Configurar y validar las conexiones de red del Antivirus de Windows Defender

  • Artículo

Se aplica a:

Plataformas

  • Windows

Para asegurarse de que Microsoft Defender protección proporcionada en la nube de Antivirus funciona correctamente, el equipo de seguridad debe configurar la red para permitir conexiones entre los puntos de conexión y determinados servidores de Microsoft. En este artículo se enumeran las conexiones que se deben permitir para usar las reglas de firewall. También proporciona instrucciones para validar la conexión. La configuración de la protección garantiza que recibe el mejor valor de los servicios de protección entregados en la nube.

Importante

Este artículo contiene información sobre la configuración de conexiones de red solo para Microsoft Defender Antivirus. Si usa Microsoft Defender para punto de conexión (que incluye Microsoft Defender Antivirus), consulte Configuración del proxy de dispositivo y la conectividad a Internet para Defender para punto de conexión.

Permitir conexiones al servicio en la nube Microsoft Defender Antivirus

El servicio en la nube Microsoft Defender Antivirus proporciona una protección rápida y segura para los puntos de conexión. Es opcional habilitar el servicio de protección entregado en la nube. Microsoft Defender se recomienda el servicio en la nube antivirus, ya que proporciona una protección importante contra el malware en los puntos de conexión y la red. Para obtener más información, consulte Habilitación de la protección entregada en la nube para habilitar el servicio con Intune, Configuration Manager de punto de conexión de Microsoft, directiva de grupo, cmdlets de PowerShell o clientes individuales en la aplicación Seguridad de Windows.

Después de habilitar el servicio, debe configurar la red o el firewall para permitir conexiones entre la red y los puntos de conexión. Dado que la protección es un servicio en la nube, los equipos deben tener acceso a Internet y llegar a los servicios en la nube de Microsoft. No excluya la dirección URL *.blob.core.windows.net de ningún tipo de inspección de red.

Nota:

El servicio en la nube Microsoft Defender Antivirus ofrece protección actualizada a la red y los puntos de conexión. El servicio en la nube no debe considerarse solo como protección para los archivos almacenados en la nube; en su lugar, el servicio en la nube usa recursos distribuidos y aprendizaje automático para ofrecer protección para los puntos de conexión a una velocidad más rápida que las actualizaciones de inteligencia de seguridad tradicionales.

Servicios y direcciones URL

En la tabla de esta sección se enumeran los servicios y sus direcciones url de sitio web asociadas.

Asegúrese de que no haya reglas de filtrado de red o firewall que denieguen el acceso a estas direcciones URL. De lo contrario, debe crear una regla de permiso específicamente para esas direcciones URL (excepto la dirección URL *.blob.core.windows.net). Las direcciones URL de la tabla siguiente usan el puerto 443 para la comunicación. (El puerto 80 también es necesario para algunas direcciones URL, como se indica en la tabla siguiente).

Servicio y descripción URL
Microsoft Defender servicio de protección de entrega en la nube antivirus se conoce como Servicio de Protección activa de Microsoft (MAPS).
Microsoft Defender Antivirus usa el servicio MAPS para proporcionar protección proporcionada en la nube.		 *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) y Windows Update Service (WU)
Estos servicios permiten la inteligencia de seguridad y las actualizaciones de productos.		 *.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Para obtener más información, vea Puntos de conexión para Windows Update.
Actualizaciones de inteligencia de seguridad Ubicación de descarga alternativa (ADL)
Esta es una ubicación alternativa para Microsoft Defender actualizaciones de inteligencia de seguridad del antivirus, si la inteligencia de seguridad instalada está obsoleta (siete o más días de retraso).		 *.download.microsoft.com
*.download.windowsupdate.com (Se requiere el puerto 80)
go.microsoft.com (Se requiere el puerto 80)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Almacenamiento de envío de malware
Se trata de una ubicación de carga para los archivos enviados a Microsoft mediante el formulario de envío o el envío automático de ejemplo.		 ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Lista de revocación de certificados (CRL)
Windows usa esta lista al crear la conexión SSL a MAPS para actualizar la CRL.		 http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Cliente de RGPD universal
Windows usa este cliente para enviar los datos de diagnóstico del cliente.

Microsoft Defender Antivirus usa el Reglamento general de protección de datos con fines de calidad y supervisión del producto.		 La actualización usa SSL (puerto TCP 443) para descargar manifiestos y cargar datos de diagnóstico en Microsoft que usa los siguientes puntos de conexión DNS:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Validación de conexiones entre la red y la nube

Después de permitir las direcciones URL enumeradas, compruebe si está conectado al servicio en la nube Microsoft Defender Antivirus. Pruebe que las direcciones URL notifican y reciben información correctamente para asegurarse de que está totalmente protegido.

