Configurare e convalidare le connessioni di rete di Windows Defender Antivirus

  • Articolo

Si applica a:

Piattaforme

  • Windows

Per garantire Microsoft Defender protezione fornita dal cloud antivirus funzioni correttamente, il team di sicurezza deve configurare la rete per consentire le connessioni tra gli endpoint e determinati server Microsoft. Questo articolo elenca le connessioni che devono essere consentite per l'uso delle regole del firewall. Fornisce anche istruzioni per convalidare la connessione. La configurazione corretta della protezione garantisce di ricevere il valore migliore dai servizi di protezione forniti dal cloud.

Importante

Questo articolo contiene informazioni sulla configurazione delle connessioni di rete solo per Microsoft Defender Antivirus. Se si usa Microsoft Defender per endpoint (che include Microsoft Defender Antivirus), vedere Configurare le impostazioni del proxy del dispositivo e della connettività Internet per Defender per endpoint.

Consenti connessioni al servizio cloud antivirus Microsoft Defender

Il servizio cloud antivirus Microsoft Defender offre una protezione rapida e avanzata per gli endpoint. È facoltativo abilitare il servizio di protezione fornito dal cloud. Microsoft Defender servizio cloud antivirus è consigliato perché offre una protezione importante contro il malware sugli endpoint e sulla rete. Per altre informazioni, vedere Abilitare la protezione fornita dal cloud per abilitare il servizio con Intune, Microsoft Endpoint Configuration Manager, Criteri di gruppo, cmdlet di PowerShell o singoli client nell'app Sicurezza di Windows.

Dopo aver abilitato il servizio, è necessario configurare la rete o il firewall per consentire le connessioni tra la rete e gli endpoint. Poiché la protezione è un servizio cloud, i computer devono avere accesso a Internet e raggiungere i servizi cloud Microsoft. Non escludere l'URL *.blob.core.windows.net da qualsiasi tipo di ispezione di rete.

Nota

Il servizio cloud antivirus Microsoft Defender offre una protezione aggiornata alla rete e agli endpoint. Il servizio cloud non deve essere considerato solo come protezione per i file archiviati nel cloud; Al contrario, il servizio cloud usa risorse distribuite e Machine Learning per offrire protezione per gli endpoint a una velocità più veloce rispetto agli aggiornamenti tradizionali dell'intelligence per la sicurezza.

Servizi e URL

Nella tabella di questa sezione sono elencati i servizi e gli indirizzi del sito Web associati.The table in this section lists services and their associated website addresses (URL).

Assicurarsi che non siano presenti regole di filtro del firewall o di rete che neghino l'accesso a questi URL. In caso contrario, è necessario creare una regola allow in modo specifico per tali URL (escluso l'URL *.blob.core.windows.net). Gli URL nella tabella seguente usano la porta 443 per la comunicazione. La porta 80 è necessaria anche per alcuni URL, come indicato nella tabella seguente.

Servizio e descrizione URL
Microsoft Defender servizio di protezione antivirus fornito dal cloud è noto come Servizio Microsoft Active Protection (MAPS).
Microsoft Defender Antivirus usa il servizio MAPS per fornire protezione fornita dal cloud.		 *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) e Windows Update Service (WU)
Questi servizi consentono l'intelligence per la sicurezza e gli aggiornamenti dei prodotti.		 *.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Per altre informazioni, vedere Endpoint di connessione per Windows Update.
Aggiornamenti dell'intelligence per la sicurezza Percorso di download alternativo (ADL)
Si tratta di un percorso alternativo per Microsoft Defender aggiornamenti di Intelligence per la sicurezza antivirus, se l'intelligence di sicurezza installata non è aggiornata (sette o più giorni di ritardo).		 *.download.microsoft.com
*.download.windowsupdate.com (La porta 80 è obbligatoria)
go.microsoft.com (La porta 80 è obbligatoria)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Archiviazione per l'invio di malware
Si tratta di un percorso di caricamento per i file inviati a Microsoft tramite il modulo di invio o l'invio automatico di esempi.		 ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Elenco di revoche di certificati (CRL)
Windows usa questo elenco durante la creazione della connessione SSL a MAPS per l'aggiornamento del CRL.		 http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Client GDPR universale
Windows usa questo client per inviare i dati di diagnostica del client.

Microsoft Defender Antivirus usa il regolamento generale sulla protezione dei dati per la qualità del prodotto e il monitoraggio.		 L'aggiornamento usa SSL (porta TCP 443) per scaricare manifesti e caricare dati di diagnostica in Microsoft che usano gli endpoint DNS seguenti:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Convalidare le connessioni tra la rete e il cloud

Dopo aver consentito gli URL elencati, verificare se si è connessi al servizio cloud antivirus Microsoft Defender. Testare gli URL segnalano e ricevono correttamente le informazioni per assicurarsi di essere completamente protetti.

Usare lo strumento cmdline per convalidare la protezione fornita dal cloud

Usare l'argomento seguente con l'utilità da riga di comando antivirus Microsoft Defender (mpcmdrun.exe) per verificare che la rete possa comunicare con il servizio cloud antivirus Microsoft Defender:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Nota

Aprire il prompt dei comandi come amministratore. Fare clic con il pulsante destro del mouse sull'elemento nel menu Start , scegliere Esegui come amministratore e fare clic su al prompt delle autorizzazioni. Questo comando funzionerà solo su Windows 10, versione 1703 o successiva o Windows 11.

Per altre informazioni, vedere Gestire Microsoft Defender Antivirus con lo strumento da riga di comando mpcmdrun.exe.

Usare le tabelle seguenti per visualizzare i messaggi di errore che potrebbero verificarsi insieme alle informazioni sulla causa radice e sulle possibili soluzioni:

Messaggi di errore Causa radice
Ora di inizio: <Day_of_the_week> MM GG AAAA HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006**

ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F

ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE		 La causa principale di questi messaggi di errore è che il dispositivo non ha configurato il proxy WinHttp a livello di sistema. Se non imposti il proxy WinHttp a livello di sistema, il sistema operativo non è a conoscenza del proxy e non può recuperare l'elenco CRL (il sistema operativo esegue questa operazione, non Defender per endpoint), il che significa che le connessioni TLS agli URL come http://cp.wd.microsoft.com/ non avranno esito positivo. Si noteranno connessioni riuscite (risposta 200) agli endpoint, ma le connessioni MAPS continueranno a non riuscire.
Soluzione Descrizione
Soluzione (preferita) Configurare il proxy WinHttp a livello di sistema che consente il controllo CRL.
Soluzione (preferita 2) - Installazione Reindirizzare l'URL di aggiornamento automatico Microsoft per un ambiente disconnesso
- Configurare un server che abbia accesso a Internet per recuperare i file CTL
- Reindirizzare l'URL di aggiornamento automatico Microsoft per un ambiente disconnesso

Riferimenti utili:
- Passare a Configurazione > computer Impostazioni di Windows Impostazioni > di sicurezza Impostazioni > di sicurezza Criteri > chiave pubblica Impostazioni> di convalida percorso certificatoSelezionare la scheda> Recupero reteSelezionare Definisci queste impostazioni dei criteri>Selezionare per deselezionare la casella di controllo Aggiorna automaticamente i certificati nel programma certificato radice Microsoft (scelta consigliata).
- Verifica dell'elenco di revoche di certificati ( CRL) - Scelta dell'applicazione
- https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows
- https://technet.microsoft.com/library/dn265983(v=ws.11).aspx
- /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/
Soluzione alternativa
Non è consigliabile perché non si verificherà più la presenza di certificati revocati o di aggiunta di certificati.		 Disabilitare il controllo CRL solo per SPYNET.
La configurazione di questo SSLOption del Registro di sistema disabilita il controllo CRL solo per la creazione di report SPYNET. Non influirà su altri servizi.

A questo scopo:
Passare a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) su 0 (esadecimale).
- 0 - Disabilitare i controlli di aggiunta e revoca
- 1 - disabilitare l'aggiunta
- 2 - disabilitare solo i controlli di revoca
- 3 - abilitare i controlli di revoca e l'aggiunta (impostazione predefinita)

Tentativo di scaricare un file di malware falso da Microsoft

È possibile scaricare un file di esempio che Microsoft Defender Antivirus rileverà e bloccherà se si è connessi correttamente al cloud.

Nota

Il file scaricato non è esattamente malware. Si tratta di un file falso progettato per testare se si è correttamente connessi al cloud.

Se si è connessi correttamente, verrà visualizzato un avviso Microsoft Defender notifica antivirus.

Se si usa Microsoft Edge, verrà visualizzato anche un messaggio di notifica:

Notifica che il malware è stato trovato in Edge

Un messaggio simile si verifica se si usa Internet Explorer:

Notifica antivirus Microsoft Defender che è stato trovato malware

Visualizzare il rilevamento di malware falso nell'app Sicurezza di Windows

  1. Sulla barra delle applicazioni selezionare l'icona Scudo, aprire l'app Sicurezza di Windows. In alternativa, cercare Start for Security (Avvia per sicurezza).

  2. Selezionare Virus & protezione dalle minacce e quindi selezionare Cronologia protezione.

  3. Nella sezione Minacce in quarantena selezionare Visualizza cronologia completa per visualizzare il malware falso rilevato.

    Nota

    Le versioni di Windows 10 precedenti alla versione 1703 hanno un'interfaccia utente diversa. Vedere Microsoft Defender Antivirus nell'app Sicurezza di Windows.

    Il registro eventi di Windows mostrerà anche Windows Defender'ID evento client 1116.

Consiglio

Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.