Skonfiguruj i zweryfikuj połączenia sieciowe programu antywirusowego Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
Aby upewnić się, Microsoft Defender ochrona antywirusowa dostarczana w chmurze działa prawidłowo, zespół ds. zabezpieczeń musi skonfigurować sieć tak, aby zezwalała na połączenia między punktami końcowymi a niektórymi serwerami firmy Microsoft. W tym artykule wymieniono połączenia, które muszą być dozwolone w przypadku używania reguł zapory. Zawiera również instrukcje dotyczące weryfikowania połączenia. Prawidłowe skonfigurowanie ochrony gwarantuje, że otrzymasz najlepszą wartość z usług ochrony dostarczanych przez chmurę.
Ważna
Ten artykuł zawiera informacje dotyczące konfigurowania połączeń sieciowych tylko dla programu antywirusowego Microsoft Defender. Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender (w tym programu antywirusowego Microsoft Defender), zobacz Konfigurowanie ustawień serwera proxy urządzenia i łączności z Internetem dla usługi Defender for Endpoint.
Zezwalaj na połączenia z usługą w chmurze programu antywirusowego Microsoft Defender
Usługa w chmurze Microsoft Defender Antivirus zapewnia szybką i silną ochronę punktów końcowych. Włączenie usługi ochrony dostarczanej w chmurze jest opcjonalne. Microsoft Defender usługa antywirusowa w chmurze jest zalecana, ponieważ zapewnia ważną ochronę przed złośliwym oprogramowaniem w punktach końcowych i sieci. Aby uzyskać więcej informacji, zobacz Enable cloud-delivered protection for enableing service with Intune, Microsoft Endpoint Configuration Manager, zasady grupy, PowerShell cmdlets, or individual clients in the Zabezpieczenia Windows app (Włączanie ochrony dostarczanej w chmurze na potrzeby włączania usługi za pomocą Intune, Configuration Manager punktu końcowego firmy Microsoft, zasady grupy, poleceń cmdlet programu PowerShell lub poszczególnych klientów w aplikacji Zabezpieczenia Windows.
Po włączeniu usługi należy skonfigurować sieć lub zaporę, aby zezwalać na połączenia między siecią a punktami końcowymi. Ponieważ ochrona jest usługą w chmurze, komputery muszą mieć dostęp do Internetu i uzyskiwać dostęp do usług firmy Microsoft w chmurze. Nie wykluczaj adresu URL *.blob.core.windows.net
z jakiejkolwiek inspekcji sieci.
Uwaga
Usługa w chmurze programu antywirusowego Microsoft Defender zapewnia zaktualizowaną ochronę sieci i punktów końcowych. Usługa w chmurze nie powinna być traktowana jako ochrona tylko plików przechowywanych w chmurze. Zamiast tego usługa w chmurze korzysta z zasobów rozproszonych i uczenia maszynowego, aby zapewnić ochronę punktów końcowych szybciej niż tradycyjne aktualizacje analizy zabezpieczeń.
Usługi i adresy URL
W tabeli w tej sekcji wymieniono usługi i skojarzone z nimi adresy witryny sieci Web (adresy URL).
Upewnij się, że nie ma reguł filtrowania zapory ani sieci, które odmawiają dostępu do tych adresów URL. W przeciwnym razie należy utworzyć regułę zezwalania specjalnie dla tych adresów URL (z wyłączeniem adresu URL *.blob.core.windows.net
). Adresy URL w poniższej tabeli używają portu 443 do komunikacji. (Port 80 jest również wymagany dla niektórych adresów URL, jak wspomniano w poniższej tabeli).
Usługa i opis | URL |
---|---|
Microsoft Defender usługa ochrony antywirusowej dostarczana w chmurze jest określana jako usługa Microsoft Active Protection (MAPS). Microsoft Defender Program antywirusowy korzysta z usługi MAPS w celu zapewnienia ochrony dostarczanej w chmurze. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com |
Microsoft Update Service (MU) i Windows Update Service (WU) Te usługi umożliwiają analizę zabezpieczeń i aktualizacje produktów. |
*.update.microsoft.com *.delivery.mp.microsoft.com *.windowsupdate.com ctldl.windowsupdate.com Aby uzyskać więcej informacji, zobacz Punkty końcowe połączenia dla Windows Update. |
Aktualizacje analizy zabezpieczeń Alternatywna lokalizacja pobierania (ADL) Jest to alternatywna lokalizacja dla Microsoft Defender aktualizacji analizy zabezpieczeń antywirusowych, jeśli zainstalowana analiza zabezpieczeń jest nieaktualna (co najmniej siedem dni). |
*.download.microsoft.com *.download.windowsupdate.com (Port 80 jest wymagany)go.microsoft.com (Port 80 jest wymagany)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/ https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
Magazyn przesyłania złośliwego oprogramowania Jest to lokalizacja przekazywania plików przesłanych do firmy Microsoft za pośrednictwem formularza przesyłania lub automatycznego przesyłania przykładów. |
ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Lista odwołania certyfikatów (CRL) System Windows używa tej listy podczas tworzenia połączenia SSL z usługą MAPS w celu zaktualizowania listy CRL. |
http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs |
Uniwersalny klient RODO System Windows używa tego klienta do wysyłania danych diagnostycznych klienta. Microsoft Defender Program antywirusowy używa ogólnego rozporządzenia o ochronie danych do celów związanych z jakością produktów i monitorowaniem. |
Aktualizacja używa protokołu SSL (port TCP 443) do pobierania manifestów i przekazywania danych diagnostycznych do firmy Microsoft używających następujących punktów końcowych DNS:vortex-win.data.microsoft.com settings-win.data.microsoft.com |
Weryfikowanie połączeń między siecią a chmurą
Po dopuszczeniu wymienionych adresów URL sprawdź, czy masz połączenie z usługą w chmurze programu antywirusowego Microsoft Defender. Sprawdź, czy adresy URL prawidłowo zgłaszają i odbierają informacje, aby upewnić się, że jesteś w pełni chroniony.
Weryfikowanie ochrony dostarczanej w chmurze przy użyciu narzędzia cmdline
Użyj następującego argumentu z narzędziem wiersza polecenia programu antywirusowego Microsoft Defender (mpcmdrun.exe
), aby sprawdzić, czy sieć może komunikować się z usługą w chmurze programu antywirusowego Microsoft Defender:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Uwaga
Otwórz wiersz polecenia jako administrator. Kliknij prawym przyciskiem myszy element w menu Start , kliknij przycisk Uruchom jako administrator i kliknij przycisk Tak w wierszu polecenia uprawnień. To polecenie będzie działać tylko w Windows 10, wersji 1703 lub nowszej lub Windows 11.
Aby uzyskać więcej informacji, zobacz Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool (Zarządzanie programem antywirusowym Microsoft Defender przy użyciu narzędzia wiersza polecenia mpcmdrun.exe).
Skorzystaj z poniższych tabel, aby wyświetlić komunikaty o błędach, które mogą wystąpić, wraz z informacjami o głównej przyczynie i możliwych rozwiązaniach:
Komunikaty o błędach | Przyczynę |
---|---|
Godzina rozpoczęcia: <Day_of_the_week> MM DD RRRR HH:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection ValidateMapsConnection nie może nawiązać połączenia z usługą MAPS (hr=0x80070006 httpcore=451) MpCmdRun.exe: hr = 0x80070006** ValidateMapsConnection nie może nawiązać połączenia z usługą MAPS (hr=0x80072F8F httpcore=451) MpCmdRun.exe: hr = 0x80072F8F ValidateMapsConnection nie może nawiązać połączenia z usługą MAPS (hr=0x80072EFE httpcore=451) MpCmdRun.exe: hr = 0x80072EFE |
