Condividi tramite


Configurare e convalidare le connessioni di rete di Windows Defender Antivirus

Si applica a:

Piattaforme

  • Windows

Per garantire Microsoft Defender protezione fornita dal cloud antivirus funzioni correttamente, il team di sicurezza deve configurare la rete per consentire le connessioni tra gli endpoint e determinati server Microsoft. Questo articolo elenca le connessioni che devono essere consentite per l'uso delle regole del firewall. Fornisce anche istruzioni per convalidare la connessione. La configurazione corretta della protezione garantisce di ricevere il valore migliore dai servizi di protezione forniti dal cloud.

Importante

Questo articolo contiene informazioni sulla configurazione delle connessioni di rete solo per Microsoft Defender Antivirus. Se si usa Microsoft Defender per endpoint (che include Microsoft Defender Antivirus), vedere Configurare le impostazioni del proxy del dispositivo e della connettività Internet per Defender per endpoint.

Consenti connessioni al servizio cloud antivirus Microsoft Defender

Il servizio cloud antivirus Microsoft Defender offre una protezione rapida e avanzata per gli endpoint. È facoltativo abilitare il servizio di protezione fornito dal cloud. Microsoft Defender servizio cloud antivirus è consigliato perché offre una protezione importante contro il malware sugli endpoint e sulla rete. Per altre informazioni, vedere Abilitare la protezione fornita dal cloud per abilitare il servizio con Intune, Microsoft Endpoint Configuration Manager, Criteri di gruppo, cmdlet di PowerShell o singoli client nell'app Sicurezza di Windows.

Dopo aver abilitato il servizio, è necessario configurare la rete o il firewall per consentire le connessioni tra la rete e gli endpoint. Poiché la protezione è un servizio cloud, i computer devono avere accesso a Internet e raggiungere i servizi cloud Microsoft. Non escludere l'URL *.blob.core.windows.net da qualsiasi tipo di ispezione di rete.

Nota

Il servizio cloud antivirus Microsoft Defender offre una protezione aggiornata alla rete e agli endpoint. Il servizio cloud non deve essere considerato solo come protezione per i file archiviati nel cloud; Al contrario, il servizio cloud usa risorse distribuite e Machine Learning per offrire protezione per gli endpoint a una velocità più veloce rispetto agli aggiornamenti tradizionali dell'intelligence per la sicurezza.

Servizi e URL

Nella tabella di questa sezione sono elencati i servizi e gli indirizzi del sito Web associati.The table in this section lists services and their associated website addresses (URL).

Assicurarsi che non siano presenti regole di filtro del firewall o di rete che neghino l'accesso a questi URL. In caso contrario, è necessario creare una regola allow in modo specifico per tali URL (escluso l'URL *.blob.core.windows.net). Gli URL nella tabella seguente usano la porta 443 per la comunicazione. La porta 80 è necessaria anche per alcuni URL, come indicato nella tabella seguente.

Servizio e descrizione URL
Microsoft Defender servizio di protezione antivirus fornito dal cloud è noto come Servizio Microsoft Active Protection (MAPS).
Microsoft Defender Antivirus usa il servizio MAPS per fornire protezione fornita dal cloud.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) e Windows Update Service (WU)
Questi servizi consentono l'intelligence per la sicurezza e gli aggiornamenti dei prodotti.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Per altre informazioni, vedere Endpoint di connessione per Windows Update.
Aggiornamenti dell'intelligence per la sicurezza Percorso di download alternativo (ADL)
Si tratta di un percorso alternativo per Microsoft Defender aggiornamenti di Intelligence per la sicurezza antivirus, se l'intelligence di sicurezza installata non è aggiornata (sette o più giorni di ritardo).
*.download.microsoft.com
*.download.windowsupdate.com (La porta 80 è obbligatoria)
go.microsoft.com (La porta 80 è obbligatoria)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Archiviazione per l'invio di malware
Si tratta di un percorso di caricamento per i file inviati a Microsoft tramite il modulo di invio o l'invio automatico di esempi.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Elenco di revoche di certificati (CRL)
Windows usa questo elenco durante la creazione della connessione SSL a MAPS per l'aggiornamento del CRL.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Client GDPR universale
Windows usa questo client per inviare i dati di diagnostica del client.

Microsoft Defender Antivirus usa il regolamento generale sulla protezione dei dati per la qualità del prodotto e il monitoraggio.
L'aggiornamento usa SSL (porta TCP 443) per scaricare manifesti e caricare dati di diagnostica in Microsoft che usano gli endpoint DNS seguenti:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Convalidare le connessioni tra la rete e il cloud

Dopo aver consentito gli URL elencati, verificare se si è connessi al servizio cloud antivirus Microsoft Defender. Testare gli URL segnalano e ricevono correttamente le informazioni per assicurarsi di essere completamente protetti.

Usare lo strumento cmdline per convalidare la protezione fornita dal cloud

Usare l'argomento seguente con l'utilità da riga di comando antivirus Microsoft Defender (mpcmdrun.exe) per verificare che la rete possa comunicare con il servizio cloud antivirus Microsoft Defender:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Nota

Aprire il prompt dei comandi come amministratore. Fare clic con il pulsante destro del mouse sull'elemento nel menu Start , scegliere Esegui come amministratore e fare clic su al prompt delle autorizzazioni. Questo comando funzionerà solo su Windows 10, versione 1703 o successiva o Windows 11.

Per altre informazioni, vedere Gestire Microsoft Defender Antivirus con lo strumento da riga di comando mpcmdrun.exe.

Messaggi di errore

Ecco alcuni messaggi di errore che potrebbero essere visualizzati:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Cause

La causa principale di questi messaggi di errore è che il dispositivo non ha il proxy a livello WinHttp di sistema configurato. Se non si imposta questo proxy, il sistema operativo non è a conoscenza del proxy e non è in grado di recuperare l'elenco CRL (il sistema operativo esegue questa operazione, non Defender per endpoint), il che significa che le connessioni TLS a URL come http://cp.wd.microsoft.com/ non hanno esito positivo. Vengono visualizzate connessioni riuscite (risposta 200) agli endpoint, ma le connessioni MAPS continueranno a non riuscire.

Soluzioni

Nella tabella seguente sono elencate le soluzioni:

Soluzione Descrizione
Soluzione (preferita) Configurare il proxy WinHttp a livello di sistema che consente il controllo CRL.
Soluzione (preferita 2) 1. Passare a Configurazione> computerImpostazioni di Windows Impostazioni>di sicurezza Criteri>chiave> pubblicaImpostazioni di convalida del percorso del certificato.
2. Selezionare la scheda Recupero rete e quindi selezionare Definisci queste impostazioni dei criteri.
3. Deselezionare la casella di controllo Aggiorna automaticamente i certificati nel Programma certificato radice Microsoft (scelta consigliata).

Ecco alcune risorse utili:
- Configurare radici attendibili e certificati non consentiti
- Miglioramento dell'ora di avvio dell'applicazione: impostazione GeneratePublisherEvidence in Machine.config
Soluzione alternativa
Questa non è una procedura consigliata perché non si verificano più certificati revocati o l'aggiunta di certificati.
Disabilitare il controllo CRL solo per SPYNET.
La configurazione di questo SSLOption del Registro di sistema disabilita il controllo CRL solo per la creazione di report SPYNET. Non influirà su altri servizi.

Passare a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet e quindi impostare su SSLOptions (dword)2 (esadecimale).
Per riferimento, di seguito sono riportati i valori possibili per la DWORD:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Tentativo di scaricare un file di malware falso da Microsoft

È possibile scaricare un file di esempio che Microsoft Defender Antivirus rileverà e bloccherà se si è connessi correttamente al cloud.

Nota

Il file scaricato non è esattamente malware. Si tratta di un file falso progettato per testare se si è correttamente connessi al cloud.

Se si è connessi correttamente, verrà visualizzato un avviso Microsoft Defender notifica antivirus.

Se si usa Microsoft Edge, verrà visualizzato anche un messaggio di notifica:

Notifica che il malware è stato trovato in Edge

Un messaggio simile si verifica se si usa Internet Explorer:

Notifica antivirus Microsoft Defender che è stato trovato malware

Visualizzare il rilevamento di malware falso nell'app Sicurezza di Windows

  1. Sulla barra delle applicazioni selezionare l'icona Scudo, aprire l'app Sicurezza di Windows. In alternativa, cercare Start for Security (Avvia per sicurezza).

  2. Selezionare Virus & protezione dalle minacce e quindi selezionare Cronologia protezione.

  3. Nella sezione Minacce in quarantena selezionare Visualizza cronologia completa per visualizzare il malware falso rilevato.

    Nota

    Le versioni di Windows 10 precedenti alla versione 1703 hanno un'interfaccia utente diversa. Vedere Microsoft Defender Antivirus nell'app Sicurezza di Windows.

    Il registro eventi di Windows mostrerà anche Windows Defender'ID evento client 1116.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.