Del via


Konfigurer og valider Microsoft Defender Antivirus netværksforbindelser

Gælder for:

Platforme

  • Windows

For at sikre at Microsoft Defender Cloud-leveret beskyttelse fungerer korrekt, skal sikkerhedsteamet konfigurere dit netværk, så det tillader forbindelser mellem dine slutpunkter og visse Microsoft-servere. Denne artikel indeholder en liste over forbindelser, der skal være tilladt ved brug af firewallreglerne. Den indeholder også instruktioner til validering af forbindelsen. Konfiguration af din beskyttelse korrekt sikrer, at du får den bedste værdi fra dine skybaserede beskyttelsestjenester.

Vigtigt!

Denne artikel indeholder oplysninger om konfiguration af netværksforbindelser kun for Microsoft Defender Antivirus. Hvis du bruger Microsoft Defender for Endpoint (hvilket omfatter Microsoft Defender Antivirus), skal du se Konfigurer indstillinger for enhedsproxy og internetforbindelse for Defender for Endpoint.

Tillad forbindelser til cloudtjenesten Microsoft Defender Antivirus

Cloudtjenesten Microsoft Defender Antivirus sikrer hurtig og stærk beskyttelse af dine slutpunkter. Det er valgfrit at aktivere den skybaserede beskyttelsestjeneste. Microsoft Defender Cloud Service antivirus anbefales, da den giver vigtig beskyttelse mod malware på dine slutpunkter og netværk. Du kan finde flere oplysninger under Aktivér skybaseret beskyttelse for at aktivere tjenesten med Intune, Microsoft Endpoint Configuration Manager, Gruppepolitik, PowerShell-cmdlet'er eller individuelle klienter i appen Windows Sikkerhed.

Når du har aktiveret tjenesten, skal du konfigurere netværket eller firewallen for at tillade forbindelser mellem netværket og dine slutpunkter. Da din beskyttelse er en cloudtjeneste, skal computere have adgang til internettet og kontakte Microsofts cloudtjenester. Udelad ikke URL-adressen *.blob.core.windows.net fra nogen form for netværksinspektion.

Bemærk!

Cloudtjenesten Microsoft Defender Antivirus leverer opdateret beskyttelse til dit netværk og dine slutpunkter. Cloudtjenesten bør ikke betragtes som kun beskyttelse af dine filer, der er gemt i cloudmiljøet. Cloudtjenesten bruger i stedet distribuerede ressourcer og maskinel indlæring til at levere beskyttelse til dine slutpunkter hurtigere end de traditionelle Sikkerhedsintelligensopdateringer.

Tjenester og URL-adresser

Tabellen i dette afsnit indeholder en liste over tjenester og deres tilknyttede webstedsadresser (URL-adresser).

Sørg for, at der ikke er nogen regler for firewall- eller netværksfiltrering, der nægter adgang til disse URL-adresser. Ellers skal du oprette en tilladelsesregel specifikt for disse URL-adresser (undtagen URL-adressen *.blob.core.windows.net). URL-adresserne i følgende tabel bruger port 443 til kommunikation. (Port 80 er også påkrævet for nogle URL-adresser, som nævnt i følgende tabel).

Tjeneste og beskrivelse URL
Microsoft Defender Antivirus cloud-leveret beskyttelsestjeneste kaldes Microsoft Active Protection Service (MAPS).
Microsoft Defender Antivirus bruger MAPS-tjenesten til at yde skybaseret beskyttelse.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) og Windows Update Service (WU)
Disse tjenester tillader sikkerhedsintelligens og produktopdateringer.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Du kan finde flere oplysninger under Forbindelsesslutpunkter for Windows Update.
ADL (Security Intelligence Updates Alternate Download Location)
Dette er en alternativ placering til Microsoft Defender Antivirus Security Intelligence-opdateringer, hvis den installerede Sikkerhedsintelligens er forældet (syv eller flere dage bagud).
*.download.microsoft.com
*.download.windowsupdate.com (Port 80 er påkrævet)
go.microsoft.com (Port 80 er påkrævet)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Lager til indsendelse af malware
Dette er en placering til overførsel af filer, der er sendt til Microsoft via indsendelsesformularen eller automatisk eksempelafsendelse.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Liste over tilbagekaldte certifikater (CRL)
Windows bruger denne liste, mens du opretter SSL-forbindelsen til MAPS til opdatering af liste over tilbagekaldte certifikater.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Universel GDPR-klient
Windows bruger denne klient til at sende klientdiagnosticeringsdata.

Microsoft Defender Antivirus bruger den generelle forordning om databeskyttelse til produktkvalitet og overvågning.
Opdateringen bruger SSL (TCP Port 443) til at downloade manifester og overføre diagnosticeringsdata til Microsoft, der bruger følgende DNS-slutpunkter:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Valider forbindelser mellem dit netværk og cloudmiljøet

Når du har tilladt de angivne URL-adresser, skal du teste, om du har forbindelse til cloudtjenesten Microsoft Defender Antivirus. Test, at URL-adresserne rapporterer korrekt og modtager oplysninger for at sikre, at du er fuldt beskyttet.

Brug cmdlineværktøjet til at validere skybaseret beskyttelse

Brug følgende argument sammen med kommandolinjeværktøjet Microsoft Defender Antivirus (mpcmdrun.exe) til at bekræfte, at netværket kan kommunikere med cloudtjenesten Microsoft Defender Antivirus:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Bemærk!

Åbn kommandoprompt som administrator. Højreklik på elementet i menuen Start , klik på Kør som administrator , og klik på Ja i tilladelsesprompten. Denne kommando fungerer kun på Windows 10, version 1703 eller nyere eller Windows 11.

Du kan få flere oplysninger under Administrer Microsoft Defender Antivirus med kommandolinjeværktøjet mpcmdrun.exe.

Fejlmeddelelser

Her er nogle fejlmeddelelser, som du kan se:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Rodårsager

Hovedårsagen til disse fejlmeddelelser er, at enheden ikke har konfigureret proxyen for hele WinHttp systemet. Hvis du ikke angiver denne proxy, er operativsystemet ikke bekendt med proxyen og kan ikke hente listelisten (operativsystemet gør dette, ikke Defender for Endpoint), hvilket betyder, at TLS-forbindelser til URL-adresser som http://cp.wd.microsoft.com/ ikke lykkes. Du får vist vellykkede forbindelser (svar 200) til slutpunkterne, men MAPS-forbindelserne vil stadig mislykkes.

Løsninger

I følgende tabel vises løsninger:

Løsning Beskrivelse
Løsning (foretrukket) Konfigurer den WinHttp-proxy for hele systemet, der tillader kontrol af sikkerhed på rækkeniveau.
Løsning (foretrukket 2) 1. Gå til Computerkonfiguration>Windows-indstillinger>Sikkerhedsindstillinger> Politikker >for offentlige nøglerValideringsindstillinger for certifikatsti.
2. Vælg fanen Netværkshentning , og vælg derefter Definer disse politikindstillinger.
3. Fjern markeringen i afkrydsningsfeltet Opdater automatisk certifikater i Microsoft Root Certificate Program (anbefales).

Her er nogle nyttige ressourcer:
- Konfigurer rodcertifikater, der er tillid til, og certifikater, der ikke er tilladt
- Forbedring af programstarttid: Opret indstillingenPublisherEvidence i Machine.config
Løsning, der kan omgås (alternativ)
Dette er ikke bedste praksis, da du ikke længere søger efter tilbagekaldte certifikater eller certifikatfastgørelse.
Deaktiver kun kontrol af sikkerhed på rækkeniveau for SPYNET.
Konfiguration af denne SSLOption i registreringsdatabasen deaktiverer kun kontrol af sikkerhed på rækkeniveau for SPYNET-rapportering. Det påvirker ikke andre tjenester.

Gå til HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, og angiv SSLOptions (dword) derefter til 2 (hex).
Du kan se følgende mulige værdier for DWORD:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Forsøg på at downloade en falsk malwarefil fra Microsoft

Du kan downloade en eksempelfil, som Microsoft Defender Antivirus registrerer og blokerer, hvis du har korrekt forbindelse til skyen.

Bemærk!

Den downloadede fil er ikke ligefrem malware. Det er en falsk fil, der er designet til at teste, om du har korrekt forbindelse til cloudmiljøet.

Hvis du har forbindelse korrekt, får du vist en advarsel Microsoft Defender Antivirus-meddelelse.

Hvis du bruger Microsoft Edge, får du også vist en meddelelse:

Meddelelsen om, at malware blev fundet i Edge

Der forekommer en lignende meddelelse, hvis du bruger Internet Explorer:

Microsoft Defender Antivirus-meddelelsen om, at der blev fundet malware

Få vist registrering af falsk malware i din Windows Sikkerhed-app

  1. Vælg ikonet Skjold på proceslinjen, og åbn appen Windows Sikkerhed. Du kan også søge i Start efter sikkerhed.

  2. Vælg Virus & trusselsbeskyttelse, og vælg derefter Beskyttelseshistorik.

  3. Under afsnittet Karantænetrusler skal du vælge Se hele historikken for at se den registrerede falske malware.

    Bemærk!

    Versioner af Windows 10 før version 1703 har en anden brugergrænseflade. Se Microsoft Defender Antivirus i Windows Sikkerhed-appen.

    Windows-hændelsesloggen viser også Windows Defender klienthændelses-id 1116.

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.