Microsoft Defender víruskereső hálózati kapcsolatainak konfigurálása és ellenőrzése
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender víruskereső
Platformok
- A Windows
Ahhoz, hogy Microsoft Defender víruskereső felhőben nyújtott védelme megfelelően működjön, a biztonsági csapatnak úgy kell konfigurálnia a hálózatot, hogy engedélyezze a végpontok és bizonyos Microsoft-kiszolgálók közötti kapcsolatokat. Ez a cikk felsorolja azokat a kapcsolatokat, amelyeket engedélyezni kell a tűzfalszabályok használatához. Útmutatást nyújt a kapcsolat érvényesítéséhez is. A védelem megfelelő konfigurálása biztosítja, hogy a legjobb értéket kapja a felhőben biztosított védelmi szolgáltatásoktól.
Fontos
Ez a cikk a hálózati kapcsolatok csak Microsoft Defender víruskeresőhöz való konfigurálásáról tartalmaz információkat. Ha Végponthoz készült Microsoft Defender (amely magában foglalja a Microsoft Defender víruskeresőt) használata esetén lásd: Eszközproxy és internetkapcsolat beállításainak konfigurálása a Végponthoz készült Defenderhez.
A Microsoft Defender Víruskereső felhőszolgáltatáshoz való csatlakozás engedélyezése
A Microsoft Defender víruskereső felhőszolgáltatás gyors és erős védelmet biztosít a végpontok számára. Nem kötelező engedélyezni a felhőben biztosított védelmi szolgáltatást. Microsoft Defender víruskereső felhőszolgáltatás használata ajánlott, mert fontos védelmet nyújt a végpontokon és a hálózaton található kártevők ellen. További információ: Felhőben biztosított védelem engedélyezése a szolgáltatás engedélyezéséhez Intune, Microsoft Endpoint Configuration Manager, Csoportházirend, PowerShell-parancsmagok vagy egyéni ügyfelek használatával az Windows biztonság alkalmazásban.
A szolgáltatás engedélyezése után konfigurálnia kell a hálózatot vagy a tűzfalat a hálózat és a végpontok közötti kapcsolatok engedélyezéséhez. Mivel a védelem egy felhőszolgáltatás, a számítógépeknek hozzáféréssel kell rendelkezniük az internethez, és el kell érniük a Microsoft felhőszolgáltatását. Ne zárja ki az URL-címet *.blob.core.windows.net
semmilyen hálózati vizsgálatból.
Megjegyzés:
A Microsoft Defender víruskereső felhőszolgáltatás frissített védelmet nyújt a hálózatnak és a végpontoknak. A felhőszolgáltatás nem tekinthető csak a felhőben tárolt fájlok védelmének; ehelyett a felhőszolgáltatás elosztott erőforrásokat és gépi tanulást használ a végpontok védelmének biztosítására a hagyományos biztonságiintelligencia-frissítéseknél gyorsabban.
Szolgáltatások és URL-címek
Az ebben a szakaszban található táblázat felsorolja a szolgáltatásokat és a hozzájuk tartozó webhelycímeket (URL-címeket).
Győződjön meg arról, hogy nincsenek olyan tűzfal- vagy hálózatszűrési szabályok, amelyek megtagadják a hozzáférést ezekhez az URL-címekhez. Ellenkező esetben kifejezetten ezekhez az URL-címekhez kell engedélyezési szabályt létrehoznia (az URL-cím *.blob.core.windows.net
kivételével). Az alábbi táblázatban szereplő URL-címek a 443-at használják a kommunikációhoz. (Egyes URL-címekhez a 80-as portra is szükség van, ahogy az az alábbi táblázatban látható.)
Szolgáltatás és leírás | URL |
---|---|
Microsoft Defender víruskereső felhőalapú védelmi szolgáltatást Microsoft Active Protection Service -nek (MAPS) nevezzük. Microsoft Defender Víruskereső a MAPS szolgáltatást használja a felhőben biztosított védelem biztosítására. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com |
Microsoft Update Service (MU) és Windows Update Service (WU) Ezek a szolgáltatások lehetővé teszik a biztonsági intelligenciát és a termékfrissítéseket. |
*.update.microsoft.com *.delivery.mp.microsoft.com *.windowsupdate.com ctldl.windowsupdate.com További információ: Kapcsolati végpontok Windows Update. |
Biztonságiintelligencia-frissítések – Másodlagos letöltési hely (ADL) Ez egy alternatív hely a Microsoft Defender víruskereső biztonsági intelligenciájának frissítéséhez, ha a telepített biztonsági intelligencia elavult (hét vagy több nap van hátra). |
*.download.microsoft.com *.download.windowsupdate.com (A 80-ás port szükséges)go.microsoft.com (A 80-ás port szükséges)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/ https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
Kártevőküldési tároló Ez a microsoftos beküldési űrlapon vagy automatikus mintabeküldésen keresztül elküldött fájlok feltöltési helye. |
ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Visszavont tanúsítványok listája (CRL) A Windows ezt a listát használja a MAPS-hez való SSL-kapcsolat létrehozásakor a CRL frissítéséhez. |
http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs |
Univerzális GDPR-ügyfél A Windows ezt az ügyfelet használja az ügyfél diagnosztikai adatainak küldéséhez. Microsoft Defender víruskereső az általános adatvédelmi szabályozást használja a termékminőségre és a monitorozásra. |
A frissítés SSL -t (TCP Port 443) használ a jegyzékfájlok letöltéséhez és a diagnosztikai adatok Microsoftba való feltöltéséhez, amely a következő DNS-végpontokat használja:vortex-win.data.microsoft.com settings-win.data.microsoft.com |
A hálózat és a felhő közötti kapcsolatok ellenőrzése
A felsorolt URL-címek engedélyezése után ellenőrizze, hogy csatlakozik-e a Microsoft Defender Víruskereső felhőszolgáltatáshoz. Ellenőrizze, hogy az URL-címek megfelelően jelentik-e és fogadják-e az információkat, hogy teljes mértékben védve legyenek.
