管理 Windows 10 企业版版本 1809 的连接终结点
适用范围
- Windows 10 企业版版本 1809
某些 Windows 组件、应用和相关服务会将数据传输到 Microsoft 网络终结点。 一些示例如下:
- 连接到 Microsoft Office 和 Windows 站点来下载最新的应用和安全更新。
- 连接到电子邮件服务器来发送和接收电子邮件。
- 连接到 Web 以进行日常的 Web 浏览。
- 连接到云来存储和访问备份。
- 使用你的位置来显示天气预报。
本文列出了 Windows 10 版本 1709 和更高版本的干净安装所提供的不同终结点。 请参阅管理 Windows 操作系统组件与 Microsoft 服务之间的连接,详细了解对到这些终结点的流量进行控制的不同方法。 如果适用,本文中介绍的每个终结点都包括一个链接,指向有关如何控制流量的特定详细信息。
我们使用了以下方法来派生这些网络终结点:
- 使用默认设置来设置测试虚拟机上的 Windows 10 最新版本。
- 将设备空闲运行一周 (即,用户不与系统/设备交互)。
- 使用全局接受的网络协议分析器/捕获工具,并记录所有后台出口流量。
- 编译转到公共 IP 地址的流量报告。
- 测试虚拟机已使用本地帐户登录,未加入域或 Azure Active Directory。
- 所有流量均在我们的实验室中通过 IPV4 网络来捕获。 因此,此处未报告 IPV6 流量。
注意
Microsoft 使用可能会出现在网络跟踪路径中的全局负载均衡器。 例如,*.akadns.net 的终结点可能会用于向 Azure 数据中心发出的负载平衡请求,这可能会随时间更改。
Windows 10 企业版连接终结点
应用
以下终结点用于下载对“天气”应用动态磁贴的更新。 如果关闭到此终结点的流量,动态磁贴将不会更新。
| 源进程 | 协议 | 目标 |
|---|---|---|
| 资源管理器 | HTTP | tile-service.weather.microsoft.com |
| HTTP | blob.weather.microsoft.com |
以下终结点用于 OneNote 动态磁贴。 若要关闭此终结点的流量,请卸载 OneNote 或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTPS | cdn.onenote.net/livetile/?Language=en-US |
以下终结点用于 Twitter 更新。 若要关闭这些终结点的流量,请卸载 Twitter 或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTPS | wildcard.twimg.com |
|
| svchost.exe | oem.twimg.com/windows/tile.xml |
以下终结点用于 Facebook 更新。 若要关闭此终结点的流量,请卸载 Facebook 或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
star-mini.c10r.facebook.com |
以下终结点由“照片”应用用于下载配置文件,并连接到 Microsoft 365 管理中心的共享基础架构(包括 Office)。 若要关闭此终结点的流量,请卸载“照片”应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| WindowsApps\Microsoft.Windows.Photos | HTTPS | evoke-windowsservices-tas.msedge.net |
以下终结点用于 Candy Crush Saga 更新。 若要关闭此终结点的流量,请卸载 Candy Crush Saga 或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| TLS v1.2 | candycrushsoda.king.com |
以下终结点用于 Microsoft 电子钱包应用。 若要关闭此终结点的流量,请卸载“电子钱包”应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他应用商店应用。 而且,Microsoft Store 将无法撤销恶意的 Microsoft Store 应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| system32\AppHostRegistrationVerifier.exe | HTTPS | wallet.microsoft.com |
以下终结点由 Groove 音乐应用用于更新 HTTP 处理程序状态。 如果关闭此终结点的流量,网站的应用将无法运行,访问使用关联应用(如 Groove 音乐)注册的网站(如 mediaredirect.microsoft.com)的客户将留在网站上,并且无法直接启动应用。
| 源进程 | 协议 | 目标 |
|---|---|---|
| system32\AppHostRegistrationVerifier.exe | HTTPS | mediaredirect.microsoft.com |
使用 Whiteboard 应用时,将使用以下终结点。 若要关闭此终结点的流量,请禁用 Microsoft Store。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTPS | wbd.ms |
|
| HTTPS | int.whiteboard.microsoft.com |
|
| HTTPS | whiteboard.microsoft.com |
|
| HTTP/HTTPS | whiteboard.ms |
Cortana 和搜索
以下终结点用于获取 Microsoft Store 建议使用的图像。 如果关闭此终结点的流量,将阻止用于 Microsoft Store 建议的图像。
| 源进程 | 协议 | 目标 |
|---|---|---|
| searchui | HTTPS | store-images.s-microsoft.com |
以下终结点用于更新 Cortana 问候语、提示和动态磁贴。 如果关闭此终结点的流量,将阻止对 Cortana 问候语、提示和动态磁贴的更新。
| 源进程 | 协议 | 目标 |
|---|---|---|
| backgroundtaskhost | HTTPS | www.bing.com/client |
以下终结点用于配置参数,例如动态磁贴更新的频率。 此外还用于激活实验。 如果关闭此终结点的流量,参数将不会更新且设备将不会再参与实验。
| 源进程 | 协议 | 目标 |
|---|---|---|
| backgroundtaskhost | HTTPS | www.bing.com/proactive |
以下终结点由 Cortana 用于报告诊断信息和诊断数据信息。 如果关闭此终结点的流量,Microsoft 将无法获知 Cortana 出现的问题,因而无法解决这些问题。
| 源进程 | 协议 | 目标 |
|---|---|---|
| searchui backgroundtaskhost |
HTTPS | www.bing.com/threshold/xls.aspx |
证书
证书是存储在客户端设备上的数字文件,用于加密数据和验证个人或组织的身份。 证书颁发机构 (CA) 颁发的受信任根证书存储在证书信任列表 (CTL) 中。 自动根证书更新机制与 Windows 更新联系以更新 CTL。 如果标识 CTL 的新版本,则本地设备上缓存的受信任根证书列表将更新。 不受信任的证书是服务器证书颁发者未知或不受服务信任的证书。 不受信任的证书也存储在本地设备上的列表中,并通过自动根证书更新机制进行更新。
如果自动更新处于关闭状态,应用程序和网站可能会停止工作,因为它们未收到应用程序使用的更新根证书。 此外,将不再更新不受信任的证书列表,这会增加设备上的攻击途径。
以下终结点被“自动根证书更新”组件用于自动检查 Windows 更新上的受信任颁发机构列表,以确定是否存在可用更新。 可以关闭到此终结点的流量,但不建议这样做,因为当根证书随时间更新时,应用程序和网站可能会由于未收到应用所使用的更新后的根证书而停止运行。
此外,它用于下载众所周知的欺骗性证书。 这些设置对于 Windows 的安全和 Internet 的整体安全都至关重要。 我们不建议阻止此终结点。 如果关闭到此终结点的流量,Windows 不会再自动下载已知的欺骗性证书,这将提高设备上的攻击矢量。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | HTTP | ctldl.windowsupdate.com |
设备身份验证
以下终结点用于验证设备。 如果关闭此终结点的流量,将不会对设备进行身份验证。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTPS | login.live.com/ppsecure |
设备元数据
以下终结点用于检索设备元数据。 如果关闭此终结点的流量,将不会更新设备的元数据。
| 源进程 | 协议 | 目标 |
|---|---|---|
dmd.metaservices.microsoft.com.akadns.net |
||
| HTTP | dmd.metaservices.microsoft.com |
诊断数据
以下终结点由连接用户体验和遥测组件使用,其连接到 Microsoft 数据管理服务。 如果关闭此终结点的流量,诊断和使用情况信息(帮助 Microsoft 查找并解决问题,并改进我们的产品和服务)将不会发送回 Microsoft。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | cy2.vortex.data.microsoft.com.akadns.net |
以下终结点由连接用户体验和遥测组件使用,其连接到 Microsoft 数据管理服务。 如果关闭此终结点的流量,诊断和使用情况信息(帮助 Microsoft 查找并解决问题,并改进我们的产品和服务)将不会发送回 Microsoft。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | HTTPS | v10.vortex-win.data.microsoft.com/collect/v1 |
以下终结点由 Windows 错误报告使用。 若要关闭这些终结点的流量,请启用以下组策略:“管理模板”>“Windows 组件”>“Windows 错误报告”>“禁用 Windows 错误报告”。 这意味着错误报告信息不会发送回 Microsoft。
| 源进程 | 协议 | 目标 |
|---|---|---|
| wermgr | watson.telemetry.microsoft.com |
|
| TLS v1.2 | modern.watson.data.microsoft.com.akadns.net |
字体流式处理
以下终结点用于按需下载字体。 如果关闭这些终结点的流量,将无法按需下载字体。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | fs.microsoft.com |
|
fs.microsoft.com/fs/windows/config.json |
许可
以下终结点用于联机激活和某些应用许可。 若要关闭此终结点的流量,请禁用 Windows 许可证管理器服务。 这还将阻止联机激活,应用许可可能无法工作。
| 源进程 | 协议 | 目标 |
|---|---|---|
| licensemanager | HTTPS | licensing.mp.microsoft.com/v7.0/licenses/content |
位置
以下终结点用于位置数据。 如果 关闭此终结点的流量,应用将无法使用位置数据。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTP | location-inference-westus.cloudapp.net |
|
| HTTPS | inference.location.live.net |
地图
以下终结点用于检查已下载供离线使用的地图的更新。 如果 关闭此终结点的流量,则不会更新脱机地图。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | HTTPS | *g.akamaiedge.net |
Microsoft 帐户
以下终结点用于登录要使用的 Microsoft 帐户。 如果 关闭这些终结点的流量,则用户无法使用 Microsoft 帐户登录。
| 源进程 | 协议 | 目标 |
|---|---|---|
login.msa.akadns6.net |
||
login.live.com |
||
account.live.com |
||
| system32\Auth.Host.exe | HTTPS | auth.gfx.ms |
us.configsvc1.live.com.akadns.net |
Microsoft Store
以下终结点用于 Windows 推送通知服务 (WNS)。 WNS 使第三方开发人员可从自己的云服务发送 Toast、磁贴、锁屏提醒和原始更新。 这提供了一种高效而可靠地向用户提供新更新的机制。 如果关闭此终结点的流量,推送通知将无法再工作,包括 MDM 设备管理、邮件同步、设置同步。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTPS | *.wns.windows.com |
以下终结点用于撤销 Microsoft Store 中恶意应用的许可证。 若要关闭此终结点的流量,请卸载该应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他Microsoft Store应用。 而且,Microsoft Store 将无法撤销恶意应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTP | storecatalogrevocation.storequality.microsoft.com |
以下终结点用于下载应用程序(Microsoft Store 或收件箱 MSN 应用)运行时调用的图像文件。 如果 关闭这些终结点的流量,则不会下载映像文件,并且无法从Microsoft Store安装或更新应用。 而且,Microsoft Store 将无法撤销恶意应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTPS | img-prod-cms-rt-microsoft-com.akamaized.net |
|
| backgroundtransferhost | HTTPS | store-images.microsoft.com |
以下终结点用于与 Microsoft Store 通信。 如果 关闭这些终结点的流量,则无法从Microsoft Store安装或更新应用。 而且,Microsoft Store 将无法撤销恶意应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTP | storeedgefd.dsx.mp.microsoft.com |
|
| TLS v1.2 | cy2.*.md.mp.microsoft.com.*. |
|
| svchost | HTTPS | displaycatalog.mp.microsoft.com |
网络连接状态指示器 (NCSI)
网络连接状态指示器 (NCSI) 检测到 Internet 连接和公司网络连接状态。 NCSI 会向此终结点发送 DNS 请求和 HTTP 查询,以确定该设备是否可以与 Internet 通信。 如果 关闭此终结点的流量,NCSI 将无法确定设备是否已连接到 Internet,表示网络状态托盘的图标将显示警告。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTP | www.msftconnecttest.com/connecttest.txt |
Office
以下终结点用于连接到 Microsoft 365 管理中心的共享基础架构(包括 Office)。 有关详细信息,请参阅 Office 365 URL 和 IP 地址范围。 可以通过删除所有 Microsoft Office 应用以及“邮件”和“日历”应用来关闭此终结点。 如果关闭这些终结点的流量,用户会无法将文档保存到云或无法查看最近使用的文档。
| 源进程 | 协议 | 目标 |
|---|---|---|
*.a-msedge.net |
||
| hxstr | *.c-msedge.net |
|
*.e-msedge.net |
||
*.s-msedge.net |
||
| HTTPS | ocos-office365-s2s.msedge.net |
|
| HTTPS | nexusrules.officeapps.live.com |
|
| HTTPS | officeclient.microsoft.com |
以下终结点用于连接到 Microsoft 365 管理中心的共享基础架构(包括 Office)。 有关详细信息,请参阅 Office 365 URL 和 IP 地址范围。 可以通过删除所有 Microsoft Office 应用以及“邮件”和“日历”应用来关闭此终结点。 如果关闭这些终结点的流量,用户会无法将文档保存到云或无法查看最近使用的文档。
| 源进程 | 协议 | 目标 |
|---|---|---|
| system32\Auth.Host.exe | HTTPS | outlook.office365.com |
以下终结点是用于获取 Office 应用的元数据的 OfficeHub 流量。 若要关闭此终结点的流量,请卸载该应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他Microsoft Store应用。 而且,Microsoft Store 将无法撤销恶意应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| Windows Apps\Microsoft.Windows.Photos | HTTPS | client-office365-tas.msedge.net |
以下终结点用于将“Office 待办事项”应用连接到其云服务。 若要关闭此终结点的流量,请卸载该应用或禁用 Microsoft Store。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTPS | to-do.microsoft.com |
OneDrive
以下终结点是用于自动更新 URL 的重定向服务。 如果关闭此终结点的流量,依赖 g.live.com 获取更新的 URL 信息的任何功能都不再工作。
| 源进程 | 协议 | 目标 |
|---|---|---|
| OneDrive | HTTP \ HTTPS | g.live.com/1rewlive5skydrive/ODSUProduction |
以下终结点由 OneDrive for Business 用于下载和验证应用更新。 有关详细信息,请参阅 Office 365 URL 和 IP 地址范围。 若要关闭此终结点的流量,请卸载 OneDrive for Business。 在这种情况下,设备将无法获取OneDrive for Business应用更新。
| 源进程 | 协议 | 目标 |
|---|---|---|
| OneDrive | HTTPS | oneclient.sfx.ms |
设置
应用可使用以下终结点动态地更新其配置。 System Initiated User Feedback 和 Xbox 应用等会使用它。 如果关闭此终结点的流量,使用此终结点的应用可能停止工作。
| 源进程 | 协议 | 目标 |
|---|---|---|
| dmclient | cy2.settings.data.microsoft.com.akadns.net |
应用可使用以下终结点动态地更新其配置。 System Initiated User Feedback 和 Xbox 应用等会使用它。 如果关闭此终结点的流量,使用此终结点的应用可能停止工作。
| 源进程 | 协议 | 目标 |
|---|---|---|
| dmclient | HTTPS | settings.data.microsoft.com |
应用可使用以下终结点动态地更新其配置。 Windows Connected User Experiences 和遥测组件以及 Windows 预览体验计划等会使用它。 如果关闭此终结点的流量,使用此终结点的应用可能停止工作。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | HTTPS | settings-win.data.microsoft.com |
Skype
以下终结点用于检索 Skype 的配置值。 若要关闭此终结点的流量,请卸载该应用或禁用 Microsoft Store。 如果禁用 Microsoft Store,则无法安装或更新其他Microsoft Store应用。 而且,Microsoft Store 将无法撤销恶意应用,用户仍然能够将其打开。
| 源进程 | 协议 | 目标 |
|---|---|---|
| microsoft.windowscommunicationsapps.exe | HTTPS | config.edge.skype.com |
| HTTPS | browser.pipe.aria.microsoft.com |
|
skypeecs-prod-usw-0-b.cloudapp.net |
Windows Defender
以下终结点在启用基于云的保护时用于 Windows Defender。 如果 关闭此终结点的流量,设备将不会使用基于云的保护。 有关 Microsoft Defender 防病毒云服务连接的详细列表,请参阅允许连接至 Microsoft Defender 防病毒云服务。
| 源进程 | 协议 | 目标 |
|---|---|---|
wdcp.microsoft.com |
以下终结点用于 Windows Defender 的定义更新。 如果 关闭这些终结点的流量,则不会更新定义。
| 源进程 | 协议 | 目标 |
|---|---|---|
definitionupdates.microsoft.com |
||
| MpCmdRun.exe | HTTPS | go.microsoft.com |
以下终结点用于 Windows Defender SmartScreen 报告和通知。 如果关闭这些终结点的流量,将不会显示 Windows Defender Smartscreen 通知。
| 源进程 | 协议 | 目标 |
|---|---|---|
| HTTPS | ars.smartscreen.microsoft.com |
|
| HTTPS | unitedstates.smartscreen-prod.microsoft.com |
|
smartscreen-sn3p.smartscreen.microsoft.com |
Windows 精品聚焦
以下终结点用于检索描述内容的 Windows 聚焦元数据,例如对图像位置的引用、建议的应用、Microsoft 帐户通知和 Windows 提示。 如果关闭这些终结点的流量,Windows 聚焦仍会尝试提供新的锁屏界面图像和更新的内容,但会失败;建议的应用、Microsoft 帐户通知和 Windows 提示将不会下载。 有关详细信息,请参阅 Windows 聚焦。
| 源进程 | 协议 | 目标 |
|---|---|---|
| backgroundtaskhost | HTTPS | arc.msn.com |
| backgroundtaskhost | g.msn.com.nsatc.net |
|
| TLS v1.2 | *.search.msn.com |
|
| HTTPS | ris.api.iris.microsoft.com |
|
| HTTPS | query.prod.cms.rt.microsoft.com |
Windows 更新
以下终结点用于应用和操作系统更新的 Windows 更新下载,包括 HTTP 下载或与对等方混合的 HTTP 下载。 如果关闭此终结点的流量,因为用于让下载更具复原能力的关键元数据将被阻止,将不会管理 Windows 更新的下载。 下载可能会受到损坏(导致完整文件重新下载)的影响。 此外,同一本地网络上多个设备下载同一更新不会使用对等设备来减少带宽。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | HTTPS | *.prod.do.dsp.mp.microsoft.com |
以下终结点用于从 Microsoft Store 下载操作系统补丁、更新和应用。 如果关闭这些终结点的流量,设备将无法下载操作系统的更新。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | HTTP | *.windowsupdate.com |
| svchost | HTTP | *.dl.delivery.mp.microsoft.com |
以下终结点启用与 Windows 更新、Microsoft 更新和 Microsoft Store 在线服务的连接。 如果关闭这些终结点的流量,设备将无法连接到 Windows 更新和 Microsoft 更新来帮助保护设备的安全。 而且,设备将无法从 Microsoft Store 获取和更新应用。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | HTTPS | *.update.microsoft.com |
| svchost | HTTPS | *.delivery.mp.microsoft.com |
这些内容取决于是否启用以下各项:
以下终结点用于内容监管。 如果关闭此终结点的流量,Windows 更新代理将无法联系此终结点,从而采取回退行为。 这可能导致内容被错误下载或根本不下载。
| 源进程 | 协议 | 目标 |
|---|---|---|
| svchost | HTTPS | tsfe.trafficshaping.dsp.mp.microsoft.com |
Microsoft 正向链接重定向服务 (FWLink)
以下终结点被 Microsoft 正向链接重定向服务 (FWLink) 用来将永久的 Web 链接重定向到其实际的 URL(有时是暂时性的)。 FWlink 类似于 URL 缩短器,只不过会更长一些。
如果禁用此终结点,Windows Defender 将无法更新其恶意软件定义;Windows 及其他 Microsoft 产品的 Web 链接将失效;而且 PowerShell 的可更新帮助将不会更新。 若要禁用此流量,应改为禁用正向的流量。
| 源进程 | 协议 | 目标 |
|---|---|---|
| 各种 | HTTPS | go.microsoft.com |
其他 Windows 10 版本
若要查看其他版本 Windows 10 企业版的终结点,请参阅: