurité installé est obsolète (sept jours ou plus).
*.download.microsoft.com
*.download.windowsupdate.com (Le port 80 est requis)
go.microsoft.com (Le port 80 est requis)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Stockage de soumission de programmes malveillants
Il s’agit d’un emplacement de chargement pour les fichiers envoyés à Microsoft via le formulaire de soumission ou l’envoi automatique d’exemples.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Liste de révocation de certificats (CRL)
Windows utilise cette liste lors de la création de la connexion SSL à MAPS pour mettre à jour la liste de révocation de certificats.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Client RGPD universel
Windows utilise ce client pour envoyer les données de diagnostic du client.

Microsoft Defender Antivirus utilise le Règlement général sur la protection des données à des fins de qualité et de surveillance des produits.
La mise à jour utilise SSL (port TCP 443) pour télécharger des manifestes et charger des données de diagnostic sur Microsoft qui utilise les points de terminaison DNS suivants :
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Valider les connexions entre votre réseau et le cloud

Après avoir autorisé les URL répertoriées, testez si vous êtes connecté au service cloud antivirus Microsoft Defender. Testez que les URL signalent et reçoivent correctement des informations pour vous assurer que vous êtes entièrement protégé.

Utiliser l’outil cmdline pour valider la protection fournie par le cloud

Utilisez l’argument suivant avec l’utilitaire de ligne de commande antivirus Microsoft Defender (mpcmdrun.exe) pour vérifier que votre réseau peut communiquer avec le service cloud antivirus Microsoft Defender :

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Remarque

Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur. Cliquez avec le bouton droit sur l’élément dans le menu Démarrer , cliquez sur Exécuter en tant qu’administrateur , puis cliquez sur Oui à l’invite d’autorisations. Cette commande fonctionne uniquement sur Windows 10, version 1703 ou ultérieure, ou Windows 11.

Pour plus d’informations, consultez Gérer l’antivirus Microsoft Defender avec l’outil en ligne de commande mpcmdrun.exe.

Messages d’erreur

Voici quelques messages d’erreur que vous pouvez voir :

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Causes

La cause racine de ces messages d’erreur est que l’appareil n’a pas son proxy à l’échelle WinHttp du système configuré. Si vous ne définissez pas ce proxy, le système d’exploitation n’est pas au courant du proxy et ne peut pas extraire la liste de révocation de certificats (le système d’exploitation le fait, pas Defender pour point de terminaison), ce qui signifie que les connexions TLS aux URL comme http://cp.wd.microsoft.com/ n’aboutissent pas. Vous voyez des connexions (réponse 200) réussies aux points de terminaison, mais les connexions MAPS échouent toujours.

Solutions

Le tableau suivant répertorie les solutions :

Solution Description
Solution (par défaut) Configurez le proxy WinHttp à l’échelle du système qui autorise la liste de révocation de certificats case activée.
Solution (préféré 2) 1. Accédez à Configuration> ordinateurParamètres Windows Paramètres>de sécurité Paramètres>de clé publique Stratégies> duchemin d’accès du certificat Paramètres de validation.
2. Sélectionnez l’onglet Récupération du réseau , puis sélectionnez Définir ces paramètres de stratégie.
3. Désactivez la case Mettre à jour automatiquement les certificats dans le programme de certificats racine Microsoft (recommandé) case activée.

Voici quelques ressources utiles :
- Configurer des racines approuvées et des certificats non autorisés
- Amélioration du temps de démarrage de l’application : paramètre GeneratePublisherEvidence dans Machine.config
Solution de contournement (alternative)
Il ne s’agit pas d’une bonne pratique, car vous ne vérifiez plus les certificats révoqués ou l’épinglage de certificat.
Désactivez la liste de révocation de certificats case activée uniquement pour SPYNET.
La configuration de ce registre SSLOption désactive la liste de révocation de certificats case activée uniquement pour les rapports SPYNET. Cela n’aura pas d’impact sur les autres services.

Accédez à HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, puis définissez sur SSLOptions (dword)2 (hexadécimal).
Pour référence, voici les valeurs possibles pour le DWORD :
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Tentative de téléchargement d’un fichier de programme malveillant factice à partir de Microsoft

Vous pouvez télécharger un exemple de fichier que Microsoft Defender antivirus détectera et bloquera si vous êtes correctement connecté au cloud.

Remarque

Le fichier téléchargé n’est pas exactement un programme malveillant. Il s’agit d’un faux fichier conçu pour tester si vous êtes correctement connecté au cloud.

Si vous êtes correctement connecté, un avertissement s’affiche Microsoft Defender notification antivirus.

Si vous utilisez Microsoft Edge, un message de notification s’affiche également :

Notification indiquant qu’un programme malveillant a été trouvé dans Edge

Un message similaire se produit si vous utilisez Internet Explorer :

Notification de l’antivirus Microsoft Defender indiquant qu’un programme malveillant a été trouvé

Afficher la détection de programmes malveillants factices dans votre application Sécurité Windows

  1. Dans la barre des tâches, sélectionnez l’icône Bouclier, ouvrez l’application Sécurité Windows. Vous pouvez également rechercher Sécurité dans l’écran de démarrage.

  2. Sélectionnez Protection contre les virus & contre les menaces, puis historique de protection.

  3. Sous la section Menaces mises en quarantaine , sélectionnez Afficher l’historique complet pour voir les faux programmes malveillants détectés.

    Remarque

    Les versions de Windows 10 antérieures à la version 1703 ont une interface utilisateur différente. Consultez antivirus Microsoft Defender dans l’application Sécurité Windows.

    Le journal des événements Windows affiche également l’ID d’événement du client Windows Defender 1116.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.