Jaa


Määritä ja vahvista Microsoft Defenderin virustentorjunnan verkkoyhteydet

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Jotta virustentorjuntaohjelman Microsoft Defender pilvipalvelun tarjoama suojaus toimisi oikein, suojaustiimisi on määritettävä verkkosi sallimaan yhteydet päätepisteiden ja tiettyjen Microsoft-palvelimien välillä. Tässä artikkelissa on luettelo yhteyksistä, jotka on sallittava palomuurisääntöjen käyttämiseksi. Se sisältää myös ohjeita yhteyden vahvistamiseen. Suojauksen määrittäminen oikein varmistaa, että saat parhaan arvon pilvipalvelun tarjoamista suojauspalveluistasi.

Tärkeää

Tässä artikkelissa on tietoja vain Microsoft Defender virustentorjunnan verkkoyhteyksien määrittämisestä. Jos käytössäsi on Microsoft Defender for Endpoint (johon sisältyy Microsoft Defender virustentorjunta), katso Laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen Defender for Endpointille.

Salli yhteydet Microsoft Defender virustentorjunnan pilvipalveluun

Microsoft Defender virustentorjuntapalvelun pilvipalvelu tarjoaa nopean ja vahvan suojauksen päätepisteillesi. Pilvipalvelun tarjoaman suojauspalvelun ottaminen käyttöön on valinnaista. Microsoft Defender virustentorjuntapilvipalvelua suositellaan, koska se tarjoaa tärkeän suojauksen haittaohjelmia vastaan päätepisteissäsi ja verkossasi. Lisätietoja on Windowsin suojaus-sovelluksen kohdassa Pilvipalvelun tarjoaman suojauksen ottaminen käyttöön Intune, Microsoftin päätepiste Configuration Manager, ryhmäkäytäntö, PowerShellin cmdlet-komennot tai yksittäiset asiakkaat.

Kun olet ottanut palvelun käyttöön, sinun on määritettävä verkkosi tai palomuurisi sallimaan yhteydet verkon ja päätepisteiden välillä. Koska suojaus on pilvipalvelu, tietokoneilla on oltava Internet-yhteys ja niihin on päästävä Microsoftin pilvipalveluihin. Älä sulje URL-osoitetta *.blob.core.windows.net pois minkääntyyppisestä verkkotarkastuksesta.

Huomautus

Microsoft Defender virustentorjuntapalvelu tarjoaa päivitetyn suojauksen verkkoosi ja päätepisteisiin. Pilvipalvelua ei tule pitää vain pilvipalveluun tallennettujen tiedostojen suojauksena. sen sijaan pilvipalvelu käyttää hajautettuja resursseja ja koneoppimista tarjotakseen suojauksen päätepisteillesi nopeammin kuin perinteiset tietoturvatiedot.

Palvelut ja URL-osoitteet

Tämän osion taulukossa luetellaan palvelut ja niihin liittyvät verkkosivuston osoitteet (URL-osoitteet).

Varmista, että palomuurin tai verkon suodatussäännöt eivät estä näiden URL-osoitteiden käyttöä. Muussa tapauksessa sinun on luotava nimenomaan näille URL-osoitteille sallittu sääntö (URL-osoitetta *.blob.core.windows.netlukuun ottamatta). Seuraavan taulukon URL-osoitteet käyttävät porttia 443 viestintää varten. (Portti 80 vaaditaan myös joissakin URL-osoitteissa, kuten seuraavassa taulukossa on mainittu.)

Palvelu ja kuvaus URL
Microsoft Defender virustentorjuntaohjelman pilvipalveluun toimitettuun suojauspalveluun viitataan nimellä Microsoft Active Protection Service (MAPS).
Microsoft Defender virustentorjuntaohjelma tarjoaa pilvessä toimitetun suojauksen MAPS-palvelun avulla.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) ja Windows Update Service (WU)
Nämä palvelut mahdollistavat suojaustiedot ja tuotepäivitykset.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Lisätietoja on artikkelissa Windows Update yhteyden päätepisteet.
Suojaustietopäivitykset: vaihtoehtoinen lataussijainti (ADL)
Tämä on vaihtoehtoinen sijainti virustentorjunnan Microsoft Defender suojaustietopäivityksille, jos asennettu suojaustieto on vanhentunut (vähintään seitsemän päivää jäljessä).
*.download.microsoft.com
*.download.windowsupdate.com (Portti 80 vaaditaan)
go.microsoft.com (Portti 80 vaaditaan)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Haittaohjelmien lähettämisen tallennustila
Tämä on Lähetyslomakkeen tai automaattisen lähetyksen kautta Microsoftille lähetettyjen tiedostojen lataussijainti.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Varmenteen kumoamisluettelo (CRL)
Windows käyttää tätä luetteloa luodessaan SSL-yhteyttä MAPSiin kumousluettelon päivittämistä varten.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Yleinen GDPR-asiakasohjelma
Windows käyttää tätä asiakasta asiakkaan diagnostiikkatietojen lähettämiseen.

Microsoft Defender virustentorjuntaohjelma käyttää yleistä tietosuoja-asetusta tuotteiden laatuun ja valvontaan.
Päivitys käyttää SSL:ää (TCP-portti 443) luetteloiden lataamiseen ja diagnostiikkatietojen lataamiseen Microsoftille, joka käyttää seuraavia DNS-päätepisteitä:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Verkon ja pilvipalvelun välisten yhteyksien vahvistaminen

Kun olet sallinut luetellut URL-osoitteet, testaa, oletko yhteydessä Microsoft Defender virustentorjunnan pilvipalveluun. Testaa, että URL-osoitteet ilmoittavat ja vastaanottavat tietoja oikein, jotta olet täysin suojattu.

Käytä cmdline-työkalua pilvipalveluun toimitetun suojauksen vahvistamiseen

Käytä seuraavaa argumenttia Microsoft Defender Antivirus -komentoriviapuohjelman (mpcmdrun.exe) kanssa varmistaaksesi, että verkkosi voi olla yhteydessä Microsoft Defender virustentorjuntapilvipalveluun:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Huomautus

Avaa komentokehote järjestelmänvalvojana. Napsauta kohdetta hiiren kakkospainikkeella Käynnistä-valikossa , valitse Suorita järjestelmänvalvojana ja valitse Kyllä käyttöoikeuskehotteesta. Tämä komento toimii vain Windows 10 versiossa 1703 tai Windows 11.

Lisätietoja on artikkelissa Microsoft Defender virustentorjunta mpcmdrun.exe komentorivityökalun avulla.

Virheviestit

Seuraavassa on joitakin virhesanomia, joita saatat nähdä:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Perussyitä

Näiden virhesanomien pääsyy on se, että laitteen järjestelmänlaajuista WinHttp välityspalvelinta ei ole määritetty. Jos et määritä tätä välityspalvelinta, käyttöjärjestelmä ei ole tietoinen välityspalvelimesta eikä voi noutaa kumouspalvelinta (käyttöjärjestelmä tekee näin, ei Defender for Endpointia), mikä tarkoittaa, että TLS-yhteydet URL-osoitteisiin, kuten http://cp.wd.microsoft.com/ , eivät onnistu. Näet onnistuneet (vastaus 200) yhteydet päätepisteisiin, mutta MAPS-yhteydet epäonnistuvat silti.

Ratkaisuja

Seuraavassa taulukossa on lueteltu ratkaisut:

Ratkaisu Kuvaus
Ratkaisu (ensisijainen) Määritä järjestelmänlaajuinen WinHttp-välityspalvelin, joka sallii crl-tarkistuksen.
Ratkaisu (ensisijainen 2) 1. Siirry kohtaan Tietokoneasetukset>Windowsin asetukset>Suojausasetukset>Yleiset avainkäytännöt>Varmennepolun vahvistusasetukset.
2. Valitse Verkon nouto -välilehti ja valitse sitten Määritä nämä käytäntöasetukset.
3. Poista Päivitä varmenteet automaattisesti Microsoft Root Certificate Program (suositus) -valintaruudun valinta.

Seuraavassa on joitakin hyödyllisiä resursseja:
- Luotettujen pääjuurien ja ei-sallittujen varmenteiden määrittäminen
- Sovelluksen käynnistysajan parantaminen: GeneratePublisherEvidence-asetus Machine.config
Kiertoratkaisu (vaihtoehtoinen)
Tämä ei ole paras käytäntö, koska et enää tarkista kumotut varmenteet tai varmenteiden kiinnittäminen.
Poista crl-tarkistus käytöstä vain SPYNET-verkossa.
Tämän rekisterin määrittäminen SSLOption poistaa käytöstä VAIN CRL-tarkistuksen SPYNET-raportoinnissa. Se ei vaikuta muihin palveluihin.

Siirry kohtaan HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet ja aseta sen arvoksi SSLOptions (dword)2 (hex).
DWORD:n mahdollisia arvoja ovat seuraavat:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Yritys ladata väärennetty haittaohjelmatiedosto Microsoftilta

Voit ladata mallitiedoston, jonka Microsoft Defender virustentorjunta havaitsee ja estää, jos olet muodostanut yhteyden pilvipalveluun oikein.

Huomautus

Ladattu tiedosto ei ole täysin haittaohjelma. Se on valetiedosto, joka on suunniteltu testaamaan, oletko muodostanut yhteyden pilvipalveluun oikein.

Jos yhteys on muodostettu oikein, virustentorjuntaa Microsoft Defender ilmoitus tulee näyttöön.

Jos käytät Microsoft Edgeä, näet myös ilmoitusviestin:

Ilmoitus haittaohjelmien löytymiseen Edgestä

Jos käytät Internet Exploreria, näyttöön tulee samankaltainen sanoma:

ilmoitus Microsoft Defender virustentorjuntaohjelmasta, että haittaohjelmia löytyi

Näytä haittaohjelmien valetunnistus Windowsin suojaus sovelluksessasi

  1. Valitse tehtäväpalkissa Shield-kuvake ja avaa Windowsin suojaus sovellus. Voit myös etsiä Suojaus-toiminnosta aloitusnäyttöä.

  2. Valitse Virus & uhkien suojaus ja valitse sitten Suojaushistoria.

  3. Valitse Karanteeniin lisätyt uhat -osiossa Näytä koko historia , jotta näet havaitut väärennetyt haittaohjelmat.

    Huomautus

    Versiota 1703 edeltävillä Windows 10 versioilla on eri käyttöliittymä. Katso Microsoft Defender virustentorjunta Windowsin suojaus sovelluksessa.

    Windowsin tapahtumalokissa näkyy myös Windows Defender asiakkaan tapahtumatunnus 1116.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.