Delen via


Netwerkverbindingen van Microsoft Defender Antivirus configureren en valideren

Van toepassing op:

Platforms

  • Windows

Om ervoor te zorgen Microsoft Defender Antivirus-cloudbeveiliging goed werkt, moet uw beveiligingsteam uw netwerk configureren om verbindingen tussen uw eindpunten en bepaalde Microsoft-servers toe te staan. In dit artikel worden verbindingen vermeld die moeten worden toegestaan voor het gebruik van de firewallregels. Het bevat ook instructies voor het valideren van uw verbinding. Als u uw beveiliging correct configureert, zorgt u ervoor dat u de beste waarde krijgt van uw cloudbeveiligingsservices.

Belangrijk

Dit artikel bevat informatie over het configureren van netwerkverbindingen alleen voor Microsoft Defender Antivirus. Als u Microsoft Defender voor Eindpunt gebruikt (waaronder Microsoft Defender Antivirus), raadpleegt u Instellingen voor apparaatproxy en internetverbinding configureren voor Defender voor Eindpunt.

Verbindingen met de Microsoft Defender Antivirus-cloudservice toestaan

De Microsoft Defender Antivirus-cloudservice biedt snelle en sterke beveiliging voor uw eindpunten. Het is optioneel om de cloudbeveiligingsservice in te schakelen. Microsoft Defender Antivirus-cloudservice wordt aanbevolen, omdat deze belangrijke bescherming biedt tegen malware op uw eindpunten en netwerk. Zie Cloudbeveiliging inschakelen voor het inschakelen van service met Intune, Microsoft Endpoint Configuration Manager, groepsbeleid, PowerShell-cmdlets of afzonderlijke clients in de Windows-beveiliging-app voor meer informatie.

Nadat u de service hebt ingeschakeld, moet u uw netwerk of firewall configureren om verbindingen tussen het netwerk en uw eindpunten toe te staan. Omdat uw beveiliging een cloudservice is, moeten computers toegang hebben tot internet en de Microsoft-cloudservices bereiken. Sluit de URL *.blob.core.windows.net niet uit van een netwerkinspectie.

Opmerking

De Microsoft Defender Antivirus-cloudservice biedt bijgewerkte beveiliging voor uw netwerk en eindpunten. De cloudservice moet niet worden beschouwd als alleen beveiliging voor uw bestanden die zijn opgeslagen in de cloud; In plaats daarvan maakt de cloudservice gebruik van gedistribueerde resources en machine learning om uw eindpunten sneller te beveiligen dan de traditionele updates voor beveiligingsinformatie.

Services en URL's

De tabel in deze sectie bevat een lijst met services en de bijbehorende websiteadressen (URL's).

Zorg ervoor dat er geen firewall- of netwerkfilterregels zijn die de toegang tot deze URL's weigeren. Anders moet u specifiek voor deze URL's een regel voor toestaan maken (met uitzondering van de URL *.blob.core.windows.net). De URL's in de volgende tabel gebruiken poort 443 voor communicatie. (Poort 80 is ook vereist voor sommige URL's, zoals vermeld in de volgende tabel.)

Service en beschrijving URL
Microsoft Defender Antivirus-cloudbeveiligingsservice wordt Microsoft Active Protection Service (MAPS) genoemd.
Microsoft Defender Antivirus gebruikt de MAPS-service om cloudbeveiliging te bieden.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) en Windows Update Service (WU)
Deze services maken beveiligingsinformatie en productupdates mogelijk.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Zie Verbindingseindpunten voor Windows Update voor meer informatie.
Updates voor beveiligingsinformatie Alternatieve downloadlocatie (ADL)
Dit is een alternatieve locatie voor Microsoft Defender Antivirus Beveiligingsinformatie-updates, als de geïnstalleerde beveiligingsinformatie verouderd is (zeven of meer dagen achter).
*.download.microsoft.com
*.download.windowsupdate.com (Poort 80 is vereist)
go.microsoft.com (Poort 80 is vereist)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Opslag voor inzending van malware
Dit is een uploadlocatie voor bestanden die naar Microsoft zijn verzonden via het inzendingsformulier of automatische voorbeeldinzending.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Certificaatintrekkingslijst (CRL)
Windows gebruikt deze lijst tijdens het maken van de SSL-verbinding met MAPS voor het bijwerken van de CRL.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Universele AVG-client
Windows gebruikt deze client om de diagnostische gegevens van de client te verzenden.