Główną przyczyną tych komunikatów o błędach jest to, że urządzenie nie ma skonfigurowanego serwera proxy WinHttp w całym systemie. Jeśli nie ustawisz serwera proxy WinHttp w całym systemie, system operacyjny nie jest świadomy serwera proxy i nie może pobrać listy CRL (system operacyjny to robi, a nie usługa Defender dla punktu końcowego), co oznacza, że połączenia TLS z adresami URL, jak http://cp.wd.microsoft.com/ nie powiedzie się w pełni. Zobaczysz pomyślne połączenia (odpowiedź 200) z punktami końcowymi, ale połączenia USŁUGI MAPS nadal będą kończyć się niepowodzeniem. |
Rozwiązanie | Opis |
---|---|
Rozwiązanie (preferowane) | Skonfiguruj serwer proxy WinHttp dla całego systemu, który umożliwia sprawdzanie listy CRL. |
Rozwiązanie (preferowane 2) | - Konfigurowanie przekierowania adresu URL automatycznej aktualizacji firmy Microsoft dla odłączonych środowisk - Konfigurowanie serwera z dostępem do Internetu w celu pobrania plików CTL - Przekierowywanie adresu URL automatycznej aktualizacji firmy Microsoft dla odłączonych środowisk Przydatne odwołania: — Przejdź do pozycji Konfiguracja komputera Ustawienia > systemu Windows Ustawienia zabezpieczeń Ustawienia > zabezpieczeń Ustawienia weryfikacji ścieżki > certyfikatu Zasady > klucza publicznegoWybierz kartę> Pobieranie sieciWybierz opcję Zdefiniuj te ustawienia> zasadZaznacz, aby wyczyścić pole wyboru Automatycznie aktualizuj certyfikaty w programie certyfikatów głównych firmy Microsoft (zalecane).> - Weryfikacja listy odwołania certyfikatów (CRL) — wybór aplikacji - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
Rozwiązanie obejścia (alternatywa) Nie jest to najlepsze rozwiązanie, ponieważ nie będziesz już sprawdzać przypinania odwołanych certyfikatów ani certyfikatów. |
Wyłącz sprawdzanie listy CRL tylko dla programu SPYNET. Skonfigurowanie tego rejestru SSLOption wyłącza sprawdzanie listy CRL tylko dla raportowania SPYNET. Nie będzie to miało wpływu na inne usługi. W tym celu: Przejdź do pozycji HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) na wartość 0 (szesnastkowa). - 0 — wyłączanie sprawdzania przypinania i odwoływania - 1 — wyłączanie przypinania - 2 — wyłącz tylko kontrole odwołania - 3 — włącz sprawdzanie odwołania i przypinanie (domyślne) |
Próba pobrania fałszywego pliku złośliwego oprogramowania od firmy Microsoft
Możesz pobrać przykładowy plik, który Microsoft Defender program antywirusowy wykryje i zablokuje połączenie z chmurą.
Uwaga
Pobrany plik nie jest dokładnie złośliwym oprogramowaniem. Jest to fałszywy plik przeznaczony do testowania, czy masz prawidłowe połączenie z chmurą.
Jeśli masz prawidłowe połączenie, zostanie wyświetlone ostrzeżenie Microsoft Defender powiadomienia antywirusowego.
Jeśli używasz przeglądarki Microsoft Edge, zostanie również wyświetlony komunikat z powiadomieniem:
Podobny komunikat występuje, jeśli używasz programu Internet Explorer:
Wyświetlanie wykrywania fałszywego złośliwego oprogramowania w aplikacji Zabezpieczenia Windows
Na pasku zadań wybierz ikonę Tarcza, otwórz aplikację Zabezpieczenia Windows. Możesz też wyszukać pozycję Rozpocznij pod kątem zabezpieczeń.
Wybierz pozycję Ochrona przed zagrożeniami & wirusami, a następnie wybierz pozycję Historia ochrony.
W sekcji Zagrożenia poddane kwarantannie wybierz pozycję Zobacz pełną historię , aby zobaczyć wykryte fałszywe złośliwe oprogramowanie.
Uwaga
Wersje Windows 10 przed wersją 1703 mają inny interfejs użytkownika. Zobacz Microsoft Defender Antivirus w aplikacji Zabezpieczenia Windows.
W dzienniku zdarzeń systemu Windows zostanie również wyświetlony identyfikator zdarzenia klienta Windows Defender 1116.
Porada
Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:
Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS
Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac
Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu Android
Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS
Zobacz też
- Konfigurowanie ustawień serwera proxy urządzenia i łączności z Internetem dla Ochrona punktu końcowego w usłudze Microsoft Defender
- Konfigurowanie programu antywirusowego Microsoft Defender i zarządzanie nimi za pomocą ustawień zasady grupy
- Ważne zmiany w punkcie końcowym usług Microsoft Active Protection Services
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla