Konfigurer og valider Microsoft Defender Antivirus netværksforbindelser
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender Antivirus
Platforme
- Windows
For at sikre at Microsoft Defender Cloud-leveret beskyttelse fungerer korrekt, skal sikkerhedsteamet konfigurere dit netværk, så det tillader forbindelser mellem dine slutpunkter og visse Microsoft-servere. Denne artikel indeholder en liste over forbindelser, der skal være tilladt ved brug af firewallreglerne. Den indeholder også instruktioner til validering af forbindelsen. Konfiguration af din beskyttelse korrekt sikrer, at du får den bedste værdi fra dine skybaserede beskyttelsestjenester.
Vigtigt!
Denne artikel indeholder oplysninger om konfiguration af netværksforbindelser kun for Microsoft Defender Antivirus. Hvis du bruger Microsoft Defender for Endpoint (hvilket omfatter Microsoft Defender Antivirus), skal du se Konfigurer indstillinger for enhedsproxy og internetforbindelse for Defender for Endpoint.
Tillad forbindelser til cloudtjenesten Microsoft Defender Antivirus
Cloudtjenesten Microsoft Defender Antivirus sikrer hurtig og stærk beskyttelse af dine slutpunkter. Det er valgfrit at aktivere den skybaserede beskyttelsestjeneste. Microsoft Defender Cloud Service antivirus anbefales, da den giver vigtig beskyttelse mod malware på dine slutpunkter og netværk. Du kan finde flere oplysninger under Aktivér skybaseret beskyttelse for at aktivere tjenesten med Intune, Microsoft Endpoint Configuration Manager, Gruppepolitik, PowerShell-cmdlet'er eller individuelle klienter i appen Windows Sikkerhed.
Når du har aktiveret tjenesten, skal du konfigurere netværket eller firewallen for at tillade forbindelser mellem netværket og dine slutpunkter. Da din beskyttelse er en cloudtjeneste, skal computere have adgang til internettet og kontakte Microsofts cloudtjenester. Udelad ikke URL-adressen *.blob.core.windows.net fra nogen form for netværksinspektion.
Bemærk!
Cloudtjenesten Microsoft Defender Antivirus leverer opdateret beskyttelse til dit netværk og dine slutpunkter. Cloudtjenesten bør ikke betragtes som kun beskyttelse af dine filer, der er gemt i cloudmiljøet. Cloudtjenesten bruger i stedet distribuerede ressourcer og maskinel indlæring til at levere beskyttelse til dine slutpunkter hurtigere end de traditionelle Sikkerhedsintelligensopdateringer.
Tjenester og URL-adresser
Tabellen i dette afsnit indeholder en liste over tjenester og deres tilknyttede webstedsadresser (URL-adresser).
Sørg for, at der ikke er nogen regler for firewall- eller netværksfiltrering, der nægter adgang til disse URL-adresser. Ellers skal du oprette en tilladelsesregel specifikt for disse URL-adresser (undtagen URL-adressen *.blob.core.windows.net). URL-adresserne i følgende tabel bruger port 443 til kommunikation. (Port 80 er også påkrævet for nogle URL-adresser, som nævnt i følgende tabel).
| Tjeneste og beskrivelse | URL |
|---|---|
| Microsoft Defender Antivirus cloud-leveret beskyttelsestjeneste kaldes Microsoft Active Protection Service (MAPS). Microsoft Defender Antivirus bruger MAPS-tjenesten til at yde skybaseret beskyttelse. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) og Windows Update Service (WU) Disse tjenester tillader sikkerhedsintelligens og produktopdateringer. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comDu kan finde flere oplysninger under Forbindelsesslutpunkter for Windows Update. |
| ADL (Security Intelligence Updates Alternate Download Location) Dette er en alternativ placering til Microsoft Defender Antivirus Security Intelligence-opdateringer, hvis den installerede Sikkerhedsintelligens er forældet (syv eller flere dage bagud). |
*.download.microsoft.com*.download.windowsupdate.com (Port 80 er påkrævet)go.microsoft.com (Port 80 er påkrævet)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Lager til indsendelse af malware Dette er en placering til overførsel af filer, der er sendt til Microsoft via indsendelsesformularen eller automatisk eksempelafsendelse. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Liste over tilbagekaldte certifikater (CRL) Windows bruger denne liste, mens du opretter SSL-forbindelsen til MAPS til opdatering af liste over tilbagekaldte certifikater. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Universel GDPR-klient Windows bruger denne klient til at sende klientdiagnosticeringsdata. Microsoft Defender Antivirus bruger den generelle forordning om databeskyttelse til produktkvalitet og overvågning. |
Opdateringen bruger SSL (TCP Port 443) til at downloade manifester og overføre diagnosticeringsdata til Microsoft, der bruger følgende DNS-slutpunkter:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Valider forbindelser mellem dit netværk og cloudmiljøet
Når du har tilladt de angivne URL-adresser, skal du teste, om du har forbindelse til cloudtjenesten Microsoft Defender Antivirus. Test, at URL-adresserne rapporterer korrekt og modtager oplysninger for at sikre, at du er fuldt beskyttet.
Brug cmdlineværktøjet til at validere skybaseret beskyttelse
Brug følgende argument sammen med kommandolinjeværktøjet Microsoft Defender Antivirus (mpcmdrun.exe) til at bekræfte, at netværket kan kommunikere med cloudtjenesten Microsoft Defender Antivirus:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Bemærk!
Åbn kommandoprompt som administrator. Højreklik på elementet i menuen Start , klik på Kør som administrator , og klik på Ja i tilladelsesprompten. Denne kommando fungerer kun på Windows 10, version 1703 eller nyere eller Windows 11.
Du kan få flere oplysninger under Administrer Microsoft Defender Antivirus med kommandolinjeværktøjet mpcmdrun.exe.
Brug nedenstående tabeller til at få vist fejlmeddelelser, som du kan støde på, sammen med oplysninger om rodårsagen og mulige løsninger:
| Fejlmeddelelser | Årsagen |
|---|---|
| Starttidspunkt: <Day_of_the_week> MM DD ÅÅÅÅ TT:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection ValidateMapsConnection kunne ikke oprette forbindelse til MAPS (hr=0x80070006 httpcore=451) MpCmdRun.exe: hr = 0x80070006** ValidateMapsConnection kunne ikke oprette forbindelse til MAPS (hr=0x80072F8F httpcore=451) MpCmdRun.exe= 0x80072F8F ValidateMapsConnection kunne ikke oprette forbindelse til MAPS (hr=0x80072EFE httpcore=451) MpCmdRun.exe: t. = 0x80072EFE |
Hovedårsagen til disse fejlmeddelelser er, at enheden ikke har konfigureret sin WinHttp-proxy for hele systemet. Hvis du ikke angiver WinHttp-proxyen for hele systemet, er operativsystemet ikke opmærksom på proxyen og kan ikke hente CRL (operativsystemet gør dette, ikke Defender for Endpoint), hvilket betyder, at TLS-forbindelser til URL-adresser som http://cp.wd.microsoft.com/ ikke vil lykkes fuldt ud. Du får vist vellykkede forbindelser (svar 200) til slutpunkterne, men MAPS-forbindelserne vil stadig mislykkes. |
| Løsning | Beskrivelse |
|---|---|
| Løsning (foretrukket) | Konfigurer den WinHttp-proxy for hele systemet, der tillader kontrol af sikkerhed på rækkeniveau. |
| Løsning (foretrukket 2) | - Omdiriger URL-adressen til den automatiske opdatering fra Microsoft For et afbrudt miljø i installationsprogrammet - Konfigurer en server, der har adgang til internettet, for at hente CTL-filerne - Omdiriger URL-adressen til Microsoft Automatiske opdateringer for et afbrudt miljø Nyttige referencer: – Gå til Computerkonfiguration > Windows-indstillinger > Sikkerhedsindstillinger > Politikker for > offentlig nøgle Valideringsindstillinger for> certifikatstiVælg fanen> NetværkshentningVælg Definer disse politikindstillinger>Markér for at fjerne markeringen i afkrydsningsfeltet Opdater certifikater automatisk i Microsoft Root Certificate Program (anbefales). - Bekræftelse af liste over tilbagekaldte certifikater (CRL) – et programvalg - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
| Løsning, der kan omgås (alternativ) Det er ikke bedste praksis, da du ikke længere vil kontrollere, om der er tilbagekaldte certifikater eller fastgørelse af certifikater. |
Deaktiver kun kontrol af sikkerhed på rækkeniveau for SPYNET. Konfiguration af denne SSLOption i registreringsdatabasen deaktiverer kun kontrol af sikkerhed på rækkeniveau for SPYNET-rapportering. Det påvirker ikke andre tjenester. Sådan gør du: Gå til HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> indstil SSLOptions (dword) til 0 (hex). - 0 – deaktiver kontrol af fastgørelse og tilbagekaldelse - 1 – deaktiver fastgørelse - 2 – deaktiver kun tilbagekaldelseskontroller – 3 – aktivér kontrol af tilbagekaldelse og fastgørelse (standard). |
Forsøg på at downloade en falsk malwarefil fra Microsoft
Du kan downloade en eksempelfil, som Microsoft Defender Antivirus registrerer og blokerer, hvis du har korrekt forbindelse til skyen.
Bemærk!
Den downloadede fil er ikke ligefrem malware. Det er en falsk fil, der er designet til at teste, om du har korrekt forbindelse til cloudmiljøet.
Hvis du har forbindelse korrekt, får du vist en advarsel Microsoft Defender Antivirus-meddelelse.
Hvis du bruger Microsoft Edge, får du også vist en meddelelse:
Der forekommer en lignende meddelelse, hvis du bruger Internet Explorer:
Få vist registrering af falsk malware i din Windows Sikkerhed-app
Vælg ikonet Skjold på proceslinjen, og åbn appen Windows Sikkerhed. Du kan også søge i Start efter sikkerhed.
Vælg Virus & trusselsbeskyttelse, og vælg derefter Beskyttelseshistorik.
Under afsnittet Karantænetrusler skal du vælge Se hele historikken for at se den registrerede falske malware.
Bemærk!
Versioner af Windows 10 før version 1703 har en anden brugergrænseflade. Se Microsoft Defender Antivirus i Windows Sikkerhed-appen.
Windows-hændelsesloggen viser også Windows Defender klienthændelses-id 1116.
Tip
Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:
Se også
- Konfigurer indstillingerne for enhedsproxy og internetforbindelse for Microsoft Defender for Endpoint
- Brug Gruppepolitik indstillinger til at konfigurere og administrere Microsoft Defender Antivirus
- Vigtige ændringer af Slutpunktet for Microsoft Active Protection Services
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om