קבע תצורה של חיבורי הרשת של האנטי-וירוס של Microsoft Defender ואמת אותם
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- האנטי-וירוס של Microsoft Defender
פלטפורמות
- Windows
כדי להבטיח Microsoft Defender מבוססת הענן של האנטי-וירוס פועלת כראוי, צוות האבטחה שלך חייב להגדיר את הרשת שלך כך שתאפשר חיבורים בין נקודות הקצה שלך לשרתי Microsoft מסוימים. מאמר זה מפרט חיבורים שיש מותרים לשימוש בכללי חומת האש. הוא גם מספק הוראות לאימות החיבור שלך. קביעת התצורה של ההגנה שלך כראוי מבטיחה שתקבל את הערך הטוב ביותר מתוך שירותי ההגנה הניתנים בענן.
חשוב
מאמר זה מכיל מידע אודות קביעת תצורה של חיבורי רשת רק עבור Microsoft Defender אנטי-וירוס. אם אתה משתמש ב- Microsoft Defender עבור נקודת קצה (כולל אנטי-וירוס של Microsoft Defender), ראה קביעת תצורה של הגדרות Proxy של מכשיר וקישוריות לאינטרנט עבור Defender for Endpoint.
אפשר חיבורים לשירות הענן של Microsoft Defender אנטי-וירוס
שירות Microsoft Defender אנטי-וירוס מספק הגנה מהירה וחזקה עבור נקודות הקצה שלך. מומלץ להפוך את שירות ההגנה מבוסס הענן לזמין. Microsoft Defender אנטי-וירוס מומלץ, מכיוון שהוא מספק הגנה חשובה מפני תוכנות זדוניות ב נקודות הקצה וברשת שלך. לקבלת מידע נוסף, ראה הפיכת הגנה מבוססת ענן לזמינה עבור הפעלת שירות עם Intune, Microsoft Endpoint Configuration Manager, מדיניות קבוצתית, רכיבי cmdlet של PowerShell או לקוחות בודדים ביישום אבטחת Windows.
לאחר הפיכת השירות לזמין, עליך להגדיר את הרשת או חומת האש כך שתאפשר חיבורים בין הרשת לבין נקודות הקצה שלך. מאחר שההגנה שלך היא שירות ענן, למחשבים חייבת להיות גישה לאינטרנט ולגשת לשירותי הענן של Microsoft. אל תכלול את כתובת ה- URL *.blob.core.windows.net
בכל סוג של בדיקת רשת.
הערה
שירות Microsoft Defender אנטי-וירוס מספק הגנה מעודכנת לרשת ול נקודות הקצה שלך. אין לשקול את שירות הענן כהגנה רק עבור הקבצים שלך המאוחסנים בענן; במקום זאת, שירות הענן משתמש במשאבים מבוזרות ובמידת מכונה כדי לספק הגנה עבור נקודות הקצה שלך בקצב מהיר יותר מאשר עדכוני בינת האבטחה המסורתיים.
שירותים וכתובות URL
הטבלה בסעיף זה מפרטת שירותים ואת כתובות אתרי האינטרנט (כתובות URL) המשויכים להם.
ודא שאין כללי חומת אש או סינון רשת המכחישים גישה לכתובות URL אלה. אחרת, עליך ליצור כלל התרה במיוחד עבור כתובות URL אלה (לא כולל כתובת ה- URL *.blob.core.windows.net
). כתובות ה- URL בטבלה הבאה משתמשות ביציאה 443 לתקשורת. (יציאה 80 נדרשת גם עבור כתובות URL מסוימות, כפי שצוין בטבלה הבאה.)
שירות ותיאור | כתובת url |
---|---|
Microsoft Defender הגנה מבוסס ענן של אנטי-וירוס נקרא שירות Microsoft Active Protection Service (MAPS). Microsoft Defender-וירוס משתמש בשירות MAPS כדי לספק הגנה מבוססת ענן. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com |
שירות Microsoft Update (MU) Windows Update שירות (WU) שירותים אלה מאפשרים עדכוני בינת אבטחה ומוצר. |
*.update.microsoft.com *.delivery.mp.microsoft.com *.windowsupdate.com ctldl.windowsupdate.com לקבלת מידע נוסף, ראה נקודות קצה של חיבור עבור Windows Update. |
עדכוני בינת אבטחה מיקום הורדה חלופי (ADL) זהו מיקום חלופי עבור עדכוני בינת Microsoft Defender אנטי-וירוס, אם בינת האבטחה המותקנת אינה עדכנית (שבעה ימים או יותר מאחור). |
*.download.microsoft.com *.download.windowsupdate.com (יציאה 80 נדרשת)go.microsoft.com (יציאה 80 נדרשת)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/ https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
אחסון שליחה של תוכנות זדוניות זהו מיקום העלאה עבור קבצים שנשלחו ל- Microsoft באמצעות טופס השליחה או שליחת דוגמאות אוטומטית. |
ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
רשימת ביטול אישורים (CRL) Windows משתמש ברשימה זו בעת יצירת חיבור SSL ל- MAPS לעדכון CRL. |
http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs |
לקוח GDPR אוניברסלי Windows משתמש בלקוח זה כדי לשלוח את נתוני האבחון של הלקוח. Microsoft Defender-וירוס משתמשת ברגולציה הכללית להגנה על נתונים למטרות איכות מוצר וניטור. |
העדכון משתמש ב- SSL (יציאת TCP 443) כדי להוריד מניפסטים ולהעלות נתוני אבחון ל- Microsoft המשתמשים ב נקודות הקצה הבאות של DNS:vortex-win.data.microsoft.com settings-win.data.microsoft.com |
אימות חיבורים בין הרשת לבין הענן
לאחר שתאפשר את כתובות ה- URL המפורטות, בדוק אם אתה מחובר לשירות הענן Microsoft Defender אנטי-וירוס. בדוק שכתובות ה- URL מדווחות ומקבלות מידע כראוי כדי לוודא שאתה מוגן באופן מלא.
השתמש בכלי cmdline לאימות הגנה מבוססת ענן
השתמש בארגומנט הבא עם כלי Microsoft Defender Antivirus () כדי לוודא שהרשת שלך יכולה לקיים תקשורת עם שירות הענן של אנטי Microsoft Defendermpcmdrun.exe
Antivirus:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
הערה
פתח את שורת הפקודה כמנהל מערכת. לחץ באמצעות לחצן העכבר הימני על הפריט בתפריט התחלה, לחץ על הפעל כמנהל מערכתולחץ על כן בשורת ההרשאות. פקודה זו תפעל רק בגירסה Windows 10, בגירסה 1703 ואילך או Windows 11.
לקבלת מידע נוסף, ראה ניהול Microsoft Defender אנטי-וירוס באמצעות mpcmdrun.exe שורת הפקודה.
הודעות שגיאה
הנה כמה הודעות שגיאה שאתה עשוי לראות:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
סיבות בסיס
הגורם הבסיס להודעות שגיאה אלה הוא שלמכשיר לא הוגדר Proxy כלל-מערכתי WinHttp
. אם לא תגדיר Proxy זה, מערכת ההפעלה לא מודעת ל- Proxy ולא תוכל להביא את ה- CRL (מערכת ההפעלה עושה זאת, לא Defender for Endpoint), כלומר חיבורי TLS לכתובות URL http://cp.wd.microsoft.com/
כגון לא מצליחים. אתה רואה חיבורים מוצלחים (תגובה 200) ל נקודות הקצה, אך חיבורי MAPS עדיין ייכשלו.
פתרונות
הטבלה הבאה מפרטת פתרונות:
פתרון | תיאור |
---|---|
פתרון (מועדף) | קבע את תצורת ה- Proxy של WinHttp ברחבי המערכת המאפשר בדיקת CRL. |
פתרון (מועדף 2) | 1. עבור אלהגדרות אבטחה של>הגדרות מחשב>> הגדרות אבטחהשל מפתח ציבורי הגדרות אימות>נתיב של מדיניות מפתח ציבורי. 2. בחר בכרטיסיה אחזור רשת ולאחר מכן בחר הגדר הגדרות מדיניות אלה. 3. נקה את תיבת הסימון עדכן אישורים באופן אוטומטי בתוכנית אישורי הבסיס של Microsoft ( מומלץ). להלן כמה משאבים שימושיים: - קביעת תצורה של אישורים מהימנים ובסיסים אסורים - שיפור זמן הפעלת היישום: הגדרת GeneratePublisherEvidence ב- Machine.config |
פתרון מ סביבות עבודה (חלופי) זו אינה שיטות עבודה מומלצות מאחר שאינך מחפש עוד אישורים מבוטלים או הצמדת אישור. |
הפוך את בדיקת CRL ללא זמינה רק עבור SPYNET. קביעת התצורה של SSLOption רישום זה מבטלת את בדיקת CRL רק לדיווח SPYNET. הוא לא ישפיע על שירותים אחרים. עבור אל HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet ולאחר מכן הגדר SSLOptions (dword) כ 2 - (hex). לעיון, להלן ערכים אפשריים עבור DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
ניסיון להוריד קובץ תוכנות זדוניות מזויף מ- Microsoft
באפשרותך להוריד קובץ לדוגמה Microsoft Defender האנטי-וירוס יזהה ויחסום אם אתה מחובר כראוי לענן.
הערה
הקובץ שהורד אינו תוכנה זדונית בדיוק. זהו קובץ מזויף המיועד לבדיקה אם אתה מחובר כראוי לענן.
אם אתה מחובר כראוי, תראה הודעת אזהרה על Microsoft Defender אנטי-וירוס.
אם אתה משתמש ב- Microsoft Edge, תראה גם הודעה:
הודעה דומה מופיעה אם אתה משתמש ב- Internet Explorer:
הצג את הזיהוי המזויף של תוכנות זדוניות באפליקציית אבטחת Windows שלך
בשורת המשימות, בחר את סמל מגן, פתח את אבטחת Windows האפליקציה. לחלופין, חפש במסך התחל אחר אבטחה.
בחר וירוסים & הגנה מפני איומים, ולאחר מכן בחר היסטוריית הגנה.
תחת המקטע איומים בהסגר , בחר הצג היסטוריה מלאה כדי לראות את התוכנות הזדוניות שזוהו.
הערה
לגירסאות Windows 10 גירסה 1703 יש ממשק משתמש אחר. ראה Microsoft Defender אנטי-וירוס אבטחת Windows האפליקציה.
יומן האירועים של Windows יציג גם Windows Defender אירוע לקוח 1116.
עצה
אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:
למידע נוסף
- קביעת תצורה של הגדרות Proxy וקישוריות לאינטרנט עבור Microsoft Defender עבור נקודת קצה
- השתמש מדיניות קבוצתית הגדרות אלה כדי לקבוע תצורה ולנהל Microsoft Defender אנטי-וירוס
- שינויים חשובים ב נקודת הקצה של Microsoft Active Protection Services
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור