Netwerkverbindingen van Microsoft Defender Antivirus configureren en valideren
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender Antivirus
Platforms
- Windows
Om ervoor te zorgen Microsoft Defender Antivirus-cloudbeveiliging goed werkt, moet uw beveiligingsteam uw netwerk configureren om verbindingen tussen uw eindpunten en bepaalde Microsoft-servers toe te staan. In dit artikel worden verbindingen vermeld die moeten worden toegestaan voor het gebruik van de firewallregels. Het bevat ook instructies voor het valideren van uw verbinding. Als u uw beveiliging correct configureert, zorgt u ervoor dat u de beste waarde krijgt van uw cloudbeveiligingsservices.
Belangrijk
Dit artikel bevat informatie over het configureren van netwerkverbindingen alleen voor Microsoft Defender Antivirus. Als u Microsoft Defender voor Eindpunt gebruikt (waaronder Microsoft Defender Antivirus), raadpleegt u Instellingen voor apparaatproxy en internetverbinding configureren voor Defender voor Eindpunt.
Verbindingen met de Microsoft Defender Antivirus-cloudservice toestaan
De Microsoft Defender Antivirus-cloudservice biedt snelle en sterke beveiliging voor uw eindpunten. Het is optioneel om de cloudbeveiligingsservice in te schakelen. Microsoft Defender Antivirus-cloudservice wordt aanbevolen, omdat deze belangrijke bescherming biedt tegen malware op uw eindpunten en netwerk. Zie Cloudbeveiliging inschakelen voor het inschakelen van service met Intune, Microsoft Endpoint Configuration Manager, groepsbeleid, PowerShell-cmdlets of afzonderlijke clients in de Windows-beveiliging-app voor meer informatie.
Nadat u de service hebt ingeschakeld, moet u uw netwerk of firewall configureren om verbindingen tussen het netwerk en uw eindpunten toe te staan. Omdat uw beveiliging een cloudservice is, moeten computers toegang hebben tot internet en de Microsoft-cloudservices bereiken. Sluit de URL *.blob.core.windows.net niet uit van een netwerkinspectie.
Opmerking
De Microsoft Defender Antivirus-cloudservice biedt bijgewerkte beveiliging voor uw netwerk en eindpunten. De cloudservice moet niet worden beschouwd als alleen beveiliging voor uw bestanden die zijn opgeslagen in de cloud; In plaats daarvan maakt de cloudservice gebruik van gedistribueerde resources en machine learning om uw eindpunten sneller te beveiligen dan de traditionele updates voor beveiligingsinformatie.
Services en URL's
De tabel in deze sectie bevat een lijst met services en de bijbehorende websiteadressen (URL's).
Zorg ervoor dat er geen firewall- of netwerkfilterregels zijn die de toegang tot deze URL's weigeren. Anders moet u specifiek voor deze URL's een regel voor toestaan maken (met uitzondering van de URL *.blob.core.windows.net). De URL's in de volgende tabel gebruiken poort 443 voor communicatie. (Poort 80 is ook vereist voor sommige URL's, zoals vermeld in de volgende tabel.)
| Service en beschrijving | URL |
|---|---|
| Microsoft Defender Antivirus-cloudbeveiligingsservice wordt Microsoft Active Protection Service (MAPS) genoemd. Microsoft Defender Antivirus gebruikt de MAPS-service om cloudbeveiliging te bieden. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) en Windows Update Service (WU) Deze services maken beveiligingsinformatie en productupdates mogelijk. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comZie Verbindingseindpunten voor Windows Update voor meer informatie. |
| Updates voor beveiligingsinformatie Alternatieve downloadlocatie (ADL) Dit is een alternatieve locatie voor Microsoft Defender Antivirus Beveiligingsinformatie-updates, als de geïnstalleerde beveiligingsinformatie verouderd is (zeven of meer dagen achter). |
*.download.microsoft.com*.download.windowsupdate.com (Poort 80 is vereist)go.microsoft.com (Poort 80 is vereist)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Opslag voor inzending van malware Dit is een uploadlocatie voor bestanden die naar Microsoft zijn verzonden via het inzendingsformulier of automatische voorbeeldinzending. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Certificaatintrekkingslijst (CRL) Windows gebruikt deze lijst tijdens het maken van de SSL-verbinding met MAPS voor het bijwerken van de CRL. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Universele AVG-client Windows gebruikt deze client om de diagnostische gegevens van de client te verzenden. Microsoft Defender Antivirus maakt gebruik van de Algemene verordening gegevensbescherming voor productkwaliteit en bewakingsdoeleinden. |
De update maakt gebruik van SSL (TCP-poort 443) om manifesten te downloaden en diagnostische gegevens te uploaden naar Microsoft die gebruikmaken van de volgende DNS-eindpunten:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Verbindingen tussen uw netwerk en de cloud valideren
Nadat u de vermelde URL's hebt toegestaan, test u of u bent verbonden met de Microsoft Defender Antivirus-cloudservice. Test of de URL's correct rapporteren en informatie ontvangen om ervoor te zorgen dat u volledig bent beveiligd.
Het hulpprogramma cmdline gebruiken om cloudbeveiliging te valideren
Gebruik het volgende argument met het opdrachtregelprogramma Microsoft Defender Antivirus (mpcmdrun.exe) om te controleren of uw netwerk kan communiceren met de Microsoft Defender Antivirus-cloudservice:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Opmerking
Open de opdrachtprompt als beheerder. Klik met de rechtermuisknop op het item in het startmenu , klik op Als administrator uitvoeren en klik op Ja bij de machtigingsprompt. Deze opdracht werkt alleen op Windows 10, versie 1703 of hoger of Windows 11.
Zie Microsoft Defender Antivirus beheren met het opdrachtregelprogramma mpcmdrun.exe voor meer informatie.
Gebruik de onderstaande tabellen om foutberichten weer te geven, samen met informatie over de hoofdoorzaak en mogelijke oplossingen:
| Foutberichten | Oorzaak |
|---|---|
| Begintijd: <Day_of_the_week> MM DD JJJJ UU:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection ValidateMapsConnection kan geen verbinding maken met MAPS (hr=0x80070006 httpcore=451) MpCmdRun.exe: uur = 0x80070006** ValidateMapsConnection kan geen verbinding maken met MAPS (hr=0x80072F8F httpcore=451) MpCmdRun.exe: hr = 0x80072F8F ValidateMapsConnection kan geen verbinding maken met MAPS (hr=0x80072EFE httpcore=451) MpCmdRun.exe: hr = 0x80072EFE |
De hoofdoorzaak van deze foutberichten is dat de WinHttp-proxy voor het hele systeem niet is geconfigureerd voor het apparaat. Als u de WinHttp-proxy voor het hele systeem niet instelt, is het besturingssysteem niet op de hoogte van de proxy en kan het de CRL niet ophalen (het besturingssysteem doet dit, niet Defender voor Eindpunt), wat betekent dat TLS-verbindingen met URL's zoals http://cp.wd.microsoft.com/ niet volledig slagen. U ziet geslaagde (antwoord 200) verbindingen met de eindpunten, maar de MAPS-verbindingen zouden nog steeds mislukken. |
| Oplossing | Beschrijving |
|---|---|
| Oplossing (voorkeur) | Configureer de WinHttp-proxy voor het hele systeem waarmee de CRL-controle kan worden uitgevoerd. |
| Oplossing (voorkeur 2) | - De Url voor automatische updates van Microsoft instellen voor een niet-verbonden omgeving omleiden - Een server configureren die toegang heeft tot internet om de CTL-bestanden op te halen - De Url voor automatische updates van Microsoft omleiden voor een niet-verbonden omgeving Nuttige verwijzingen: - Ga naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Openbaar sleutelbeleid > Certificaatpad Validatie-instellingen>Selecteer het tabblad> Netwerk ophalenSelecteer Deze beleidsinstellingen> definiërenSelecteer om het selectievakje Certificaten automatisch bijwerken in het Microsoft-basiscertificaatprogramma (aanbevolen) uit te schakelen. - Verificatie van certificaatintrekkingslijst (CRL) - een toepassingskeuze - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
| Work-around-oplossing (alternatief) Geen aanbevolen procedure omdat u niet meer controleert op ingetrokken certificaten of het vastmaken van certificaten. |
CRL-controle alleen uitschakelen voor SPYNET. Als u dit register SSLOption configureert, wordt CRL-controle alleen uitgeschakeld voor SPYNET-rapportage. Dit heeft geen invloed op andere services. Ga als volgt te werk: Ga naar HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> stel SSLOptions (dword) in op 0 (hex). - 0 : vastmaken en intrekken van controles uitschakelen - 1 : vastmaken uitschakelen - 2 : alleen intrekkingscontroles uitschakelen - 3 : intrekkingscontroles en vastmaken inschakelen (standaard) |
Poging om een nep-malwarebestand van Microsoft te downloaden
U kunt een voorbeeldbestand downloaden dat Microsoft Defender Antivirus detecteert en blokkeert als u op de juiste manier bent verbonden met de cloud.
Opmerking
Het gedownloade bestand is niet echt malware. Het is een nepbestand dat is ontworpen om te testen of u op de juiste manier bent verbonden met de cloud.
Als u op de juiste manier bent verbonden, ziet u een waarschuwing Microsoft Defender Antivirusmelding.
Als u Microsoft Edge gebruikt, ziet u ook een meldingsbericht:
Een soortgelijk bericht treedt op als u Internet Explorer gebruikt:
De detectie van valse malware weergeven in uw Windows-beveiliging-app
Selecteer op de taakbalk het pictogram Schild en open de app Windows-beveiliging. Of zoek in Start naar Beveiliging.
Selecteer Virus & threat protection en selecteer vervolgens Beveiligingsgeschiedenis.
Selecteer in de sectie Bedreigingen in quarantaine de optie Volledige geschiedenis weergeven om de gedetecteerde valse malware te zien.
Opmerking
Versies van Windows 10 vóór versie 1703 hebben een andere gebruikersinterface. Zie Microsoft Defender Antivirus in de Windows-beveiliging-app.
In het Windows-gebeurtenislogboek wordt ook Windows Defender client-gebeurtenis-id 1116 weergegeven.
Tip
Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:
Zie ook
- Instellingen voor apparaatproxy en internetverbinding configureren voor Microsoft Defender voor Eindpunt
- Groepsbeleid-instellingen gebruiken om Microsoft Defender Antivirus te configureren en te beheren
- Belangrijke wijzigingen in Microsoft Active Protection Services-eindpunt
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor