Obs!
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Gjelder for:
- Microsoft Defender Antivirus
Viktig
Denne artikkelen inneholder informasjon om hvordan du konfigurerer nettverkstilkoblinger bare for Microsoft Defender Antivirus, når den brukes uten Microsoft Defender for endepunkt. Hvis du bruker Microsoft Defender for endepunkt (som inkluderer Microsoft Defender Antivirus), kan du se Konfigurere innstillinger for enhetsproxy og Internett-tilkobling for Defender for Endpoint.
Plattformer
- Windows
For å sikre at Microsoft Defender antivirussky-levert beskyttelse fungerer som den skal, må sikkerhetsteamet konfigurere nettverket til å tillate tilkoblinger mellom endepunktene og bestemte Microsoft-servere. Denne artikkelen viser hvilke mål som er mye tilgjengelige. Den inneholder også instruksjoner for validering av tilkoblinger. Konfigurering av tilkobling sikrer at du får den beste verdien fra Microsoft Defender antivirustjenester for skylevert beskyttelse.
Tillat tilkoblinger til Microsoft Defender Antivirus-skytjenesten
Den Microsoft Defender antivirusskytjenesten gir rask og sterk beskyttelse for endepunktene dine. Selv om det er valgfritt å aktivere og bruke skyleverte beskyttelsestjenester levert av Microsoft Defender Antivirus, anbefales det på det sterkeste fordi det gir viktig og rettidig beskyttelse mot nye trusler på endepunktene og nettverket. Hvis du vil ha mer informasjon, kan du se Aktiver skylevert beskyttelse, som beskriver hvordan du aktiverer tjenesten ved hjelp av Intune, Microsoft Endpoint Configuration Manager, gruppepolicy, PowerShell-cmdleter eller individuelle klienter i Windows Sikkerhet-appen.
Når du har aktivert tjenesten, må du konfigurere nettverket eller brannmuren til å tillate tilkoblinger mellom nettverket og endepunktene. Datamaskiner må ha tilgang til Internett og nå Microsoft-skytjenestene for riktig drift.
Obs!
Den Microsoft Defender Antivirus-skytjenesten gir oppdatert beskyttelse til nettverket og endepunktene. Skytjenesten bør ikke anses som beskyttelse for eller mot filer som er lagret i skyen. I stedet bruker skytjenesten distribuerte ressurser og maskinlæring til å levere beskyttelse for endepunktene raskere enn de tradisjonelle sikkerhetsanalyseoppdateringene, og gjelder for filbaserte og filløse trusler, uavhengig av hvor de kommer fra.
Tjenester og nettadresser
Tabellen i denne delen viser tjenester og tilhørende nettadresser.
Kontroller at det ikke finnes noen brannmur- eller nettverksfiltreringsregler som nekter tilgang til disse URL-adressene. Ellers må du opprette en tillatelsesregel spesielt for disse nettadressene. URL-adressene i tabellen nedenfor bruker port 443 for kommunikasjon. (Port 80 er også nødvendig for noen URL-adresser, som nevnt i tabellen nedenfor.)
| Tjeneste og beskrivelse | URL-adresse |
|---|---|
| Microsoft Defender Antivirus cloud-delivered protection service kalles Microsoft Active Protection Service (MAPS). Microsoft Defender Antivirus bruker MAPS-tjenesten til å gi skybasert beskyttelse. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) og Windows Update Service (WU) Disse tjenestene tillater sikkerhetsintelligens og produktoppdateringer. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comHvis du vil ha mer informasjon, kan du se Tilkoblingsendepunkter for Windows Update. |
| Sikkerhetsanalyseoppdateringer alternativ nedlastingsplassering (ADL) Dette er en alternativ plassering for Microsoft Defender antivirussikkerhetsanalyseoppdateringer, hvis den installerte sikkerhetsintelligensen er utdatert (sju eller flere dager bak). |
*.download.microsoft.com*.download.windowsupdate.com (Port 80 kreves)go.microsoft.com (Port 80 kreves)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Lagringsplass for innsending av skadelig programvare Dette er en opplastingsplassering for filer som sendes til Microsoft via innsendingsskjemaet eller automatisk eksempelinnsending. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Sertifikatopphevelser (CRL) Windows bruker denne listen når du oppretter SSL-tilkoblingen til MAPS for å oppdatere crl. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Universell GDPR-klient Windows bruker denne klienten til å sende klientens diagnosedata. Microsoft Defender Antivirus bruker forskrift om generell databeskyttelse for produktkvalitet og overvåkingsformål. |
Oppdateringen bruker SSL (TCP Port 443) til å laste ned manifester og laste opp diagnosedata til Microsoft som bruker følgende DNS-endepunkter:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Validere tilkoblinger mellom nettverket og skyen
Når du har tillatt nettadressene som er oppført, kan du teste om du er koblet til Microsoft Defender Antivirus-skytjenesten. Test nettadressene rapporterer og mottar informasjon riktig for å sikre at du er fullstendig beskyttet.
