Microsoft Defender víruskereső hálózati kapcsolatainak konfigurálása és ellenőrzése

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

Ahhoz, hogy Microsoft Defender víruskereső felhőben nyújtott védelme megfelelően működjön, a biztonsági csapatnak úgy kell konfigurálnia a hálózatot, hogy engedélyezze a végpontok és bizonyos Microsoft-kiszolgálók közötti kapcsolatokat. Ez a cikk felsorolja azokat a kapcsolatokat, amelyeket engedélyezni kell a tűzfalszabályok használatához. Útmutatást nyújt a kapcsolat érvényesítéséhez is. A védelem megfelelő konfigurálása biztosítja, hogy a legjobb értéket kapja a felhőben biztosított védelmi szolgáltatásoktól.

Fontos

Ez a cikk a hálózati kapcsolatok csak Microsoft Defender víruskeresőhöz való konfigurálásáról tartalmaz információkat. Ha Végponthoz készült Microsoft Defender (amely magában foglalja a Microsoft Defender víruskeresőt) használata esetén lásd: Eszközproxy és internetkapcsolat beállításainak konfigurálása a Végponthoz készült Defenderhez.

A Microsoft Defender Víruskereső felhőszolgáltatáshoz való csatlakozás engedélyezése

A Microsoft Defender víruskereső felhőszolgáltatás gyors és erős védelmet biztosít a végpontok számára. Nem kötelező engedélyezni a felhőben biztosított védelmi szolgáltatást. Microsoft Defender víruskereső felhőszolgáltatás használata ajánlott, mert fontos védelmet nyújt a végpontokon és a hálózaton található kártevők ellen. További információ: Felhőben biztosított védelem engedélyezése a szolgáltatás engedélyezéséhez Intune, Microsoft Endpoint Configuration Manager, Csoportházirend, PowerShell-parancsmagok vagy egyéni ügyfelek használatával az Windows biztonság alkalmazásban.

A szolgáltatás engedélyezése után konfigurálnia kell a hálózatot vagy a tűzfalat a hálózat és a végpontok közötti kapcsolatok engedélyezéséhez. Mivel a védelem egy felhőszolgáltatás, a számítógépeknek hozzáféréssel kell rendelkezniük az internethez, és el kell érniük a Microsoft felhőszolgáltatását. Ne zárja ki az URL-címet *.blob.core.windows.net semmilyen hálózati vizsgálatból.

Megjegyzés:

A Microsoft Defender víruskereső felhőszolgáltatás frissített védelmet nyújt a hálózatnak és a végpontoknak. A felhőszolgáltatás nem tekinthető csak a felhőben tárolt fájlok védelmének; ehelyett a felhőszolgáltatás elosztott erőforrásokat és gépi tanulást használ a végpontok védelmének biztosítására a hagyományos biztonságiintelligencia-frissítéseknél gyorsabban.

Szolgáltatások és URL-címek

Az ebben a szakaszban található táblázat felsorolja a szolgáltatásokat és a hozzájuk tartozó webhelycímeket (URL-címeket).

Győződjön meg arról, hogy nincsenek olyan tűzfal- vagy hálózatszűrési szabályok, amelyek megtagadják a hozzáférést ezekhez az URL-címekhez. Ellenkező esetben kifejezetten ezekhez az URL-címekhez kell engedélyezési szabályt létrehoznia (az URL-cím *.blob.core.windows.netkivételével). Az alábbi táblázatban szereplő URL-címek a 443-at használják a kommunikációhoz. (Egyes URL-címekhez a 80-as portra is szükség van, ahogy az az alábbi táblázatban látható.)

