Microsoft Defender víruskereső hálózati kapcsolatainak konfigurálása és ellenőrzése
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender víruskereső
Platformok
- A Windows
Ahhoz, hogy Microsoft Defender víruskereső felhőben nyújtott védelme megfelelően működjön, a biztonsági csapatnak úgy kell konfigurálnia a hálózatot, hogy engedélyezze a végpontok és bizonyos Microsoft-kiszolgálók közötti kapcsolatokat. Ez a cikk felsorolja azokat a kapcsolatokat, amelyeket engedélyezni kell a tűzfalszabályok használatához. Útmutatást nyújt a kapcsolat érvényesítéséhez is. A védelem megfelelő konfigurálása biztosítja, hogy a legjobb értéket kapja a felhőben biztosított védelmi szolgáltatásoktól.
Fontos
Ez a cikk a hálózati kapcsolatok csak Microsoft Defender víruskeresőhöz való konfigurálásáról tartalmaz információkat. Ha Végponthoz készült Microsoft Defender (amely magában foglalja a Microsoft Defender víruskeresőt) használata esetén lásd: Eszközproxy és internetkapcsolat beállításainak konfigurálása a Végponthoz készült Defenderhez.
A Microsoft Defender Víruskereső felhőszolgáltatáshoz való csatlakozás engedélyezése
A Microsoft Defender víruskereső felhőszolgáltatás gyors és erős védelmet biztosít a végpontok számára. Nem kötelező engedélyezni a felhőben biztosított védelmi szolgáltatást. Microsoft Defender víruskereső felhőszolgáltatás használata ajánlott, mert fontos védelmet nyújt a végpontokon és a hálózaton található kártevők ellen. További információ: Felhőben biztosított védelem engedélyezése a szolgáltatás engedélyezéséhez Intune, Microsoft Endpoint Configuration Manager, Csoportházirend, PowerShell-parancsmagok vagy egyéni ügyfelek használatával az Windows biztonság alkalmazásban.
A szolgáltatás engedélyezése után konfigurálnia kell a hálózatot vagy a tűzfalat a hálózat és a végpontok közötti kapcsolatok engedélyezéséhez. Mivel a védelem egy felhőszolgáltatás, a számítógépeknek hozzáféréssel kell rendelkezniük az internethez, és el kell érniük a Microsoft felhőszolgáltatását. Ne zárja ki az URL-címet *.blob.core.windows.net
semmilyen hálózati vizsgálatból.
Megjegyzés:
A Microsoft Defender víruskereső felhőszolgáltatás frissített védelmet nyújt a hálózatnak és a végpontoknak. A felhőszolgáltatás nem tekinthető csak a felhőben tárolt fájlok védelmének; ehelyett a felhőszolgáltatás elosztott erőforrásokat és gépi tanulást használ a végpontok védelmének biztosítására a hagyományos biztonságiintelligencia-frissítéseknél gyorsabban.
Szolgáltatások és URL-címek
Az ebben a szakaszban található táblázat felsorolja a szolgáltatásokat és a hozzájuk tartozó webhelycímeket (URL-címeket).
Győződjön meg arról, hogy nincsenek olyan tűzfal- vagy hálózatszűrési szabályok, amelyek megtagadják a hozzáférést ezekhez az URL-címekhez. Ellenkező esetben kifejezetten ezekhez az URL-címekhez kell engedélyezési szabályt létrehoznia (az URL-cím *.blob.core.windows.net
kivételével). Az alábbi táblázatban szereplő URL-címek a 443-at használják a kommunikációhoz. (Egyes URL-címekhez a 80-as portra is szükség van, ahogy az az alábbi táblázatban látható.)
Szolgáltatás és leírás | URL |
---|---|
Microsoft Defender víruskereső felhőalapú védelmi szolgáltatást Microsoft Active Protection Service -nek (MAPS) nevezzük. Microsoft Defender Víruskereső a MAPS szolgáltatást használja a felhőben biztosított védelem biztosítására. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com |
Microsoft Update Service (MU) és Windows Update Service (WU) Ezek a szolgáltatások lehetővé teszik a biztonsági intelligenciát és a termékfrissítéseket. |
*.update.microsoft.com *.delivery.mp.microsoft.com *.windowsupdate.com ctldl.windowsupdate.com További információ: Kapcsolati végpontok Windows Update. |
Biztonságiintelligencia-frissítések – Másodlagos letöltési hely (ADL) Ez egy alternatív hely a Microsoft Defender víruskereső biztonsági intelligenciájának frissítéséhez, ha a telepített biztonsági intelligencia elavult (hét vagy több nap van hátra). |
*.download.microsoft.com *.download.windowsupdate.com (A 80-ás port szükséges)go.microsoft.com (A 80-ás port szükséges)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/ https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
Kártevőküldési tároló Ez a microsoftos beküldési űrlapon vagy automatikus mintabeküldésen keresztül elküldött fájlok feltöltési helye. |
ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Visszavont tanúsítványok listája (CRL) A Windows ezt a listát használja a MAPS-hez való SSL-kapcsolat létrehozásakor a CRL frissítéséhez. |
http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs |
Univerzális GDPR-ügyfél A Windows ezt az ügyfelet használja az ügyfél diagnosztikai adatainak küldéséhez. Microsoft Defender víruskereső az általános adatvédelmi szabályozást használja a termékminőségre és a monitorozásra. |
A frissítés SSL -t (TCP Port 443) használ a jegyzékfájlok letöltéséhez és a diagnosztikai adatok Microsoftba való feltöltéséhez, amely a következő DNS-végpontokat használja:vortex-win.data.microsoft.com settings-win.data.microsoft.com |
A hálózat és a felhő közötti kapcsolatok ellenőrzése
A felsorolt URL-címek engedélyezése után ellenőrizze, hogy csatlakozik-e a Microsoft Defender Víruskereső felhőszolgáltatáshoz. Ellenőrizze, hogy az URL-címek megfelelően jelentik-e és fogadják-e az információkat, hogy teljes mértékben védve legyenek.
A cmdline eszköz használata a felhőben biztosított védelem ellenőrzéséhez
Használja az alábbi argumentumot a Microsoft Defender Víruskereső parancssori segédprogrammal (mpcmdrun.exe
) annak ellenőrzéséhez, hogy a hálózat képes-e kommunikálni a Microsoft Defender Víruskereső felhőszolgáltatással:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Megjegyzés:
Nyissa meg a parancssort rendszergazdaként. Kattintson a jobb gombbal az elemre a Start menüben, kattintson a Futtatás rendszergazdaként parancsra, majd kattintson az Igen gombra az engedélykérésnél. Ez a parancs csak Windows 10, 1703-es vagy újabb verzión vagy Windows 11 fog működni.
További információ: Microsoft Defender víruskereső kezelése a mpcmdrun.exe parancssori eszközzel.
Az alábbi táblázatok segítségével megtekintheti az esetlegesen előforduló hibaüzeneteket, valamint a kiváltó okokkal és a lehetséges megoldásokkal kapcsolatos információkat:
Hibaüzenetek | Kiváltó ok |
---|---|
Kezdési idő: <Day_of_the_week> ÉÉÉÉÉ. ÉÉÉÉ. HH:HH:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection A ValidateMapsConnection nem tudott kapcsolatot létesíteni a MAPS-sel (hr=0x80070006 httpcore=451) MpCmdRun.exe: hr = 0x80070006** A ValidateMapsConnection nem tudott kapcsolatot létesíteni a MAPS-sel (hr=0x80072F8F httpcore=451) MpCmdRun.exe: hr = 0x80072F8F A ValidateMapsConnection nem tudott kapcsolatot létesíteni a MAPS-sel (hr=0x80072EFE httpcore=451) MpCmdRun.exe: hr = 0x80072EFE |
