Configurer et valider les connexions réseau à un antivirus Microsoft Defender

S’applique à :

Plateformes

  • Windows

Pour vous assurer Microsoft Defender protection fournie par le cloud antivirus fonctionne correctement, votre équipe de sécurité doit configurer votre réseau pour autoriser les connexions entre vos points de terminaison et certains serveurs Microsoft. Cet article répertorie les connexions qui doivent être autorisées pour l’utilisation des règles de pare-feu. Il fournit également des instructions pour valider votre connexion. Si vous configurez correctement votre protection, vous bénéficiez de la meilleure valeur de vos services de protection fournis par le cloud.

Importante

Cet article contient des informations sur la configuration des connexions réseau uniquement pour Microsoft Defender Antivirus. Si vous utilisez Microsoft Defender pour point de terminaison (qui inclut Microsoft Defender Antivirus), consultez Configurer les paramètres de connectivité Internet et proxy d’appareil pour Defender pour point de terminaison.

Autoriser les connexions au service cloud Microsoft Defender Antivirus

Le service cloud Microsoft Defender Antivirus offre une protection rapide et forte pour vos points de terminaison. Il est facultatif d’activer le service de protection fourni par le cloud. Microsoft Defender service cloud antivirus est recommandé, car il fournit une protection importante contre les programmes malveillants sur vos points de terminaison et votre réseau. Pour plus d’informations, consultez Activer la protection fournie par le cloud pour activer le service avec Intune, microsoft Endpoint Configuration Manager, stratégie de groupe, applets de commande PowerShell ou clients individuels dans l’application Sécurité Windows.

Une fois que vous avez activé le service, vous devez configurer votre réseau ou pare-feu pour autoriser les connexions entre le réseau et vos points de terminaison. Étant donné que votre protection est un service cloud, les ordinateurs doivent avoir accès à Internet et atteindre les services cloud Microsoft. N’excluez pas l’URL *.blob.core.windows.net d’un quelconque type d’inspection réseau.

Remarque

Le service cloud Microsoft Defender Antivirus offre une protection mise à jour à votre réseau et à vos points de terminaison. Le service cloud ne doit pas être considéré uniquement comme une protection pour vos fichiers stockés dans le cloud ; au lieu de cela, le service cloud utilise des ressources distribuées et le Machine Learning pour fournir une protection de vos points de terminaison plus rapidement que les mises à jour traditionnelles de Security Intelligence.

Services et URL

Le tableau de cette section répertorie les services et leurs adresses de site web associées (URL).

Assurez-vous qu’il n’existe aucune règle de pare-feu ou de filtrage réseau refusant l’accès à ces URL. Sinon, vous devez créer une règle d’autorisation spécifiquement pour ces URL (à l’exception de l’URL *.blob.core.windows.net). Les URL du tableau suivant utilisent le port 443 pour la communication. (Le port 80 est également requis pour certaines URL, comme indiqué dans le tableau suivant.)

Service et description URL
Microsoft Defender service de protection fourni par le cloud antivirus est appelé Microsoft Active Protection Service (MAPS).
Microsoft Defender Antivirus utilise le service MAPS pour fournir une protection fournie par le cloud.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) et Windows Update Service (WU)
Ces services autorisent les informations de sécurité et les mises à jour des produits.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Pour plus d’informations, consultez Points de terminaison de connexion pour Windows Update.
Security Intelligence Updates Alternate Download Location (ADL)
Il s’agit d’un autre emplacement pour Microsoft Defender mises à jour du renseignement de sécurité antivirus, si le renseignement de sécurité installé est obsolète (sept jours ou plus).
*.download.microsoft.com
*.download.windowsupdate.com (Le port 80 est requis)
go.microsoft.com (Le port 80 est requis)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Stockage de soumission de programmes malveillants
Il s’agit d’un emplacement de chargement pour les fichiers envoyés à Microsoft via le formulaire de soumission ou l’envoi automatique d’exemples.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Liste de révocation de certificats (CRL)
Windows utilise cette liste lors de la création de la connexion SSL à MAPS pour mettre à jour la liste de révocation de certificats.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Client RGPD universel
Windows utilise ce client pour envoyer les données de diagnostic du client.

Microsoft Defender Antivirus utilise le Règlement général sur la protection des données à des fins de qualité et de surveillance des produits.
La mise à jour utilise SSL (port TCP 443) pour télécharger des manifestes et charger des données de diagnostic sur Microsoft qui utilise les points de terminaison DNS suivants :
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Valider les connexions entre votre réseau et le cloud

Après avoir autorisé les URL répertoriées, testez si vous êtes connecté au service cloud antivirus Microsoft Defender. Testez que les URL signalent et reçoivent correctement des informations pour vous assurer que vous êtes entièrement protégé.

Utiliser l’outil cmdline pour valider la protection fournie par le cloud

Utilisez l’argument suivant avec l’utilitaire de ligne de commande antivirus Microsoft Defender (mpcmdrun.exe) pour vérifier que votre réseau peut communiquer avec le service cloud antivirus Microsoft Defender :

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Remarque

Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur. Cliquez avec le bouton droit sur l’élément dans le menu Démarrer , cliquez sur Exécuter en tant qu’administrateur , puis cliquez sur Oui à l’invite d’autorisations. Cette commande fonctionne uniquement sur Windows 10, version 1703 ou ultérieure, ou Windows 11.

Pour plus d’informations, consultez Gérer l’antivirus Microsoft Defender avec l’outil en ligne de commande mpcmdrun.exe.

Utilisez les tableaux ci-dessous pour afficher les messages d’erreur que vous pouvez rencontrer, ainsi que des informations sur la cause racine et les solutions possibles :

Messages d’erreur Cause
Heure de début : <Day_of_the_week> MM JJ AAAA HH :MM :SS
MpEnsureProcessMitigationPolicy : hr = 0x1
ValidateMapsConnection
ValidateMapsConnection n’a pas pu établir une connexion à MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe : hr = 0x80070006**

ValidateMapsConnection n’a pas pu établir une connexion à MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe : hr = 0x80072F8F

ValidateMapsConnection n’a pas pu établir une connexion à MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe : hr = 0x80072EFE
La cause racine de ces messages d’erreur est que l’appareil n’a pas son proxy WinHttp à l’échelle du système configuré. Si vous ne définissez pas le proxy WinHttp à l’échelle du système, le système d’exploitation n’a pas connaissance du proxy et ne peut pas extraire la liste de révocation de certificats (c’est le système d’exploitation qui effectue cette opération, pas Defender pour point de terminaison), ce qui signifie que les connexions TLS aux URL telles http://cp.wd.microsoft.com/ que ne réussissent pas entièrement. Vous verrez des connexions réussies (réponse 200) aux points de terminaison, mais les connexions MAPS échouent toujours.
Solution Description
Solution (par défaut) Configurez le proxy WinHttp à l’échelle du système qui autorise la liste de révocation de certificats case activée.
Solution (préféré 2) - Configurer Rediriger l’URL de mise à jour automatique Microsoft pour un environnement déconnecté
- Configurer un serveur qui a accès à Internet pour récupérer les fichiers CTL
- Rediriger l’URL de mise à jour automatique Microsoft pour un environnement déconnecté

Références utiles :
- Accédez à Configuration > ordinateur Paramètres Windows Paramètres > de sécurité Paramètres > de clé > publique Stratégies du chemin d’accès du certificat Paramètres> de validationSélectionnez l’onglet> Récupération réseauSélectionnez Définir ces paramètres> de stratégieActivez la case à cocher Mettre à jour automatiquement les certificats dans le programme de certificats racine Microsoft (recommandé) case activée.
- Vérification de la liste de révocation de certificats (CRL) : choix d’application
- https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows
- https://technet.microsoft.com/library/dn265983(v=ws.11).aspx
- /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/
Solution de contournement (alternative)
Ce n’est pas une bonne pratique, car vous ne case activée plus pour les certificats révoqués ou l’épinglage de certificat.
Désactivez la liste de révocation de certificats case activée uniquement pour SPYNET.
La configuration de ce registre SSLOption désactive la liste de révocation de certificats case activée uniquement pour les rapports SPYNET. Cela n’aura pas d’impact sur les autres services.

À ceci :
Accédez à HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> pour définir SSLOptions (dword) sur 0 (hexadécimal).
- 0 – désactiver l’épinglage et les vérifications de révocation
- 1 - Désactiver l’épinglage
- 2 - Désactiver uniquement les vérifications de révocation
- 3 – Activer les vérifications de révocation et l’épinglage (par défaut)

Tentative de téléchargement d’un fichier de programme malveillant factice à partir de Microsoft

Vous pouvez télécharger un exemple de fichier que Microsoft Defender antivirus détectera et bloquera si vous êtes correctement connecté au cloud.

Remarque

Le fichier téléchargé n’est pas exactement un programme malveillant. Il s’agit d’un faux fichier conçu pour tester si vous êtes correctement connecté au cloud.

Si vous êtes correctement connecté, un avertissement s’affiche Microsoft Defender notification antivirus.

Si vous utilisez Microsoft Edge, un message de notification s’affiche également :

Notification indiquant qu’un programme malveillant a été trouvé dans Edge

Un message similaire se produit si vous utilisez Internet Explorer :

Notification de l’antivirus Microsoft Defender indiquant qu’un programme malveillant a été trouvé

Afficher la détection de programmes malveillants factices dans votre application Sécurité Windows

  1. Dans la barre des tâches, sélectionnez l’icône Bouclier, ouvrez l’application Sécurité Windows. Vous pouvez également rechercher Sécurité dans l’écran de démarrage.

  2. Sélectionnez Protection contre les virus & contre les menaces, puis historique de protection.

  3. Sous la section Menaces mises en quarantaine , sélectionnez Afficher l’historique complet pour voir les faux programmes malveillants détectés.

    Remarque

    Les versions de Windows 10 antérieures à la version 1703 ont une interface utilisateur différente. Consultez antivirus Microsoft Defender dans l’application Sécurité Windows.

    Le journal des événements Windows affiche également Windows Defender’ID d’événement client 1116.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.