Microsoft Defender Antivirus maakt gebruik van de Algemene verordening gegevensbescherming voor productkwaliteit en bewakingsdoeleinden.
De update maakt gebruik van SSL (TCP-poort 443) om manifesten te downloaden en diagnostische gegevens te uploaden naar Microsoft die gebruikmaken van de volgende DNS-eindpunten:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Verbindingen tussen uw netwerk en de cloud valideren

Nadat u de vermelde URL's hebt toegestaan, test u of u bent verbonden met de Microsoft Defender Antivirus-cloudservice. Test of de URL's correct rapporteren en informatie ontvangen om ervoor te zorgen dat u volledig bent beveiligd.

Het hulpprogramma cmdline gebruiken om cloudbeveiliging te valideren

Gebruik het volgende argument met het opdrachtregelprogramma Microsoft Defender Antivirus (mpcmdrun.exe) om te controleren of uw netwerk kan communiceren met de Microsoft Defender Antivirus-cloudservice:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Opmerking

Open de opdrachtprompt als beheerder. Klik met de rechtermuisknop op het item in het startmenu , klik op Als administrator uitvoeren en klik op Ja bij de machtigingsprompt. Deze opdracht werkt alleen op Windows 10, versie 1703 of hoger of Windows 11.

Zie Microsoft Defender Antivirus beheren met het opdrachtregelprogramma mpcmdrun.exe voor meer informatie.

Foutberichten

Hier volgen enkele foutberichten die u kunt zien:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Oorzaken

De hoofdoorzaak van deze foutberichten is dat de proxy voor het hele systeem WinHttp niet is geconfigureerd op het apparaat. Als u deze proxy niet instelt, is het besturingssysteem niet op de hoogte van de proxy en kan het de CRL niet ophalen (het besturingssysteem doet dit, niet Defender voor Eindpunt), wat betekent dat TLS-verbindingen met URL's als http://cp.wd.microsoft.com/ niet slagen. U ziet geslaagde (antwoord 200) verbindingen met de eindpunten, maar de MAPS-verbindingen mislukken nog steeds.

Oplossingen

De volgende tabel bevat oplossingen:

Oplossing Beschrijving
Oplossing (voorkeur) Configureer de WinHttp-proxy voor het hele systeem waarmee de CRL-controle kan worden uitgevoerd.
Oplossing (voorkeur 2) 1. Ga naar Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Openbare-sleutelbeleid>Certificaatpadvalidatie-instellingen.
2. Selecteer het tabblad Netwerk ophalen en selecteer vervolgens Deze beleidsinstellingen definiëren.
3. Schakel het selectievakje Certificaten automatisch bijwerken in het Microsoft-basiscertificaatprogramma (aanbevolen) uit.

Hier volgen enkele nuttige bronnen:
- Vertrouwde wortels en niet-toegestane certificaten configureren
- Opstarttijd van toepassing verbeteren: instelling GeneratePublisherEvidence in Machine.config
Work-around-oplossing (alternatief)
Dit is geen aanbevolen procedure omdat u niet langer controleert op ingetrokken certificaten of het vastmaken van certificaten.
CRL-controle alleen uitschakelen voor SPYNET.
Als u dit register SSLOption configureert, wordt CRL-controle alleen uitgeschakeld voor SPYNET-rapportage. Dit heeft geen invloed op andere services.

Ga naar HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet en stel in SSLOptions (dword) op 2 (hex).
Ter referentie zijn hier mogelijke waarden voor de DWORD:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Poging om een nep-malwarebestand van Microsoft te downloaden

U kunt een voorbeeldbestand downloaden dat Microsoft Defender Antivirus detecteert en blokkeert als u op de juiste manier bent verbonden met de cloud.

Opmerking

Het gedownloade bestand is niet echt malware. Het is een nepbestand dat is ontworpen om te testen of u op de juiste manier bent verbonden met de cloud.

Als u op de juiste manier bent verbonden, ziet u een waarschuwing Microsoft Defender Antivirusmelding.

Als u Microsoft Edge gebruikt, ziet u ook een meldingsbericht:

De melding dat er malware is gevonden in Edge

Een soortgelijk bericht treedt op als u Internet Explorer gebruikt:

De Microsoft Defender Antivirusmelding dat er malware is gevonden

De detectie van valse malware weergeven in uw Windows-beveiliging-app

  1. Selecteer op de taakbalk het pictogram Schild en open de app Windows-beveiliging. Of zoek in Start naar Beveiliging.

  2. Selecteer Virus & threat protection en selecteer vervolgens Beveiligingsgeschiedenis.

  3. Selecteer in de sectie Bedreigingen in quarantaine de optie Volledige geschiedenis weergeven om de gedetecteerde valse malware te zien.

    Opmerking

    Versies van Windows 10 vóór versie 1703 hebben een andere gebruikersinterface. Zie Microsoft Defender Antivirus in de Windows-beveiliging-app.

    In het Windows-gebeurtenislogboek wordt ook Windows Defender client-gebeurtenis-id 1116 weergegeven.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.