Configurar y validar conexiones de red antivirus de Windows Defender

Se aplica a:

Para asegurarte de que la protección de entrega en la nube del Antivirus de Windows Defender funciona correctamente, tienes que configurar la red para que permita conexiones entre los puntos de conexión y determinados servidores de Microsoft.

En este tema se enumeran las conexiones que se deben permitir, por ejemplo, mediante el uso de las reglas de firewall y se proporcionan instrucciones para validar la conexión. Esto te ayudará a garantizar que recibes la mejor protección de nuestros servicios de protección de entrega en la nube.

Consulta la entrada de blog de Enterprise Mobility and Security Cambios importantes en el punto de conexión de Microsoft Active Protection Services para conocer algunos detalles sobre la conectividad de red.

Sugerencia

También puede visitar el sitio web de demostración de ATP de Microsoft defender en Demo.WD.Microsoft.com para confirmar que funcionan las siguientes características:

  • Protección proporcionada por la nube
  • Aprendizaje rápido (incluso bloque a primera vista)
  • Bloqueo de aplicaciones potencialmente no deseadas

Permitir conexiones al servicio de nube antivirus de Windows Defender

El servicio de nube antivirus de Windows Defender proporciona una protección rápida y segura para los puntos de conexión. La habilitación del servicio de protección implementado en la nube es opcional, pero es muy recomendable porque proporciona una protección muy importante contra malware en los puntos de conexión y en toda la red.

Nota

El servicio en la nube del Antivirus de Windows Defender es un mecanismo para entregar protección actualizada a la red y los puntos de conexión. Aunque se denomina servicio en la nube, no es simplemente una protección para los archivos almacenados en la nube, sino que usa recursos distribuidos y aprendizaje de la máquina para ofrecer protección a los puntos de conexión a una tarifa que es mucho más rápida que la inteligencia de seguridad tradicional las.

Para obtener información sobre cómo habilitar el servicio con Intune, System Center Configuration Manager, la Directiva de grupo, los cmdlets de PowerShell o en clientes individuales en la aplicación de seguridad de Windows, consulte Habilitar protección proporcionada por la nube .

Después de habilitar el servicio, debes configurar la red o el firewall para permitir conexiones entre él y los puntos de conexión.

Como servicio en la nube, es necesario que los equipos tengan acceso a Internet y que los servicios de aprendizaje de máquina ATP estén accesibles. La dirección URL: "\ *. blob.core.windows.net" no se debe excluir de ningún tipo de inspección de red. En la tabla siguiente se enumeran los servicios y sus direcciones URL asociadas. Asegúrese de que no haya ningún firewall ni ninguna regla de filtrado de red que deniegue el acceso a estas direcciones URL, o tal vez tenga que crear una regla de permiso específica para ellos (excluida la dirección URL: "\ *. blob.core.windows.net").

Servicio Descripción Dirección URL
Servicio de protección entregada en la nube del Antivirus de Windows Defender, también conocido como Microsoft Active Protection Service (MAPS) Usado por el Antivirus de Windows Defender para proporcionar protección entregada en la nube \ *. wdcp.microsoft.com \ *. wdcpalt.microsoft.com \ *. wd.microsoft.com
Servicio Microsoft Update (MU) Inteligencia de seguridad y actualizaciones de productos \ *. update.microsoft.com
Actualizaciones de inteligencia de seguridad ubicación de descarga alternativa (ADL) Ubicación alternativa para las actualizaciones de inteligencia de seguridad de antivirus de Windows Defender si la inteligencia de seguridad instalada no está actualizada (7 o más días atrás) \ *. download.microsoft.com
Almacenamiento de envío de malware Cargar la ubicación de los archivos enviados a Microsoft a través del envío del formulario o el envío de muestra automático ussus1eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net ussas1eastprod.blob.core.windows.net ussas1southeastprod.blob.core.windows.net ussau1eastprod.blob.core.windows.net ussau1southeastprod.blob.core.windows.net
Lista de revocación de certificados (CRL) Usado por Windows al crear la conexión SSL a MAPS para actualizar la CRL http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs
Almacén de símbolos Usado por el Antivirus de Windows Defender para restaurar ciertos archivos críticos durante los flujos de corrección https://msdl.microsoft.com/download/symbols
Cliente de telemetría universal Utilizado por Windows para enviar datos de diagnóstico del cliente; El antivirus de Windows Defender usa esta para fines de supervisión de la calidad del producto Esta actualización usa SSL (puerto TCP 443) para descargar manifiestos y cargar datos de diagnóstico a Microsoft que usa los siguientes puntos de conexión DNS: vortex-win.data.microsoft.com settings-win.data.microsoft.com

Validar las conexiones entre la red y la nube

Después de crear una lista blanca de las direcciones URL mencionadas anteriormente, puede comprobar si está conectado al servicio de nube antivirus de Windows Defender y si los informes y la recepción son correctos para asegurarse de que está completamente protegido.

Usar la herramienta cmdline para validar la protección de entrega en la nube:

Use el siguiente argumento con la utilidad de línea de comandos antivirus de Windows Defender (mpcmdrun. exe) para comprobar que su red se puede comunicar con el servicio de nube antivirus de Windows Defender:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Nota

Debes abrir una versión de nivel de administrador del símbolo del sistema. Haz clic con el botón secundario en el elemento del menú Inicio, en Ejecutar como administrador y en en el mensaje sobre permisos. Este comando solo funciona en Windows 10, versión 1703 o superior.

Para obtener más información sobre cómo usar la utilidad mpcmdrun. exe , consulta administrar antivirus de Windows Defender con la herramienta de la línea de comandos mpcmdrun. exe .

Intentar descargar un archivo de malware falso de Microsoft:

Puede descargar un archivo de muestra que el antivirus de Windows Defender detectará y bloqueará si está conectado correctamente a la nube.

Descarga el archivo visitando el siguiente vínculo:

Nota

Este archivo no es un fragmento real de malware. Es un archivo falso que está diseñado para probar si estás conectado correctamente a la nube.

Si estás conectado correctamente, verás una advertencia en la notificación del antivirus de Windows Defender:

Notificación del Antivirus de Windows Defender que informa al usuario que se encontró malware

Si usas Microsoft Edge, también verás un mensaje de notificación:

Mensaje de Microsoft Edge que informa al usuario que se encontró malware

Aparece un mensaje similar si usas Internet Explorer:

Notificación del Antivirus de Windows Defender que informa al usuario que se encontró malware

También verá una detección en amenazas en cuarentena en la sección historial de examen de la aplicación de seguridad de Windows:

  1. Abra la aplicación de seguridad de Windows haciendo clic en el icono de escudo de la barra de tareas o en el menú Inicio para defender.

  2. Haz clic en el icono Protección contra virus y amenazas (o en el icono de escudo de la barra de menús de la izquierda) y, después, en la etiqueta Scan history:

    Captura de pantalla de la etiqueta historial de exploración en la aplicación de seguridad de Windows

  3. En la sección Quarantined threats, haz clic en la etiqueta Ver historial completo para ver el malware falso detectado:

    Captura de pantalla de los elementos en cuarentena en la aplicación de seguridad de Windows

Nota

Las versiones de Windows 10 anteriores a la versión 1703 tienen una interfaz de usuario diferente. Vea antivirus de Windows Defender en la aplicación de seguridad de Windows para obtener más información sobre las diferencias entre versiones e instrucciones sobre cómo realizar tareas comunes en las diferentes interfaces.

El registro de eventos de Windows también mostrará el id. de evento 2050 del cliente de Windows Defender.

Importante

No podrás usar un archivo de configuración automática de proxy (.pac) para probar las conexiones de red a estas direcciones URL. Para garantizar la conectividad, tendrá que verificar los servidores proxy y las herramientas de filtrado de red de forma manual.

Temas relacionados