適用於:
- Microsoft Defender 防毒軟體
重要事項
本文包含只針對 Microsoft Defender 防病毒軟體設定網路連線的相關信息,但不使用 適用於端點的 Microsoft Defender。 如果您使用包含 Microsoft Defender 防病毒軟體) 的 適用於端點的 Microsoft Defender (,請參閱設定適用於端點的 Defender 的裝置 Proxy 和因特網連線設定。
平台
- Windows
為了確保 Microsoft Defender 防病毒軟體雲端式保護能正常運作,您的安全性小組必須設定您的網路,以允許端點與特定Microsoft伺服器之間的連線。 本文列出哪些目的地可供存取。 它也提供驗證連線的指示。 正確設定連線能力可確保您從 Microsoft Defender 防病毒軟體雲端式保護服務獲得最佳價值。
允許連線到 Microsoft Defender 防病毒軟體雲端服務
Microsoft Defender 防病毒軟體雲端服務可為您的端點提供快速、強大的保護。 雖然啟用和使用 Microsoft Defender 防病毒軟體所提供的雲端式保護服務是選擇性的,但強烈建議您這麼做,因為它可針對端點和網路上新興的威脅提供重要且及時的保護。 如需詳細資訊,請參閱啟用雲端式保護,其說明如何使用 Intune、Microsoft端點 Configuration Manager、群組原則、PowerShell Cmdlet 或 Windows 安全性 應用程式中的個別客戶端來啟用服務。
啟用服務之後,您必須設定網路或防火牆,以允許網路與端點之間的連線。 計算機必須能夠存取因特網,並觸達Microsoft雲端服務,才能正常運作。
注意事項
Microsoft Defender 防病毒軟體雲端服務會為您的網路和端點提供更新的保護。 雲端服務不應被視為保護或防止儲存在雲端中的檔案;相反地,雲端服務會使用分散式資源和機器學習,以比傳統安全情報更新更快的速度為端點提供保護,並適用於檔案型和無檔案威脅,無論其來源為何。
服務和 URL
本節中的表格列出服務及其相關聯的網站位址 (URL) 。
請確定沒有任何防火牆或網路篩選規則拒絕存取這些 URL。 否則,您必須特別為這些 URL 建立允許規則。 下表中的 URL 會使用通訊埠 443 。 某些 URL 也需要 (埠 80 ,如下表所述。)
| 服務和描述 | URL |
|---|---|
| Microsoft Defender 防病毒軟體雲端式保護服務稱為 Microsoft Active Protection Service (MAPS) 。 Microsoft Defender 防病毒軟體會使用MAPS服務來提供雲端式保護。 |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) 和 Windows Update Service (WU) 這些服務允許安全性情報和產品更新。 |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.com如需詳細資訊,請參閱適用於 Windows Update 的連線端點。 |
| 安全性情報更新 ADL (替代下載位置) 如果安裝的安全性情報 () 后七天以上過期,則這是 Microsoft Defender 防病毒軟體安全情報更新的替代位置。 |
*.download.microsoft.com*.download.windowsupdate.com (需要埠 80) go.microsoft.com (需要埠 80) https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| 惡意代碼提交記憶體 這是透過提交窗體或自動提交範例提交,提交至Microsoft檔案的上傳位置。 |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| CRL) (證書吊銷清單 Windows 會在建立 MAPS 的 SSL 連線以更新 CRL 時使用此清單。 |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| 通用GDPR用戶端 Windows 會使用此客戶端來傳送客戶端診斷數據。 Microsoft Defender 防病毒軟體會針對產品品質和監視用途使用一般數據保護規定。 |
更新會使用 SSL (TCP 連接埠 443) 來下載指令清單,並將診斷數據上傳至使用下列 DNS 端點的Microsoft:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
驗證網路與雲端之間的連線
允許列出的 URL 之後,請測試您是否已連線到 Microsoft Defender 防病毒軟體雲端服務。 測試 URL 是否正確報告和接收資訊,以確保您受到完整保護。
使用 Cmdline 工具來驗證雲端式保護
使用下列自變數搭配 Microsoft Defender 防病毒軟體命令行公用程式 (mpcmdrun.exe) ,以確認您的網路可以與 Microsoft Defender 防病毒軟體雲端服務通訊:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
注意事項
以系統管理員身分開啟 [命令提示字元]。 以滑鼠右鍵按兩下 [ 開始 ] 選單中的項目,按兩下 [ 以系統管理員身分 執行],然後在許可權提示字元中按兩下 [ 是 ]。 此命令僅適用於 Windows 10 版本 1703 或更新版本,或 Windows 11。
如需詳細資訊,請參閱使用 mpcmdrun.exe 命令行工具管理 Microsoft Defender 防病毒軟體。
錯誤訊息
以下是一些您可能會看到的錯誤訊息:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
根源
這些錯誤訊息的根本原因是裝置未設定其全 WinHttp 系統 Proxy。 如果您未設定此 Proxy,則作系統並不知道 Proxy,且無法擷取 CRL (作系统执行此动作,而非適用於端點的 Defender) ,這表示 TLS 連線到類似 http://cp.wd.microsoft.com/ 的 URL 不會成功。 您會看到成功 (回應 200) 端點的連線,但 MAPS 連線仍會失敗。
解決方案
下表列出解決方案:
| 解決方案 | 描述 |
|---|---|
| 解決方案 (慣用) | 設定允許CRL檢查的全系統 WinHttp Proxy。 |
| 解決方案 (慣用 2) | 1.移至 [計算機設定>] [Windows 設定] [安全性>設定]> [公鑰原則>憑證路徑驗證設定]。 2.選取 [ 網络擷取] 索引 標籤,然後選取 [定義這些原則設定]。 3.清除 [ Microsoft跟證書計劃] 中的 [自動更新憑證 (建議) ] 複選框。 以下是一些有用的資源: - 設定受信任的根目錄和不允許的憑證 - 改善應用程式啟動時間:Machine.config中的 GeneratePublisherEvidence 設定 |
| 替代) (因應解決方案 這不是最佳做法,因為您不再檢查是否已撤銷憑證或憑證釘選。 |
僅停用SPYNET的CRL檢查。 設定此登錄 SSLOption 只會針對 SPYNET 報告停用 CRL 檢查。 它不會影響其他服務。 移至 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet,然後將 設定為 SSLOptions (dword)2 (十六進位) 。 如需參考,以下是 DWORD 的可能值: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
嘗試從 Microsoft 下載假的惡意代碼檔案
如果您已正確連線到雲端,您可以下載 Microsoft Defender 防病毒軟體將會偵測並封鎖的範例檔案。
注意事項
下載的檔案不完全是惡意代碼。 這是一個假的檔案,其設計目的是要測試您是否已正確連線到雲端。
如果您已正確連線,您會看到防病毒軟體通知 Microsoft Defender 警告。
如果您使用 Microsoft Edge,您也會看到通知訊息:
如果您使用 Internet Explorer,則會發生類似的訊息:
檢視 Windows 安全性 應用程式中的假惡意代碼偵測
在任務欄上,選取 [防護] 圖示,開啟 Windows 安全性 應用程式。 或者,搜尋 [開始 ] 以取得 安全性。
選 取 [病毒 & 威脅防護],然後選取 [ 保護歷程記錄]。
在 [ 隔離的威脅 ] 區段下,選取 [查看完整歷程記錄 ] 以查看偵測到的假惡意代碼。
注意事項
1703 版之前的 Windows 10 版本有不同的使用者介面。 請參閱 Windows 安全性 應用程式中的 Microsoft Defender 防病毒軟體。
Windows 事件記錄檔也會顯示 Windows Defender 用戶端事件識別碼 1116。
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
另請參閱
- 設定 適用於端點的 Microsoft Defender的裝置 Proxy 和因特網連線設定
- 使用群組原則設定來設定和管理 Microsoft Defender 防毒軟體
- Microsoft Active Protection Services 端點的重要變更
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。