Szolgáltatás és leírás URL
Microsoft Defender víruskereső felhőalapú védelmi szolgáltatást Microsoft Active Protection Service -nek (MAPS) nevezzük.
Microsoft Defender Víruskereső a MAPS szolgáltatást használja a felhőben biztosított védelem biztosítására.		 *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) és Windows Update Service (WU)
Ezek a szolgáltatások lehetővé teszik a biztonsági intelligenciát és a termékfrissítéseket.		 *.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

További információ: Kapcsolati végpontok Windows Update.
Biztonságiintelligencia-frissítések – Másodlagos letöltési hely (ADL)
Ez egy alternatív hely a Microsoft Defender víruskereső biztonsági intelligenciájának frissítéséhez, ha a telepített biztonsági intelligencia elavult (hét vagy több nap van hátra).		 *.download.microsoft.com
*.download.windowsupdate.com (A 80-ás port szükséges)
go.microsoft.com (A 80-ás port szükséges)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Kártevőküldési tároló
Ez a microsoftos beküldési űrlapon vagy automatikus mintabeküldésen keresztül elküldött fájlok feltöltési helye.		 ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Visszavont tanúsítványok listája (CRL)
A Windows ezt a listát használja a MAPS-hez való SSL-kapcsolat létrehozásakor a CRL frissítéséhez.		 http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Univerzális GDPR-ügyfél
A Windows ezt az ügyfelet használja az ügyfél diagnosztikai adatainak küldéséhez.

Microsoft Defender víruskereső az általános adatvédelmi szabályozást használja a termékminőségre és a monitorozásra.		 A frissítés SSL -t (TCP Port 443) használ a jegyzékfájlok letöltéséhez és a diagnosztikai adatok Microsoftba való feltöltéséhez, amely a következő DNS-végpontokat használja:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

A hálózat és a felhő közötti kapcsolatok ellenőrzése

A felsorolt URL-címek engedélyezése után ellenőrizze, hogy csatlakozik-e a Microsoft Defender Víruskereső felhőszolgáltatáshoz. Ellenőrizze, hogy az URL-címek megfelelően jelentik-e és fogadják-e az információkat, hogy teljes mértékben védve legyenek.

A cmdline eszköz használata a felhőben biztosított védelem ellenőrzéséhez

Használja az alábbi argumentumot a Microsoft Defender Víruskereső parancssori segédprogrammal (mpcmdrun.exe) annak ellenőrzéséhez, hogy a hálózat képes-e kommunikálni a Microsoft Defender Víruskereső felhőszolgáltatással:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Megjegyzés:

Nyissa meg a parancssort rendszergazdaként. Kattintson a jobb gombbal az elemre a Start menüben, kattintson a Futtatás rendszergazdaként parancsra, majd kattintson az Igen gombra az engedélykérésnél. Ez a parancs csak Windows 10, 1703-es vagy újabb verzión vagy Windows 11 fog működni.

További információ: Microsoft Defender víruskereső kezelése a mpcmdrun.exe parancssori eszközzel.

Az alábbi táblázatok segítségével megtekintheti az esetlegesen előforduló hibaüzeneteket, valamint a kiváltó okokkal és a lehetséges megoldásokkal kapcsolatos információkat:

Hibaüzenetek Kiváltó ok
Kezdési idő: <Day_of_the_week> ÉÉÉÉÉ. ÉÉÉÉ. HH:HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
A ValidateMapsConnection nem tudott kapcsolatot létesíteni a MAPS-sel (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006**

A ValidateMapsConnection nem tudott kapcsolatot létesíteni a MAPS-sel (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F

A ValidateMapsConnection nem tudott kapcsolatot létesíteni a MAPS-sel (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE		 A hibaüzenetek kiváltó oka az, hogy az eszközön nincs konfigurálva a teljes rendszerszintű WinHttp-proxy. Ha nem állítja be a teljes rendszerszintű WinHttp-proxyt, akkor az operációs rendszer nem ismeri a proxyt, és nem tudja beolvasni a CRL-t (az operációs rendszer ezt teszi, nem a Végponthoz készült Defendert), ami azt jelenti, hogy a hasonló URL-címekhez hasonló http://cp.wd.microsoft.com/ TLS-kapcsolatok nem lesznek teljesen sikeresek. A végpontokhoz sikeres (200-ás válasz) kapcsolatok fognak megjelenni, de a MAPS-kapcsolatok továbbra is sikertelenek lesznek.
Megoldás Leírás
Megoldás (előnyben részesített) Konfigurálja a CRL-ellenőrzést lehetővé tevő, rendszerszintű WinHttp-proxyt.
Megoldás (előnyben részesített 2) - Beállítás – A Microsoft automatikus frissítési URL-címének átirányítása leválasztott környezethez
- Internet-hozzáféréssel rendelkező kiszolgáló konfigurálása a CTL-fájlok lekéréséhez
- A Microsoft automatikus frissítési URL-címének átirányítása leválasztott környezethez