Uso de la herramienta cmdline para validar la protección entregada en la nube

Use el siguiente argumento con la utilidad de línea de comandos Microsoft Defender Antivirus (mpcmdrun.exe) para comprobar que la red puede comunicarse con el servicio en la nube Microsoft Defender Antivirus:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Nota:

Abra una ventana de Símbolo de sistema como administrador. Haga clic con el botón derecho en el elemento en el menú Inicio , haga clic en Ejecutar como administrador y haga clic en en el símbolo del sistema de permisos. Este comando solo funcionará en Windows 10, versión 1703 o posterior, o Windows 11.

Para obtener más información, vea Administrar Microsoft Defender Antivirus con la herramienta de línea de comandos mpcmdrun.exe.

Use las tablas siguientes para ver los mensajes de error que podría encontrar junto con información sobre la causa principal y las posibles soluciones:

Mensajes de error Causa principal
Hora de inicio: <Day_of_the_week> MM DD AAAA HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006**

ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F

ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE		 La causa principal de estos mensajes de error es que el dispositivo no tiene configurado su proxy WinHttp para todo el sistema. Si no establece el proxy WinHttp para todo el sistema, el sistema operativo no es consciente del proxy y no puede capturar la CRL (el sistema operativo lo hace, no Defender para punto de conexión), lo que significa que las conexiones TLS a direcciones URL como http://cp.wd.microsoft.com/ no se realizarán correctamente. Verá conexiones correctas (respuesta 200) a los puntos de conexión, pero las conexiones de MAPS seguirán generando errores.
Solución Descripción
Solución (preferida) Configure el proxy WinHttp para todo el sistema que permite la comprobación de CRL.
Solución (preferida 2) - Configuración Redirigir la dirección URL de Actualización automática de Microsoft para un entorno desconectado
- Configurar un servidor que tenga acceso a Internet para recuperar los archivos CTL
- Redirigir la dirección URL de Actualización automática de Microsoft para un entorno desconectado

Referencias útiles:
- Vaya a Configuración > del equipo Configuración de Windows Configuración > de seguridad Directivas > de clave > pública Configuración de> validación de certificadosSeleccione la pestaña> Recuperación de redSeleccione Definir esta configuración de> directivaSeleccione para desactivar la casilla Actualizar automáticamente certificados en el Programa de certificados raíz de Microsoft (recomendado).
- Comprobación de la lista de revocación de certificados (CRL): una opción de aplicación
- https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows
- https://technet.microsoft.com/library/dn265983(v=ws.11).aspx
- /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/
Solución de solución de solución de trabajo (alternativa)
No es el procedimiento recomendado, ya que ya no comprobará si hay certificados revocados o anclaje de certificados.		 Deshabilite la comprobación de CRL solo para SPYNET.
Al configurar este registro SSLOption, se deshabilita la comprobación de CRL solo para los informes de SPYNET. No afectará a otros servicios.

Para ello:
Vaya a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) en 0 (hexadecimal).
- 0: deshabilitar las comprobaciones de anclaje y revocación
- 1 : deshabilitar el anclaje
- 2: deshabilitar solo las comprobaciones de revocación
- 3: habilitar comprobaciones de revocación y anclaje (valor predeterminado)

Intento de descargar un archivo de malware falso de Microsoft

Puede descargar un archivo de ejemplo que Microsoft Defender Antivirus detectará y bloqueará si está conectado correctamente a la nube.

Nota:

El archivo descargado no es exactamente malware. Es un archivo falso diseñado para probar si está conectado correctamente a la nube.

Si está conectado correctamente, verá una advertencia Microsoft Defender notificación antivirus.

Si usa Microsoft Edge, también verá un mensaje de notificación:

La notificación de que se encontró malware en Edge

Se produce un mensaje similar si usa Internet Explorer:

La notificación Microsoft Defender Antivirus de que se encontró malware

Visualización de la detección de malware falso en la aplicación Seguridad de Windows

  1. En la barra de tareas, seleccione el icono de Escudo y abra la aplicación Seguridad de Windows. O bien, busque en Start for Security (Iniciar por seguridad).

  2. Seleccione Virus & protección contra amenazas y, a continuación, seleccione Historial de protección.

  3. En la sección Amenazas en cuarentena , seleccione Ver historial completo para ver el malware falso detectado.

    Nota:

    Las versiones de Windows 10 anteriores a la versión 1703 tienen una interfaz de usuario diferente. Consulta Microsoft Defender Antivirus en la aplicación Seguridad de Windows.

    El registro de eventos de Windows también mostrará Windows Defender identificador de evento de cliente 1116.

Sugerencia

Si busca información relacionada con el antivirus para otras plataformas, consulte:

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.