Bruk cmdline-verktøyet til å validere skybasert beskyttelse
Bruk følgende argument med kommandolinjeverktøyet Microsoft Defender Antivirus (mpcmdrun.exe) for å bekrefte at nettverket kan kommunisere med Microsoft Defender Antivirus-skytjenesten:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Obs!
Åpne ledeteksten som administrator. Høyreklikk elementet på Start-menyen , klikk Kjør som administrator , og klikk Ja i ledeteksten for tillatelser. Denne kommandoen fungerer bare på Windows 10, versjon 1703 eller nyere eller Windows 11.
Hvis du vil ha mer informasjon, kan du se Behandle Microsoft Defender Antivirus med kommandolinjeverktøyet mpcmdrun.exe.
Feilmeldinger
Her er noen feilmeldinger du kan se:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Årsaker til rot
Hovedårsaken til disse feilmeldingene er at enheten ikke har konfigurert sin systemomfattende WinHttp proxy. Hvis du ikke angir denne proxyen, er ikke operativsystemet klar over proxyen og kan ikke hente crl (operativsystemet gjør dette, ikke Defender for Endpoint), noe som betyr at TLS-tilkoblinger til nettadresser som http://cp.wd.microsoft.com/ ikke lykkes. Du ser vellykkede (svar 200) tilkoblinger til endepunktene, men MAPS-tilkoblingene vil fremdeles mislykkes.
Løsninger
Tabellen nedenfor viser løsninger:
| Løsning | Beskrivelse |
|---|---|
| Løsning (foretrukket) | Konfigurer den systemomfattende WinHttp-proxyen som tillater CRL-kontroll. |
| Løsning (foretrukket 2) | 1. Gå til> Innstillinger forsikkerhetsinnstillinger>> forfellesnøkkelpolicyer> forvalideringsinnstillinger for sertifikatbane. 2. Velg fanen Nettverkshenting , og velg deretter Definer disse policyinnstillingene. 3. Fjern merket for Oppdater sertifikater automatisk i Microsofts rotsertifikatprogram (anbefales ). Her er noen nyttige ressurser: - Konfigurer klarerte røtter og ikke tillatte sertifikater - Forbedre oppstartstiden for programmet: GeneratePublisherEvidence-innstillingen i Machine.config |
| Løsning for omarbeiding (alternativ) Dette er ikke en anbefalt fremgangsmåte fordi du ikke lenger ser etter tilbakekalte sertifikater eller sertifikat festing. |
Deaktiver CRL-kontroll bare for SPYNET. Konfigurering av denne register-SSLOption deaktiverer CRL-kontroll bare for SPYNET-rapportering. Det vil ikke påvirke andre tjenester. Gå til HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, og sett SSLOptions (dword) deretter til 2 (hex). Her er mulige verdier for DWORD for referanse: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Forsøk på å laste ned en falsk fil for skadelig programvare fra Microsoft
Du kan laste ned en eksempelfil som Microsoft Defender Antivirus vil oppdage og blokkere hvis du er riktig koblet til skyen.
Obs!
Den nedlastede filen er ikke akkurat skadelig programvare. Det er en falsk fil som er utformet for å teste om du er riktig koblet til skyen.
Hvis du er riktig tilkoblet, ser du en advarsel Microsoft Defender antivirusvarsel.
Hvis du bruker Microsoft Edge, ser du også en varslingsmelding:
Det oppstår en lignende melding hvis du bruker Internet Explorer:
Vis gjenkjenning av falsk skadelig programvare i Windows Sikkerhet-appen
Velg Skjold-ikonet på oppgavelinjen, åpne Windows Sikkerhet-appen. Du kan også søke i Start etter sikkerhet.
Velg Virus & trusselbeskyttelse, og velg deretter Beskyttelseslogg.
Under delen Trusler i karantene velger du Se hele loggen for å se den oppdagede falske skadelige programvaren.
Obs!
Versjoner av Windows 10 før versjon 1703 har et annet brukergrensesnitt. Se Microsoft Defender Antivirus i Windows Sikkerhet-appen.
Hendelsesloggen for Windows viser også hendelses-ID-en for Windows Defender-klienten 1116.
Tips
Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:
Se også
- Konfigurer innstillinger for enhetsproxy og Internett-tilkobling for Microsoft Defender for endepunkt
- Bruk gruppepolicy innstillinger til å konfigurere og administrere Microsoft Defender Antivirus
- Viktige endringer i endepunktet for Microsoft Active Protection Services
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.