Настройка и проверка сетевого подключения антивирусной программы "Защитник Windows"

  • Статья

Область применения:

Платформы

  • Windows

Чтобы обеспечить правильность работы Microsoft Defender антивирусной облачной защиты, команда безопасности должна настроить сеть, чтобы разрешить подключения между конечными точками и определенными серверами Майкрософт. В этой статье перечислены подключения, которые должны быть разрешены для использования правил брандмауэра. В нем также содержатся инструкции по проверке подключения. Правильная настройка защиты гарантирует, что вы получите наилучшую ценность от облачных служб защиты.

Важно!

Эта статья содержит сведения о настройке сетевых подключений только для Microsoft Defender антивирусной программы. Если вы используете Microsoft Defender для конечной точки (включая антивирусную программу Microsoft Defender), см. статью Настройка параметров прокси-сервера устройства и подключения к Интернету для Defender для конечной точки.

Разрешить подключения к облачной службе антивирусной Microsoft Defender

Облачная служба антивирусной программы Microsoft Defender обеспечивает быструю и надежную защиту конечных точек. Включить облачную службу защиты необязательно. рекомендуется Microsoft Defender облачная служба антивирусной программы, так как она обеспечивает важную защиту от вредоносных программ в конечных точках и сети. Дополнительные сведения см. в статье Включение облачной защиты для включения службы с помощью Intune, microsoft Endpoint Configuration Manager, групповая политика, командлетов PowerShell или отдельных клиентов в приложении Безопасность Windows.

После включения службы необходимо настроить сеть или брандмауэр, чтобы разрешить подключения между сетью и конечными точками. Так как защита является облачной службой, компьютеры должны иметь доступ к Интернету и обращаться к облачным службам Майкрософт. Не исключайте URL-адрес *.blob.core.windows.net из любой проверки сети.

Примечание.

Облачная служба антивирусной программы Microsoft Defender обеспечивает обновленную защиту сети и конечных точек. Облачная служба не должна рассматриваться как защита только для файлов, хранящихся в облаке; Вместо этого облачная служба использует распределенные ресурсы и машинное обучение для обеспечения защиты конечных точек быстрее, чем традиционные обновления аналитики безопасности.

Службы и URL-адреса

В таблице в этом разделе перечислены службы и связанные с ними адреса веб-сайтов (URL-адреса).

Убедитесь, что нет правил фильтрации брандмауэра или сети, запрещающих доступ к этим URL-адресам. В противном случае необходимо создать правило разрешения специально для этих URL-адресов (за исключением URL-адреса *.blob.core.windows.net). URL-адреса в следующей таблице используют порт 443 для связи. (Порт 80 также требуется для некоторых URL-адресов, как указано в следующей таблице.)

Служба и описание URL-адрес
Microsoft Defender антивирусная облачная служба защиты называется Microsoft Active Protection Service (MAPS).
антивирусная программа Microsoft Defender использует службу MAPS для обеспечения облачной защиты.		 *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Служба Центра обновления Майкрософт (MU) и служба клиентский компонент Центра обновления Windows (WU)
Эти службы поддерживают аналитику безопасности и обновления продуктов.		 *.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Дополнительные сведения см. в статье Конечные точки подключения для клиентский компонент Центра обновления Windows.
Альтернативное расположение загрузки обновлений аналитики безопасности (ADL)
Это альтернативное расположение для Microsoft Defender обновлений антивирусной аналитики безопасности, если установленная аналитика безопасности устарела (отстает от семи дней или более).		 *.download.microsoft.com
*.download.windowsupdate.com (Требуется порт 80)
go.microsoft.com (Требуется порт 80)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Хранилище отправки вредоносных программ
Это расположение для отправки файлов, отправленных в корпорацию Майкрософт с помощью формы отправки или автоматической отправки образцов.		 ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Список отзыва сертификатов (CRL)
Windows использует этот список при создании SSL-подключения к MAPS для обновления списка отзыва сертификатов.		 http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Универсальный клиент GDPR
Windows использует этот клиент для отправки диагностических данных клиента.

Microsoft Defender антивирусная программа использует Общий регламент по защите данных для качества продукции и мониторинга.		 Обновление использует ПРОТОКОЛ SSL (TCP-порт 443) для скачивания манифестов и отправки диагностических данных в корпорацию Майкрософт, которая использует следующие конечные точки DNS:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Проверка подключений между сетью и облаком

После разрешения перечисленных URL-адресов проверьте, подключены ли вы к облачной службе Microsoft Defender антивирусной программы. Убедитесь, что URL-адреса правильно передают и получают сведения, чтобы убедиться, что вы полностью защищены.

Проверка облачной защиты с помощью средства cmdline

Используйте следующий аргумент со служебной программой командной строки антивирусной программы Microsoft Defender (mpcmdrun.exe), чтобы убедиться, что сеть может взаимодействовать с облачной службой антивирусной программы Microsoft Defender:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Примечание.

Откройте окно командной строки от имени администратора. Щелкните правой кнопкой мыши элемент в меню "Пуск" , выберите Запуск от имени администратора и выберите да в запросе разрешений. Эта команда будет работать только в Windows 10 версии 1703 или более поздней или Windows 11.

Дополнительные сведения см. в статье Управление антивирусной программой Microsoft Defender с помощью средства командной строки mpcmdrun.exe.

Используйте приведенные ниже таблицы, чтобы просмотреть сообщения об ошибках, которые могут возникнуть, а также сведения о первопричине и возможных решениях.

Сообщения об ошибках Причину
Время начала: <Day_of_the_week> ММ ДД ГГГГ ЧЧ:ММ:СС
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection не удалось установить подключение к MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006**

ValidateMapsConnection не удалось установить подключение к MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F

ValidateMapsConnection не удалось установить подключение к MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE		 Основная причина таких сообщений об ошибках заключается в том, что на устройстве не настроен прокси-сервер WinHttp для всей системы. Если вы не настроили прокси-сервер WinHttp для всей системы, операционная система не знает о прокси-сервере и не может получить список отзыва сертификатов (это делает операционная система, а не Defender для конечной точки), что означает, что подключения TLS к URL-адресам, таким как http://cp.wd.microsoft.com/ , не будут полностью успешными. Вы увидите успешные (ответ 200) подключения к конечным точкам, но подключения MAPS по-прежнему завершатся ошибкой.
Решение Описание
Решение (предпочтительное) Настройте общесистемный прокси-сервер WinHttp, который позволяет проверка CRL.
Решение (предпочтительное 2) - Настройка перенаправляет URL-адрес автоматического обновления Майкрософт для отключенной среды
- Настройка сервера с доступом к Интернету для получения файлов CTL
- Перенаправление URL-адреса автоматического обновления Майкрософт для отключенной среды

Полезные ссылки:
Перейдите в раздел Конфигурация > компьютера Параметры > Windows Параметры безопасности Политики открытых > ключей > Параметры проверки пути к сертификату Выберите>вкладку> Получение сетиВыберите определить эти параметры> политикиВыберите, чтобы очистить флажок Автоматическое обновление сертификатов в проверка программы корневых сертификатов Майкрософт (рекомендуется).
- Проверка списка отзыва сертификатов (CRL) — выбор приложения
- https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows
- https://technet.microsoft.com/library/dn265983(v=ws.11).aspx
- /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/
Решение для обхода (альтернатива)
Не рекомендуется, так как вы больше не будете проверка для отозванных сертификатов или закрепления сертификатов.		 Отключите CRL проверка только для SPYNET.
Настройка этого реестра SSLOption отключает проверка CRL только для отчетов SPYNET. Это не повлияет на другие службы.

Для этого:
Перейдите в раздел HKLM\SOFTWARE\Policies\Microsoft\Защитник Windows\Spynet>, задайте для параметра SSLOptions (dword) значение 0 (шестнадцатеричный).
- 0 — отключение проверок закрепления и отзыва
- 1 — отключить закрепление
- 2 — отключить только проверки отзыва
- 3 — включение проверок отзыва и закрепление (по умолчанию)

Попытка скачать поддельный файл вредоносных программ из Корпорации Майкрософт

Вы можете скачать пример файла, который Microsoft Defender антивирусная программа обнаружит и заблокит, если вы правильно подключены к облаку.

Примечание.

Скачанный файл не является точно вредоносной программой. Это поддельный файл, предназначенный для проверки правильности подключения к облаку.

Если вы правильно подключены, вы увидите предупреждение Microsoft Defender уведомление антивирусной программы.

Если вы используете Microsoft Edge, вы также увидите уведомление:

Уведомление об обнаружении вредоносных программ в Edge

Аналогичное сообщение возникает, если вы используете интернет-Обозреватель:

Уведомление антивирусной программы Microsoft Defender об обнаружении вредоносных программ

Просмотр обнаружения поддельных вредоносных программ в приложении Безопасность Windows

  1. На панели задач щелкните значок Щит, откройте приложение Безопасность Windows. Или выполните поиск на начальном экране по запросу Безопасность.

  2. Выберите Антивирусная & защита от угроз, а затем выберите Журнал защиты.

  3. В разделе Угрозы, помещенные в карантин , выберите Просмотреть полный журнал , чтобы просмотреть обнаруженные поддельные вредоносные программы.

    Примечание.

    Версии Windows 10 до версии 1703 имеют другой пользовательский интерфейс. См. статью Антивирусная программа Microsoft Defender в приложении Безопасность Windows.

    В журнале событий Windows также будет отображаться Защитник Windows событие клиента с идентификатором 1116.

Совет

Если вам нужны сведения об антивирусной программе для других платформ, см.:

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.