Microsoft Defender ウイルス対策 ネットワーク接続を構成および検証する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
ウイルス対策クラウド配信保護Microsoft Defender適切に機能させるには、セキュリティ チームが、エンドポイントと特定の Microsoft サーバー間の接続を許可するようにネットワークを構成する必要があります。 この記事では、ファイアウォール規則の使用を許可する必要がある接続の一覧を示します。 また、接続を検証するための手順も提供します。 保護を適切に構成すると、クラウドで提供される保護サービスから最適な価値を確実に受け取ります。
重要
この記事では、Microsoft Defender ウイルス対策専用のネットワーク接続を構成する方法について説明します。 Microsoft Defender for Endpoint (ウイルス対策Microsoft Defender含む) を使用している場合は、「Defender for Endpoint のデバイス プロキシとインターネット接続設定を構成する」を参照してください。
Microsoft Defenderウイルス対策クラウド サービスへの接続を許可する
Microsoft Defenderウイルス対策クラウド サービスは、エンドポイントに高速かつ強力な保護を提供します。 クラウド配信の保護サービスを有効にすることは省略可能です。 Microsoft Defenderウイルス対策クラウド サービスは、エンドポイントとネットワーク上のマルウェアに対する重要な保護を提供するため、推奨されます。 詳細については、「Windows セキュリティ アプリで、Intune、Microsoft Endpoint Configuration Manager、グループ ポリシー、PowerShell コマンドレット、または個々のクライアントでサービスを有効にするためのクラウド提供の保護を有効にする」を参照してください。
サービスを有効にしたら、ネットワークとエンドポイント間の接続を許可するようにネットワークまたはファイアウォールを構成する必要があります。 保護はクラウド サービスであるため、コンピューターはインターネットにアクセスし、Microsoft クラウド サービスにアクセスする必要があります。 任意の種類のネットワーク検査から URL を *.blob.core.windows.net 除外しないでください。
注:
Microsoft Defenderウイルス対策クラウド サービスは、ネットワークとエンドポイントに更新された保護を提供します。 クラウド サービスは、クラウドに格納されているファイルの保護としてのみ考慮しないでください。代わりに、クラウド サービスは分散リソースと機械学習を使用して、従来のセキュリティ インテリジェンス更新プログラムよりも高速な速度でエンドポイントの保護を提供します。
サービスと URL
このセクションの表は、サービスとそれに関連付けられている Web サイト アドレス (URL) の一覧です。
これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認します。 それ以外の場合は、それらの URL (URL *.blob.core.windows.netを除く) 専用の許可ルールを作成する必要があります。 次の表の URL は、通信にポート 443 を使用します。 (次の表に示すように、一部の URL にはポート 80 も必要です)。
| サービスと説明 | URL |
|---|---|
| Microsoft Defenderウイルス対策クラウド配信保護サービスは、Microsoft Active Protection Service (MAPS) と呼ばれます。 Microsoft Defenderウイルス対策では、MAPS サービスを使用してクラウド配信の保護を提供します。 |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) と Windows Update Service (WU) これらのサービスを使用すると、セキュリティ インテリジェンスと製品の更新が可能になります。 |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.com詳細については、「Windows Updateの接続エンドポイント」を参照してください。 |
| セキュリティ インテリジェンスの更新プログラムの代替ダウンロード場所 (ADL) これは、インストールされているセキュリティ インテリジェンスが古い (7 日以上遅れている) 場合、Microsoft Defenderウイルス対策セキュリティ インテリジェンス更新プログラムの別の場所です。 |
*.download.microsoft.com*.download.windowsupdate.com (ポート 80 が必要です)go.microsoft.com (ポート 80 が必要です)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| マルウェア申請ストレージ これは、提出フォームまたは自動サンプル送信を介して Microsoft に送信されたファイルのアップロード場所です。 |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| 証明書失効リスト (CRL) Windows では、CRL を更新するために MAPS への SSL 接続を作成するときに、この一覧を使用します。 |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| ユニバーサル GDPR クライアント Windows では、このクライアントを使用してクライアント診断データを送信します。 Microsoft Defenderウイルス対策では、製品の品質と監視のために一般的なデータ保護規則が使用されます。 |
この更新プログラムでは、SSL (TCP ポート 443) を使用してマニフェストをダウンロードし、次の DNS エンドポイントを使用する診断データを Microsoft にアップロードします。vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
ネットワークとクラウド間の接続を検証する
一覧表示されている URL を許可した後、Microsoft Defenderウイルス対策クラウド サービスに接続されているかどうかをテストします。 URL が正しくレポートされ、情報を受け取っていることをテストして、完全に保護されていることを確認します。
cmdline ツールを使用してクラウド提供の保護を検証する
Microsoft Defenderウイルス対策コマンド ライン ユーティリティ (mpcmdrun.exe) で次の引数を使用して、ネットワークが Microsoft Defender ウイルス対策クラウド サービスと通信できることを確認します。
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
注:
管理者としてコマンド プロンプト ウィンドウを開きます。 [スタート] メニューの項目を右クリックし、[管理者として実行] をクリックし、アクセス許可プロンプトで [はい] をクリックします。 このコマンドは、Windows 10、バージョン 1703 以降、またはWindows 11でのみ機能します。
詳細については、「mpcmdrun.exe コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を管理する」を参照してください。
次の表を使用して、発生する可能性のあるエラー メッセージと、根本原因と考えられる解決策に関する情報を確認します。
| エラー メッセージ | 根本原因 |
|---|---|
| 開始時刻: <Day_of_the_week> MM DD YYYY HH:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection ValidateMapsConnection が MAPS への接続を確立できませんでした (hr=0x80070006 httpcore=451) MpCmdRun.exe: hr = 0x80070006** ValidateMapsConnection が MAPS への接続を確立できませんでした (hr=0x80072F8F httpcore=451) MpCmdRun.exe: hr = 0x80072F8F ValidateMapsConnection が MAPS への接続を確立できませんでした (hr=0x80072EFE httpcore=451) MpCmdRun.exe: hr = 0x80072EFE |
これらのエラー メッセージの根本原因は、デバイスにシステム全体の WinHttp プロキシが構成されていないということです。 システム全体の WinHttp プロキシを設定しない場合、オペレーティング システムはプロキシを認識せず、CRL をフェッチできません (オペレーティング システムでは、Defender for Endpoint ではなくこれを行います)。これは、のような http://cp.wd.microsoft.com/ URL への TLS 接続が完全に成功しないことを意味します。 エンドポイントへの接続が成功 (応答 200) されますが、MAPS 接続は失敗します。 |
| ソリューション | 説明 |
|---|---|
| ソリューション (推奨) | CRL チェックを許可するシステム全体の WinHttp プロキシを構成します。 |
| ソリューション (優先 2) | - セットアップ 切断された環境の Microsoft 自動更新 URL をリダイレクトする - CTL ファイルを取得するためにインターネットにアクセスできるサーバーを構成する - 切断された環境の Microsoft 自動更新 URL をリダイレクトする 役に立つ参照: - [コンピューターの構成>] [Windows 設定>] [セキュリティ設定>] [公開キー ポリシー>] [証明書パスの検証設定>][ネットワークの取得] タブ [>これらのポリシー設定>を定義する] [選択] を選択して、[Microsoft ルート証明書プログラム (推奨)] チェック ボックスの [証明書の自動更新] をオフにします。 - 証明書失効リスト (CRL) の検証 - アプリケーションの選択 - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
| 回避策ソリューション (代替) 失効した証明書や証明書のピン留めをチェックしなくなったため、ベスト プラクティスではありません。 |
SPYNET に対してのみ CRL チェックを無効にします。 このレジストリ SSLOption を構成すると、SPYNET レポートに対してのみ CRL チェックが無効になります。 他のサービスには影響しません。 これを行う方法: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) を 0 (16 進数) に設定します。 - 0 – ピン留めと失効チェックを無効にする - 1 – ピン留めを無効にする - 2 – 失効チェックのみを無効にする - 3 – 失効チェックとピン留めを有効にする (既定値) |
Microsoft から偽のマルウェア ファイルのダウンロードを試みる
ウイルス対策が検出され、クラウドに適切に接続されている場合にブロックMicrosoft Defenderサンプル ファイルをダウンロードできます。
注:
ダウンロードしたファイルは正確にマルウェアではありません。 これは、クラウドに適切に接続されているかどうかをテストするように設計された偽のファイルです。
正しく接続されている場合は、ウイルス対策通知Microsoft Defender警告が表示されます。
Microsoft Edge を使用している場合は、通知メッセージも表示されます。
インターネット エクスプローラーを使用している場合、同様のメッセージが表示されます。
Windows セキュリティ アプリで偽のマルウェア検出を表示する
タスク バーで [シールド] アイコンを選択し、Windows セキュリティ アプリを開きます。 または、[セキュリティの開始] を検索します。
[ ウイルス & 脅威の保護] を選択し、[ 保護の履歴] を選択します。
[ 検疫された脅威 ] セクションで、[ 完全な履歴を表示 ] を選択して、検出された偽のマルウェアを確認します。
注:
バージョン 1703 より前のバージョンのWindows 10には、異なるユーザー インターフェイスがあります。 Windows セキュリティ アプリMicrosoft Defenderウイルス対策に関するページを参照してください。
Windows イベント ログには、クライアント イベント ID 1116 Windows Defenderも表示されます。
ヒント
他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。
関連項目
- Microsoft Defender for Endpointのデバイス プロキシとインターネット接続の設定を構成する
- グループ ポリシー設定を使用して Microsoft Defender ウイルス対策を管理する
- Microsoft Active Protection Services エンドポイントに対する重要な変更
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示