Udostępnij za pośrednictwem


Skonfiguruj i zweryfikuj połączenia sieciowe programu antywirusowego Microsoft Defender

Dotyczy:

Platformy

  • System Windows

Aby upewnić się, Microsoft Defender ochrona antywirusowa dostarczana w chmurze działa prawidłowo, zespół ds. zabezpieczeń musi skonfigurować sieć tak, aby zezwalała na połączenia między punktami końcowymi a niektórymi serwerami firmy Microsoft. W tym artykule wymieniono połączenia, które muszą być dozwolone w przypadku używania reguł zapory. Zawiera również instrukcje dotyczące weryfikowania połączenia. Prawidłowe skonfigurowanie ochrony gwarantuje, że otrzymasz najlepszą wartość z usług ochrony dostarczanych przez chmurę.

Ważna

Ten artykuł zawiera informacje dotyczące konfigurowania połączeń sieciowych tylko dla programu antywirusowego Microsoft Defender. Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender (w tym programu antywirusowego Microsoft Defender), zobacz Konfigurowanie ustawień serwera proxy urządzenia i łączności z Internetem dla usługi Defender for Endpoint.

Zezwalaj na połączenia z usługą w chmurze programu antywirusowego Microsoft Defender

Usługa w chmurze Microsoft Defender Antivirus zapewnia szybką i silną ochronę punktów końcowych. Włączenie usługi ochrony dostarczanej w chmurze jest opcjonalne. Microsoft Defender usługa antywirusowa w chmurze jest zalecana, ponieważ zapewnia ważną ochronę przed złośliwym oprogramowaniem w punktach końcowych i sieci. Aby uzyskać więcej informacji, zobacz Enable cloud-delivered protection for enableing service with Intune, Microsoft Endpoint Configuration Manager, zasady grupy, PowerShell cmdlets, or individual clients in the Zabezpieczenia Windows app (Włączanie ochrony dostarczanej w chmurze na potrzeby włączania usługi za pomocą Intune, Configuration Manager punktu końcowego firmy Microsoft, zasady grupy, poleceń cmdlet programu PowerShell lub poszczególnych klientów w aplikacji Zabezpieczenia Windows.

Po włączeniu usługi należy skonfigurować sieć lub zaporę, aby zezwalać na połączenia między siecią a punktami końcowymi. Ponieważ ochrona jest usługą w chmurze, komputery muszą mieć dostęp do Internetu i uzyskiwać dostęp do usług firmy Microsoft w chmurze. Nie wykluczaj adresu URL *.blob.core.windows.net z jakiejkolwiek inspekcji sieci.

Uwaga

Usługa w chmurze programu antywirusowego Microsoft Defender zapewnia zaktualizowaną ochronę sieci i punktów końcowych. Usługa w chmurze nie powinna być traktowana jako ochrona tylko plików przechowywanych w chmurze. Zamiast tego usługa w chmurze korzysta z zasobów rozproszonych i uczenia maszynowego, aby zapewnić ochronę punktów końcowych szybciej niż tradycyjne aktualizacje analizy zabezpieczeń.

Usługi i adresy URL

W tabeli w tej sekcji wymieniono usługi i skojarzone z nimi adresy witryny sieci Web (adresy URL).

Upewnij się, że nie ma reguł filtrowania zapory ani sieci, które odmawiają dostępu do tych adresów URL. W przeciwnym razie należy utworzyć regułę zezwalania specjalnie dla tych adresów URL (z wyłączeniem adresu URL *.blob.core.windows.net). Adresy URL w poniższej tabeli używają portu 443 do komunikacji. (Port 80 jest również wymagany dla niektórych adresów URL, jak wspomniano w poniższej tabeli).

Usługa i opis URL
Microsoft Defender usługa ochrony antywirusowej dostarczana w chmurze jest określana jako usługa Microsoft Active Protection (MAPS).
Microsoft Defender Program antywirusowy korzysta z usługi MAPS w celu zapewnienia ochrony dostarczanej w chmurze.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) i Windows Update Service (WU)
Te usługi umożliwiają analizę zabezpieczeń i aktualizacje produktów.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Aby uzyskać więcej informacji, zobacz Punkty końcowe połączenia dla Windows Update.
Aktualizacje analizy zabezpieczeń Alternatywna lokalizacja pobierania (ADL)
Jest to alternatywna lokalizacja dla Microsoft Defender aktualizacji analizy zabezpieczeń antywirusowych, jeśli zainstalowana analiza zabezpieczeń jest nieaktualna (co najmniej siedem dni).
*.download.microsoft.com
*.download.windowsupdate.com (Port 80 jest wymagany)
go.microsoft.com (Port 80 jest wymagany)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Magazyn przesyłania złośliwego oprogramowania
Jest to lokalizacja przekazywania plików przesłanych do firmy Microsoft za pośrednictwem formularza przesyłania lub automatycznego przesyłania przykładów.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Lista odwołania certyfikatów (CRL)
System Windows używa tej listy podczas tworzenia połączenia SSL z usługą MAPS w celu zaktualizowania listy CRL.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Uniwersalny klient RODO
System Windows używa tego klienta do wysyłania danych diagnostycznych klienta.

Microsoft Defender Program antywirusowy używa ogólnego rozporządzenia o ochronie danych do celów związanych z jakością produktów i monitorowaniem.
Aktualizacja używa protokołu SSL (port TCP 443) do pobierania manifestów i przekazywania danych diagnostycznych do firmy Microsoft używających następujących punktów końcowych DNS:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Weryfikowanie połączeń między siecią a chmurą

Po dopuszczeniu wymienionych adresów URL sprawdź, czy masz połączenie z usługą w chmurze programu antywirusowego Microsoft Defender. Sprawdź, czy adresy URL prawidłowo zgłaszają i odbierają informacje, aby upewnić się, że jesteś w pełni chroniony.

Weryfikowanie ochrony dostarczanej w chmurze przy użyciu narzędzia cmdline

Użyj następującego argumentu z narzędziem wiersza polecenia programu antywirusowego Microsoft Defender (mpcmdrun.exe), aby sprawdzić, czy sieć może komunikować się z usługą w chmurze programu antywirusowego Microsoft Defender:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Uwaga

Otwórz wiersz polecenia jako administrator. Kliknij prawym przyciskiem myszy element w menu Start , kliknij przycisk Uruchom jako administrator i kliknij przycisk Tak w wierszu polecenia uprawnień. To polecenie będzie działać tylko w Windows 10, wersji 1703 lub nowszej lub Windows 11.

Aby uzyskać więcej informacji, zobacz Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool (Zarządzanie programem antywirusowym Microsoft Defender przy użyciu narzędzia wiersza polecenia mpcmdrun.exe).

Komunikaty o błędach

Oto kilka komunikatów o błędach, które mogą zostać wyświetlone:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Przyczyn

Główną przyczyną tych komunikatów o błędach jest to, że urządzenie nie ma skonfigurowanego serwera proxy w całym WinHttp systemie. Jeśli nie ustawisz tego serwera proxy, system operacyjny nie jest świadomy serwera proxy i nie może pobrać listy CRL (system operacyjny to robi, a nie defender dla punktu końcowego), co oznacza, że połączenia TLS z adresami URL, takie jak http://cp.wd.microsoft.com/ nie powiodły się. Zobaczysz pomyślne połączenia (odpowiedź 200) z punktami końcowymi, ale połączenia MAPS nadal kończą się niepowodzeniem.

Rozwiązania

W poniższej tabeli wymieniono rozwiązania:

Rozwiązanie Opis
Rozwiązanie (preferowane) Skonfiguruj serwer proxy WinHttp dla całego systemu, który umożliwia sprawdzanie listy CRL.
Rozwiązanie (preferowane 2) 1. Przejdź do pozycjiKonfiguracja komputera Ustawienia>systemu Windows Ustawienia zabezpieczeń Ustawienia> zabezpieczeń Ustawienia weryfikacji ścieżki>certyfikatu zasad >klucza publicznego.
2. Wybierz kartę Pobieranie sieci , a następnie wybierz pozycję Zdefiniuj te ustawienia zasad.
3. Wyczyść pole wyboru Automatycznie aktualizuj certyfikaty w programie Microsoft Root Certificate Program (zalecane ).

Oto kilka przydatnych zasobów:
- Konfigurowanie zaufanych katalogów głównych i niedozwolonych certyfikatów
- Skracanie czasu uruchamiania aplikacji: ustawienie GeneratePublisherEvidence w Machine.config
Rozwiązanie obejścia (alternatywa)
Nie jest to najlepsze rozwiązanie, ponieważ nie sprawdzasz już odwołanych certyfikatów ani przypinania certyfikatów.
Wyłącz sprawdzanie listy CRL tylko dla programu SPYNET.
Skonfigurowanie tego rejestru SSLOption wyłącza sprawdzanie listy CRL tylko dla raportowania SPYNET. Nie będzie to miało wpływu na inne usługi.

Przejdź do pozycji HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, a następnie ustaw wartość SSLOptions (dword)2 (szesnastkowa).
Poniżej przedstawiono możliwe wartości dword:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Próba pobrania fałszywego pliku złośliwego oprogramowania od firmy Microsoft

Możesz pobrać przykładowy plik, który Microsoft Defender program antywirusowy wykryje i zablokuje połączenie z chmurą.

Uwaga

Pobrany plik nie jest dokładnie złośliwym oprogramowaniem. Jest to fałszywy plik przeznaczony do testowania, czy masz prawidłowe połączenie z chmurą.

Jeśli masz prawidłowe połączenie, zostanie wyświetlone ostrzeżenie Microsoft Defender powiadomienia antywirusowego.

Jeśli używasz przeglądarki Microsoft Edge, zostanie również wyświetlony komunikat z powiadomieniem:

Powiadomienie o znalezieniu złośliwego oprogramowania w przeglądarce Edge

Podobny komunikat występuje, jeśli używasz programu Internet Explorer:

Powiadomienie programu antywirusowego Microsoft Defender o znalezieniu złośliwego oprogramowania

Wyświetlanie wykrywania fałszywego złośliwego oprogramowania w aplikacji Zabezpieczenia Windows

  1. Na pasku zadań wybierz ikonę Tarcza, otwórz aplikację Zabezpieczenia Windows. Możesz też wyszukać pozycję Rozpocznij pod kątem zabezpieczeń.

  2. Wybierz pozycję Ochrona przed zagrożeniami & wirusami, a następnie wybierz pozycję Historia ochrony.

  3. W sekcji Zagrożenia poddane kwarantannie wybierz pozycję Zobacz pełną historię , aby zobaczyć wykryte fałszywe złośliwe oprogramowanie.

    Uwaga

    Wersje Windows 10 przed wersją 1703 mają inny interfejs użytkownika. Zobacz Microsoft Defender Antivirus w aplikacji Zabezpieczenia Windows.

    W dzienniku zdarzeń systemu Windows zostanie również wyświetlony identyfikator zdarzenia klienta Windows Defender 1116.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.