配置和验证 Microsoft Defender 防病毒软件网络连接
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
平台
- Windows
为了确保Microsoft Defender防病毒云提供的保护正常工作,安全团队必须配置网络,以允许终结点与某些 Microsoft 服务器之间的连接。 本文列出了必须允许使用防火墙规则的连接。 它还提供了有关验证连接的说明。 正确配置保护可确保从云提供的保护服务中获得最大价值。
重要
本文包含有关仅为防病毒Microsoft Defender配置网络连接的信息。 如果使用Microsoft Defender for Endpoint (包括Microsoft Defender防病毒) ,请参阅为 Defender for Endpoint 配置设备代理和 Internet 连接设置。
允许连接到Microsoft Defender防病毒云服务
Microsoft Defender防病毒云服务为终结点提供快速而强大的保护。 启用云提供的保护服务是可选的。 建议Microsoft Defender防病毒云服务,因为它提供针对终结点和网络上恶意软件的重要保护。 有关详细信息,请参阅在 Windows 安全中心 应用中使用 Intune、Microsoft Endpoint Configuration Manager、组策略、PowerShell cmdlet 或单个客户端启用服务的云交付保护。
启用服务后,需要配置网络或防火墙,以允许网络与终结点之间的连接。 由于保护是云服务,因此计算机必须有权访问 Internet 并访问 Microsoft 云服务。 不要从任何类型的网络检查中排除 URL *.blob.core.windows.net 。
注意
Microsoft Defender防病毒云服务为网络和终结点提供更新的保护。 不应将云服务视为仅保护存储在云中的文件;相反,云服务使用分布式资源和机器学习,以比传统安全智能更新更快的速度为终结点提供保护。
服务和 URL
本部分中的表列出了服务及其关联的网站地址 (URL) 。
确保没有拒绝访问这些 URL 的防火墙或网络筛选规则。 否则,必须专门为这些 URL 创建允许规则, (排除 URL *.blob.core.windows.net) 。 下表中的 URL 使用端口 443 进行通信。 某些 URL 还需要 (端口 80,如下表所述。)
| 服务和说明 | URL |
|---|---|
| Microsoft Defender防病毒云提供的保护服务称为 Microsoft Active Protection Service (MAPS) 。 Microsoft Defender防病毒使用 MAPS 服务提供云提供的保护。 |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) 和 Windows 更新 Service (WU) 这些服务允许安全智能和产品更新。 |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.com有关详细信息,请参阅Windows 更新的连接终结点。 |
| 安全智能更新备用下载位置 (ADL) 如果已安装的安全智能已过期 () 七天或更多天,则这是Microsoft Defender防病毒安全智能更新的备用位置。 |
*.download.microsoft.com*.download.windowsupdate.com (端口 80 是必需的) go.microsoft.com (端口 80 是必需的) https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| 恶意软件提交存储 这是通过提交表单或自动示例提交提交到 Microsoft 的文件的上传位置。 |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| 证书吊销列表 (CRL) Windows 在创建与 MAPS 的 SSL 连接以更新 CRL 时使用此列表。 |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| 通用 GDPR 客户端 Windows 使用此客户端发送客户端诊断数据。 Microsoft Defender防病毒使用一般数据保护条例来保证产品质量和监视目的。 |
此更新使用 SSL (TCP 端口 443) 下载清单并将诊断数据上传到使用以下 DNS 终结点的 Microsoft:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
验证网络与云之间的连接
允许列出的 URL 后,测试是否已连接到 Microsoft Defender 防病毒云服务。 测试 URL 是否正确报告和接收信息,以确保你受到完全保护。
使用 cmdline 工具验证云提供的保护
将以下参数与 Microsoft Defender 防病毒命令行实用工具 (mpcmdrun.exe) 来验证网络是否可以与Microsoft Defender防病毒云服务通信:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
注意
以管理员身份打开“命令提示符”。 右键单击 “开始 ”菜单中的项,单击“ 以管理员身份运行 ”,并在权限提示符处单击“ 是 ”。 此命令仅适用于 Windows 10、版本 1703 或更高版本或Windows 11。
有关详细信息,请参阅使用 mpcmdrun.exe 命令行工具管理Microsoft Defender防病毒。
使用下表查看可能遇到的错误消息,以及有关根本原因和可能的解决方案的信息:
| 错误消息 | 根源 |
|---|---|
| 开始时间: <Day_of_the_week> MM DD YYYYY HH:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection ValidateMapsConnection 未能建立与 MAPS (hr=0x80070006 httpcore=451) MpCmdRun.exe:hr = 0x80070006** ValidateMapsConnection 未能建立与 MAPS (hr=0x80072F8F httpcore=451) MpCmdRun.exe:hr = 0x80072F8F ValidateMapsConnection 未能与 MAPS 建立连接, (hr=0x80072EFE httpcore=451) MpCmdRun.exe:hr = 0x80072EFE |
这些错误消息的根本原因是设备未配置其系统范围的 WinHttp 代理。 如果未设置系统范围的 WinHttp 代理,则操作系统不知道代理,并且无法提取 CRL (操作系统执行此操作,而不是 Defender for Endpoint) ,这意味着与类似 URL 的 http://cp.wd.microsoft.com/ TLS 连接不会完全成功。 你将看到成功 (响应 200) 终结点的连接,但 MAPS 连接仍会失败。 |
| 解决方案 | 说明 |
|---|---|
| 解决方案 (首选) | 配置允许 CRL 检查的系统范围的 WinHttp 代理。 |
| 解决方案 (首选 2) | - 安装程序 重定向断开连接环境的 Microsoft 自动更新 URL - 配置有权访问 Internet 的服务器以检索 CTL 文件 - 重定向断开连接环境的 Microsoft 自动更新 URL 有用参考: - 转到“计算机配置>”“Windows 设置”“>安全设置”“公钥>设置>”“证书路径验证设置”>选择“网络检索”选项卡>,选择“定义这些策略设置>”,选中以清除“Microsoft 根证书计划”中的“自动更新证书 (建议) 检查 框。 - 证书吊销列表 (CRL) 验证 - 应用程序选择 - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
| 替代) (解决方法 不是最佳做法,因为你将不再为吊销的证书或证书固定检查。 |
仅对 SPYNET 禁用 CRL 检查。 配置此注册表 SSLOption 仅对 SPYNET 报告禁用 CRL 检查。 它不会影响其他服务。 为此: 转到 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> 将 SSLOptions (dword) 设置为 0 (十六进制) 。 - 0 - 禁用固定和吊销检查 - 1 - 禁用固定 - 2 - 仅禁用吊销检查 - 3 - 启用吊销检查和固定 (默认) |
尝试从 Microsoft 下载虚假恶意软件文件
可以下载一个示例文件,Microsoft Defender防病毒将检测并阻止你是否正确连接到云。
注意
下载的文件并不完全是恶意软件。 它是一个虚假文件,旨在测试是否已正确连接到云。
如果连接正确,你将看到一条警告Microsoft Defender防病毒通知。
如果使用的是 Microsoft Edge,还会看到一条通知消息:
如果使用 Internet Explorer,则会出现类似的消息:
在 Windows 安全中心 应用中查看假恶意软件检测
在任务栏上,选择“盾牌”图标,打开Windows 安全中心应用。 或者,搜索“开始”以获取安全性。
选择“ 病毒 & 威胁防护”,然后选择“ 保护历史记录”。
在“ 隔离的威胁 ”部分下,选择“ 查看完整历史记录 ”以查看检测到的虚假恶意软件。
注意
版本 1703 之前的 Windows 10 版本具有不同的用户界面。 请参阅 Windows 安全中心 应用中Microsoft Defender防病毒。
Windows 事件日志还会显示Windows Defender客户端事件 ID 1116。
提示
如果要查找其他平台的防病毒相关信息,请参阅:
另请参阅
- 为Microsoft Defender for Endpoint配置设备代理和 Internet 连接设置
- 使用组策略设置配置和管理Microsoft Defender防病毒
- Microsoft Active Protection Services 终结点的重要更改
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