適用対象:
- Microsoft Defender ウイルス対策
重要
この記事では、Microsoft Defender for Endpointなしで使用する場合に、Microsoft Defenderウイルス対策に対してのみネットワーク接続を構成する方法について説明します。 Microsoft Defender for Endpoint (ウイルス対策Microsoft Defender含む) を使用している場合は、「Defender for Endpoint のデバイス プロキシとインターネット接続設定を構成する」を参照してください。
プラットフォーム
- Windows
ウイルス対策クラウド配信保護Microsoft Defender適切に機能させるには、セキュリティ チームが、エンドポイントと特定の Microsoft サーバー間の接続を許可するようにネットワークを構成する必要があります。 この記事では、アクセス可能な宛先の一覧を示します。 また、接続を検証するための手順も提供します。 接続を適切に構成すると、ウイルス対策クラウドで提供される保護サービスMicrosoft Defender最適な価値を確実に受け取ります。
Microsoft Defenderウイルス対策クラウド サービスへの接続を許可する
Microsoft Defenderウイルス対策クラウド サービスは、エンドポイントに対して高速で強力な保護を提供します。 Microsoft Defender ウイルス対策によって提供されるクラウド提供の保護サービスを有効にして使用することは省略可能ですが、エンドポイントとネットワーク上の新たな脅威に対して重要かつタイムリーな保護を提供するため、強くお勧めします。 詳細については、「クラウド提供の保護を有効にする」を参照してください。この方法では、Intune、Microsoft Endpoint Configuration Manager、グループ ポリシー、PowerShell コマンドレット、またはWindows セキュリティ アプリの個々のクライアントを使用してサービスを有効にする方法について説明します。
サービスを有効にしたら、ネットワークとエンドポイント間の接続を許可するようにネットワークまたはファイアウォールを構成する必要があります。 適切な操作を行うには、コンピューターがインターネットにアクセスし、Microsoft クラウド サービスにアクセスする必要があります。
注:
Microsoft Defenderウイルス対策クラウド サービスは、ネットワークとエンドポイントに更新された保護を提供します。 クラウド サービスは、クラウドに格納されているファイルに対する保護と見なすべきではありません。代わりに、クラウド サービスは分散リソースと機械学習を使用して、従来のセキュリティ インテリジェンス更新プログラムよりも高速な速度でエンドポイントの保護を提供し、ソースの場所に関係なく、ファイル ベースおよびファイルレスの脅威に適用されます。
サービスと URL
このセクションの表は、サービスとそれに関連付けられている Web サイト アドレス (URL) の一覧です。
これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認します。 それ以外の場合は、それらの URL 専用の許可ルールを作成する必要があります。 次の表の URL では、通信にポート 443 を使用します。 (次の表に示すように、一部の URL にはポート 80 も必要です)。
| サービスと説明 | URL |
|---|---|
| Microsoft Defenderウイルス対策クラウド配信保護サービスは、Microsoft Active Protection Service (MAPS) と呼ばれます。 Microsoft Defenderウイルス対策では、MAPS サービスを使用してクラウド配信の保護を提供します。 |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) と Windows Update Service (WU) これらのサービスを使用すると、セキュリティ インテリジェンスと製品の更新が可能になります。 |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.com詳細については、「Windows Updateの接続エンドポイント」を参照してください。 |
| セキュリティ インテリジェンスの更新プログラムの代替ダウンロード場所 (ADL) これは、インストールされているセキュリティ インテリジェンスが古い (7 日以上遅れている) 場合、Microsoft Defenderウイルス対策セキュリティ インテリジェンス更新プログラムの別の場所です。 |
*.download.microsoft.com*.download.windowsupdate.com (ポート 80 が必要です)go.microsoft.com (ポート 80 が必要です)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| マルウェア申請ストレージ これは、提出フォームまたは自動サンプル送信を介して Microsoft に送信されたファイルのアップロード場所です。 |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| 証明書失効リスト (CRL) Windows では、CRL を更新するために MAPS への SSL 接続を作成するときに、この一覧を使用します。 |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| ユニバーサル GDPR クライアント Windows では、このクライアントを使用してクライアント診断データを送信します。 Microsoft Defenderウイルス対策では、製品の品質と監視のために一般的なデータ保護規則が使用されます。 |
この更新プログラムでは、SSL (TCP ポート 443) を使用してマニフェストをダウンロードし、次の DNS エンドポイントを使用する診断データを Microsoft にアップロードします。vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
ネットワークとクラウド間の接続を検証する
一覧表示されている URL を許可した後、Microsoft Defenderウイルス対策クラウド サービスに接続されているかどうかをテストします。 URL が正しくレポートされ、情報を受け取っていることをテストして、完全に保護されていることを確認します。
cmdline ツールを使用してクラウド提供の保護を検証する
Microsoft Defenderウイルス対策コマンド ライン ユーティリティ (mpcmdrun.exe) で次の引数を使用して、ネットワークがMicrosoft Defenderウイルス対策クラウド サービスと通信できることを確認します。
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
注:
管理者としてコマンド プロンプト ウィンドウを開きます。 [スタート] メニューの項目を右クリックし、[管理者として実行] をクリックし、アクセス許可プロンプトで [はい] をクリックします。 このコマンドは、Windows 10、バージョン 1703 以降、またはWindows 11でのみ機能します。
詳細については、「mpcmdrun.exe コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を管理する」を参照してください。
エラー メッセージ
次のようなエラー メッセージが表示される場合があります。
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
根本原因
これらのエラー メッセージの根本原因は、デバイスにシステム全体の WinHttp プロキシが構成されていないということです。 このプロキシを設定しない場合、オペレーティング システムはプロキシを認識せず、CRL をフェッチできません (オペレーティング システムは Defender for Endpoint ではなくこれを行います)。つまり、 http://cp.wd.microsoft.com/ のような URL への TLS 接続は成功しません。 エンドポイントへの接続に成功 (応答 200) が表示されますが、MAPS 接続は失敗します。
ソリューション
次の表に、ソリューションの一覧を示します。
| ソリューション | 説明 |
|---|---|
| ソリューション (推奨) | CRL チェックを許可するシステム全体の WinHttp プロキシを構成します。 |
| ソリューション (優先 2) | 1. [コンピューターの構成>Windows 設定>セキュリティ設定>公開キー ポリシー>証明書パス検証設定] に移動します。 2. [ ネットワーク取得 ] タブを選択し、[ これらのポリシー設定を定義する] を選択します。 3. [Microsoft ルート証明書プログラム (推奨)] チェック ボックスの [証明書の自動更新] をオフにします。 役に立つリソースを次に示します。 - 信頼されたルートと許可されていない証明書を構成する - アプリケーションの起動時間の向上: Machine.configの GeneratePublisherEvidence 設定 |
| 回避策ソリューション (代替) 失効した証明書や証明書のピン留めを確認しなくなったため、これはベスト プラクティスではありません。 |
SPYNET に対してのみ CRL チェックを無効にします。 このレジストリ SSLOption を構成すると、SPYNET レポートに対してのみ CRL チェックが無効になります。 他のサービスには影響しません。 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet に移動し、 SSLOptions (dword)を 2 (16 進) に設定します。 参考までに、DWORD の使用可能な値を次に示します。 - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Microsoft から偽のマルウェア ファイルのダウンロードを試みる
ウイルス対策が検出され、クラウドに適切に接続されている場合にブロックMicrosoft Defenderサンプル ファイルをダウンロードできます。
注:
ダウンロードしたファイルは正確にマルウェアではありません。 これは、クラウドに適切に接続されているかどうかをテストするように設計された偽のファイルです。
正しく接続されている場合は、ウイルス対策通知Microsoft Defender警告が表示されます。
Microsoft Edge を使用している場合は、通知メッセージも表示されます。
インターネット エクスプローラーを使用している場合、同様のメッセージが表示されます。
Windows セキュリティ アプリで偽のマルウェア検出を表示する
タスク バーで [シールド] アイコンを選択し、Windows セキュリティ アプリを開きます。 または、[セキュリティの開始] を検索します。
[ ウイルス & 脅威の保護] を選択し、[ 保護の履歴] を選択します。
[ 検疫された脅威 ] セクションで、[ 完全な履歴を表示 ] を選択して、検出された偽のマルウェアを確認します。
注:
バージョン 1703 より前のバージョンのWindows 10には、異なるユーザー インターフェイスがあります。 Windows セキュリティ アプリMicrosoft Defenderウイルス対策に関するページを参照してください。
Windows イベント ログには、 Windows Defender クライアント イベント ID 1116 も表示されます。
ヒント
他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。
関連項目
- Microsoft Defender for Endpointのデバイス プロキシとインターネット接続の設定を構成する
- グループ ポリシー設定を使用して Microsoft Defender ウイルス対策を管理する
- Microsoft Active Protection Services エンドポイントに対する重要な変更
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。