A cmdline eszköz használata a felhőben biztosított védelem ellenőrzéséhez
Használja az alábbi argumentumot a Microsoft Defender Víruskereső parancssori segédprogrammal (mpcmdrun.exe
) annak ellenőrzéséhez, hogy a hálózat képes-e kommunikálni a Microsoft Defender Víruskereső felhőszolgáltatással:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Megjegyzés:
Nyissa meg a parancssort rendszergazdaként. Kattintson a jobb gombbal az elemre a Start menüben, kattintson a Futtatás rendszergazdaként parancsra, majd kattintson az Igen gombra az engedélykérésnél. Ez a parancs csak Windows 10, 1703-es vagy újabb verzión vagy Windows 11 fog működni.
További információ: Microsoft Defender víruskereső kezelése a mpcmdrun.exe parancssori eszközzel.
Hibaüzenetek
Az alábbiakban néhány hibaüzenetet láthat:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Alapvető okok
A hibaüzenetek kiváltó oka az, hogy az eszköznek nincs konfigurálva a teljes rendszerszintű WinHttp
proxyja. Ha nem állítja be ezt a proxyt, akkor az operációs rendszer nem ismeri a proxyt, és nem tudja lekérni a CRL-t (az operációs rendszer ezt teszi, nem a Végponthoz készült Defendert), ami azt jelenti, hogy az URL-címekhez http://cp.wd.microsoft.com/
való TLS-kapcsolatok nem járnak sikerrel. Sikeres (200-ás válasz) kapcsolatokat lát a végpontokhoz, de a MAPS-kapcsolatok továbbra is sikertelenek lesznek.
Megoldások
Az alábbi táblázat a megoldásokat sorolja fel:
Megoldás | Leírás |
---|---|
Megoldás (előnyben részesített) | Konfigurálja a CRL-ellenőrzést lehetővé tevő, rendszerszintű WinHttp-proxyt. |
Megoldás (előnyben részesített 2) | 1. Lépjen a Számítógép konfigurációja>Windows-beállítások>Biztonsági beállítások>Nyilvános kulcs házirendek>tanúsítványelérési út érvényesítési beállításai területre. 2. Válassza a Hálózatlekérés lapot, majd válassza a Szabályzatbeállítások definiálása lehetőséget. 3. Törölje a jelet a Tanúsítványok automatikus frissítése a Microsoft Főtanúsítvány-programban (ajánlott) jelölőnégyzetből. Íme néhány hasznos forrás: - Megbízható főtanúsítványok és nem engedélyezett tanúsítványok konfigurálása - Az alkalmazás indítási idejének javítása: GeneratePublisherEvidence beállítás a Machine.config |
Megkerülő megoldás (alternatív) Ez nem ajánlott eljárás, mivel már nem ellenőrzi a visszavont tanúsítványokat vagy a tanúsítvány rögzítését. |
Tiltsa le a CRL-ellenőrzést csak SPYNET esetén. Ennek a beállításjegyzéknek az SSLOption konfigurálása letiltja a CRL-ellenőrzést csak a SPYNET jelentéskészítéshez. Ez más szolgáltatásokra nem lesz hatással. Lépjen a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet mappába, és állítsa a (hexadecimális) értéket SSLOptions (dword) 2 . A DWORD-hez az alábbi lehetséges értékek tartoznak: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Hamis kártevőfájl letöltése a Microsofttól
Letölthet egy mintafájlt, amelyet Microsoft Defender víruskereső észlel és blokkol, ha megfelelően csatlakozik a felhőhöz.
Megjegyzés:
A letöltött fájl nem pontosan kártevő. Ez egy hamis fájl, amelyet arra terveztek, hogy tesztelje, megfelelően csatlakozik-e a felhőhöz.
Ha megfelelően csatlakozik, figyelmeztető Microsoft Defender víruskereső értesítés jelenik meg.
Ha a Microsoft Edge-et használja, egy értesítési üzenet is megjelenik:
Hasonló üzenet jelenik meg az Internet Explorer használata esetén:
A hamis kártevők észlelésének megtekintése a Windows biztonság alkalmazásban
A tálcán válassza a Pajzs ikont, majd nyissa meg a Windows biztonság alkalmazást. Vagy keressen rá a Startmenü Biztonság elemére.
Válassza a Vírus & veszélyforrások elleni védelem, majd a Védelmi előzmények lehetőséget.
A Karanténba helyezett fenyegetések szakaszban válassza a Teljes előzmények megtekintése lehetőséget az észlelt hamis kártevők megtekintéséhez.
Megjegyzés:
A Windows 10 1703-at megelőző verziói eltérő felhasználói felülettel rendelkeznek. Lásd: Microsoft Defender víruskereső az Windows biztonság alkalmazásban.
A Windows eseménynaplója Windows Defender 1116-os ügyfélesemény-azonosítót is megjeleníti.
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
Lásd még
- Eszközproxy és internetkapcsolat beállításainak konfigurálása Végponthoz készült Microsoft Defender
- Microsoft Defender víruskereső konfigurálása és kezelése Csoportházirend beállításaival
- A Microsoft Active Protection Services-végpont fontos változásai
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.