Hasznos hivatkozások:
– Lépjen a Számítógép konfigurációja > Windows-beállítások > Biztonsági beállítások > Nyilvános kulcs házirendek > Tanúsítvány elérési útjának érvényesítési beállításai>Válassza a Hálózatlekérés lapot>Válassza a Következő házirend-beállítások> megadásaJelölőnégyzet bejelölésével törölje a jelet a Tanúsítványok automatikus frissítése a Microsoft Főtanúsítvány-programban (ajánlott) jelölőnégyzetből.
- Visszavont tanúsítványok listájának (CRL) ellenőrzése – alkalmazásválasztás
- https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows
- https://technet.microsoft.com/library/dn265983(v=ws.11).aspx
- /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/
Megkerülő megoldás (alternatív)
Nem ajánlott eljárás, mivel a továbbiakban nem fogja ellenőrizni a visszavont tanúsítványokat vagy a tanúsítvány rögzítését.		 Tiltsa le a CRL-ellenőrzést csak SPYNET esetén.
Ennek a beállításjegyzéknek az SSLOption konfigurálása letiltja a CRL-ellenőrzést csak a SPYNET jelentéskészítéshez. Ez más szolgáltatásokra nem lesz hatással.

Ehhez:
Lépjen a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) 0 (hexadecimális) értékre.
– 0 – rögzítési és visszavonási ellenőrzések letiltása
– 1 – rögzítés letiltása
– 2 – csak a visszavonási ellenőrzések letiltása
– 3 – visszavonási ellenőrzések és rögzítés engedélyezése (alapértelmezett)

Hamis kártevőfájl letöltése a Microsofttól

Letölthet egy mintafájlt, amelyet Microsoft Defender víruskereső észlel és blokkol, ha megfelelően csatlakozik a felhőhöz.

Megjegyzés:

A letöltött fájl nem pontosan kártevő. Ez egy hamis fájl, amelyet arra terveztek, hogy tesztelje, megfelelően csatlakozik-e a felhőhöz.

Ha megfelelően csatlakozik, figyelmeztető Microsoft Defender víruskereső értesítés jelenik meg.

Ha a Microsoft Edge-et használja, egy értesítési üzenet is megjelenik:

Értesítés arról, hogy kártevőt találtak az Edge-ben

Hasonló üzenet jelenik meg az Internet Explorer használata esetén:

A Microsoft Defender víruskereső értesítése arról, hogy kártevőt találtak

A hamis kártevők észlelésének megtekintése a Windows biztonság alkalmazásban

  1. A tálcán válassza a Pajzs ikont, majd nyissa meg a Windows biztonság alkalmazást. Vagy keressen rá a Startmenü Biztonság elemére.

  2. Válassza a Vírus & veszélyforrások elleni védelem, majd a Védelmi előzmények lehetőséget.

  3. A Karanténba helyezett fenyegetések szakaszban válassza a Teljes előzmények megtekintése lehetőséget az észlelt hamis kártevők megtekintéséhez.

    Megjegyzés:

    A Windows 10 1703-at megelőző verziói eltérő felhasználói felülettel rendelkeznek. Lásd: Microsoft Defender víruskereső az Windows biztonság alkalmazásban.

    A Windows eseménynaplója Windows Defender 1116-os ügyfélesemény-azonosítót is megjeleníti.

Tipp

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.