A hibaüzenetek kiváltó oka az, hogy az eszközön nincs konfigurálva a teljes rendszerszintű WinHttp-proxy. Ha nem állítja be a teljes rendszerszintű WinHttp-proxyt, akkor az operációs rendszer nem ismeri a proxyt, és nem tudja beolvasni a CRL-t (az operációs rendszer ezt teszi, nem a Végponthoz készült Defendert), ami azt jelenti, hogy a hasonló URL-címekhez hasonló http://cp.wd.microsoft.com/ TLS-kapcsolatok nem lesznek teljesen sikeresek. A végpontokhoz sikeres (200-ás válasz) kapcsolatok fognak megjelenni, de a MAPS-kapcsolatok továbbra is sikertelenek lesznek. |
Megoldás | Leírás |
---|---|
Megoldás (előnyben részesített) | Konfigurálja a CRL-ellenőrzést lehetővé tevő, rendszerszintű WinHttp-proxyt. |
Megoldás (előnyben részesített 2) | - Beállítás – A Microsoft automatikus frissítési URL-címének átirányítása leválasztott környezethez - Internet-hozzáféréssel rendelkező kiszolgáló konfigurálása a CTL-fájlok lekéréséhez - A Microsoft automatikus frissítési URL-címének átirányítása leválasztott környezethez Hasznos hivatkozások: – Lépjen a Számítógép konfigurációja > Windows-beállítások > Biztonsági beállítások > Nyilvános kulcs házirendek > Tanúsítvány elérési útjának érvényesítési beállításai>Válassza a Hálózatlekérés lapot>Válassza a Következő házirend-beállítások> megadásaJelölőnégyzet bejelölésével törölje a jelet a Tanúsítványok automatikus frissítése a Microsoft Főtanúsítvány-programban (ajánlott) jelölőnégyzetből. - Visszavont tanúsítványok listájának (CRL) ellenőrzése – alkalmazásválasztás - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
Megkerülő megoldás (alternatív) Nem ajánlott eljárás, mivel a továbbiakban nem fogja ellenőrizni a visszavont tanúsítványokat vagy a tanúsítvány rögzítését. |
Tiltsa le a CRL-ellenőrzést csak SPYNET esetén. Ennek a beállításjegyzéknek az SSLOption konfigurálása letiltja a CRL-ellenőrzést csak a SPYNET jelentéskészítéshez. Ez más szolgáltatásokra nem lesz hatással. Ehhez: Lépjen a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) 0 (hexadecimális) értékre. – 0 – rögzítési és visszavonási ellenőrzések letiltása – 1 – rögzítés letiltása – 2 – csak a visszavonási ellenőrzések letiltása – 3 – visszavonási ellenőrzések és rögzítés engedélyezése (alapértelmezett) |
Hamis kártevőfájl letöltése a Microsofttól
Letölthet egy mintafájlt, amelyet Microsoft Defender víruskereső észlel és blokkol, ha megfelelően csatlakozik a felhőhöz.
Megjegyzés:
A letöltött fájl nem pontosan kártevő. Ez egy hamis fájl, amelyet arra terveztek, hogy tesztelje, megfelelően csatlakozik-e a felhőhöz.
Ha megfelelően csatlakozik, figyelmeztető Microsoft Defender víruskereső értesítés jelenik meg.
Ha a Microsoft Edge-et használja, egy értesítési üzenet is megjelenik:
Hasonló üzenet jelenik meg az Internet Explorer használata esetén:
A hamis kártevők észlelésének megtekintése a Windows biztonság alkalmazásban
A tálcán válassza a Pajzs ikont, majd nyissa meg a Windows biztonság alkalmazást. Vagy keressen rá a Startmenü Biztonság elemére.
Válassza a Vírus & veszélyforrások elleni védelem, majd a Védelmi előzmények lehetőséget.
A Karanténba helyezett fenyegetések szakaszban válassza a Teljes előzmények megtekintése lehetőséget az észlelt hamis kártevők megtekintéséhez.
Megjegyzés:
A Windows 10 1703-at megelőző verziói eltérő felhasználói felülettel rendelkeznek. Lásd: Microsoft Defender víruskereső az Windows biztonság alkalmazásban.
A Windows eseménynaplója Windows Defender 1116-os ügyfélesemény-azonosítót is megjeleníti.
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
Végponthoz készült Microsoft Defender beállítása macOS rendszeren
MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
Végponthoz készült Microsoft Defender beállítása Linux rendszeren
Végponthoz készült Defender konfigurálása Android-funkciókon
Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Lásd még
- Eszközproxy és internetkapcsolat beállításainak konfigurálása Végponthoz készült Microsoft Defender
- Microsoft Defender víruskereső konfigurálása és kezelése Csoportházirend beállításaival
- A Microsoft Active Protection Services-végpont fontos változásai
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: