Configurare e convalidare le connessioni di rete di Windows Defender Antivirus
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
Per garantire Microsoft Defender protezione fornita dal cloud antivirus funzioni correttamente, il team di sicurezza deve configurare la rete per consentire le connessioni tra gli endpoint e determinati server Microsoft. Questo articolo elenca le connessioni che devono essere consentite per l'uso delle regole del firewall. Fornisce anche istruzioni per convalidare la connessione. La configurazione corretta della protezione garantisce di ricevere il valore migliore dai servizi di protezione forniti dal cloud.
Importante
Questo articolo contiene informazioni sulla configurazione delle connessioni di rete solo per Microsoft Defender Antivirus. Se si usa Microsoft Defender per endpoint (che include Microsoft Defender Antivirus), vedere Configurare le impostazioni del proxy del dispositivo e della connettività Internet per Defender per endpoint.
Consenti connessioni al servizio cloud antivirus Microsoft Defender
Il servizio cloud antivirus Microsoft Defender offre una protezione rapida e avanzata per gli endpoint. È facoltativo abilitare il servizio di protezione fornito dal cloud. Microsoft Defender servizio cloud antivirus è consigliato perché offre una protezione importante contro il malware sugli endpoint e sulla rete. Per altre informazioni, vedere Abilitare la protezione fornita dal cloud per abilitare il servizio con Intune, Microsoft Endpoint Configuration Manager, Criteri di gruppo, cmdlet di PowerShell o singoli client nell'app Sicurezza di Windows.
Dopo aver abilitato il servizio, è necessario configurare la rete o il firewall per consentire le connessioni tra la rete e gli endpoint. Poiché la protezione è un servizio cloud, i computer devono avere accesso a Internet e raggiungere i servizi cloud Microsoft. Non escludere l'URL *.blob.core.windows.net
da qualsiasi tipo di ispezione di rete.
Nota
Il servizio cloud antivirus Microsoft Defender offre una protezione aggiornata alla rete e agli endpoint. Il servizio cloud non deve essere considerato solo come protezione per i file archiviati nel cloud; Al contrario, il servizio cloud usa risorse distribuite e Machine Learning per offrire protezione per gli endpoint a una velocità più veloce rispetto agli aggiornamenti tradizionali dell'intelligence per la sicurezza.
Servizi e URL
Nella tabella di questa sezione sono elencati i servizi e gli indirizzi del sito Web associati.The table in this section lists services and their associated website addresses (URL).
Assicurarsi che non siano presenti regole di filtro del firewall o di rete che neghino l'accesso a questi URL. In caso contrario, è necessario creare una regola allow in modo specifico per tali URL (escluso l'URL *.blob.core.windows.net
). Gli URL nella tabella seguente usano la porta 443 per la comunicazione. La porta 80 è necessaria anche per alcuni URL, come indicato nella tabella seguente.
Servizio e descrizione | URL |
---|---|
Microsoft Defender servizio di protezione antivirus fornito dal cloud è noto come Servizio Microsoft Active Protection (MAPS). Microsoft Defender Antivirus usa il servizio MAPS per fornire protezione fornita dal cloud. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com *.wd.microsoft.com |
Microsoft Update Service (MU) e Windows Update Service (WU) Questi servizi consentono l'intelligence per la sicurezza e gli aggiornamenti dei prodotti. |
*.update.microsoft.com *.delivery.mp.microsoft.com *.windowsupdate.com ctldl.windowsupdate.com Per altre informazioni, vedere Endpoint di connessione per Windows Update. |
Aggiornamenti dell'intelligence per la sicurezza Percorso di download alternativo (ADL) Si tratta di un percorso alternativo per Microsoft Defender aggiornamenti di Intelligence per la sicurezza antivirus, se l'intelligence di sicurezza installata non è aggiornata (sette o più giorni di ritardo). |
*.download.microsoft.com *.download.windowsupdate.com (La porta 80 è obbligatoria)go.microsoft.com (La porta 80 è obbligatoria)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/ https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
Archiviazione per l'invio di malware Si tratta di un percorso di caricamento per i file inviati a Microsoft tramite il modulo di invio o l'invio automatico di esempi. |
ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.net wsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
Elenco di revoche di certificati (CRL) Windows usa questo elenco durante la creazione della connessione SSL a MAPS per l'aggiornamento del CRL. |
http://www.microsoft.com/pkiops/crl/ http://www.microsoft.com/pkiops/certs http://crl.microsoft.com/pki/crl/products http://www.microsoft.com/pki/certs |
Client GDPR universale Windows usa questo client per inviare i dati di diagnostica del client. Microsoft Defender Antivirus usa il regolamento generale sulla protezione dei dati per la qualità del prodotto e il monitoraggio. |
L'aggiornamento usa SSL (porta TCP 443) per scaricare manifesti e caricare dati di diagnostica in Microsoft che usano gli endpoint DNS seguenti:vortex-win.data.microsoft.com settings-win.data.microsoft.com |
Convalidare le connessioni tra la rete e il cloud
Dopo aver consentito gli URL elencati, verificare se si è connessi al servizio cloud antivirus Microsoft Defender. Testare gli URL segnalano e ricevono correttamente le informazioni per assicurarsi di essere completamente protetti.
Usare lo strumento cmdline per convalidare la protezione fornita dal cloud
Usare l'argomento seguente con l'utilità da riga di comando antivirus Microsoft Defender (mpcmdrun.exe
) per verificare che la rete possa comunicare con il servizio cloud antivirus Microsoft Defender:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Nota
Aprire il prompt dei comandi come amministratore. Fare clic con il pulsante destro del mouse sull'elemento nel menu Start , scegliere Esegui come amministratore e fare clic su Sì al prompt delle autorizzazioni. Questo comando funzionerà solo su Windows 10, versione 1703 o successiva o Windows 11.
Per altre informazioni, vedere Gestire Microsoft Defender Antivirus con lo strumento da riga di comando mpcmdrun.exe.
Usare le tabelle seguenti per visualizzare i messaggi di errore che potrebbero verificarsi insieme alle informazioni sulla causa radice e sulle possibili soluzioni:
Messaggi di errore | Causa radice |
---|---|
Ora di inizio: <Day_of_the_week> MM GG AAAA HH:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=0x80070006 httpcore=451) MpCmdRun.exe: hr = 0x80070006** ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=0x80072F8F httpcore=451) MpCmdRun.exe: hr = 0x80072F8F ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=0x80072EFE httpcore=451) MpCmdRun.exe: hr = 0x80072EFE |
La causa principale di questi messaggi di errore è che il dispositivo non ha configurato il proxy WinHttp a livello di sistema. Se non imposti il proxy WinHttp a livello di sistema, il sistema operativo non è a conoscenza del proxy e non può recuperare l'elenco CRL (il sistema operativo esegue questa operazione, non Defender per endpoint), il che significa che le connessioni TLS agli URL come http://cp.wd.microsoft.com/ non avranno esito positivo. Si noteranno connessioni riuscite (risposta 200) agli endpoint, ma le connessioni MAPS continueranno a non riuscire. |
Soluzione | Descrizione |
---|---|
Soluzione (preferita) | Configurare il proxy WinHttp a livello di sistema che consente il controllo CRL. |
Soluzione (preferita 2) | - Installazione Reindirizzare l'URL di aggiornamento automatico Microsoft per un ambiente disconnesso - Configurare un server che abbia accesso a Internet per recuperare i file CTL - Reindirizzare l'URL di aggiornamento automatico Microsoft per un ambiente disconnesso Riferimenti utili: - Passare a Configurazione > computer Impostazioni di Windows Impostazioni > di sicurezza Impostazioni > di sicurezza Criteri > chiave pubblica Impostazioni> di convalida percorso certificatoSelezionare la scheda> Recupero reteSelezionare Definisci queste impostazioni dei criteri>Selezionare per deselezionare la casella di controllo Aggiorna automaticamente i certificati nel programma certificato radice Microsoft (scelta consigliata). - Verifica dell'elenco di revoche di certificati ( CRL) - Scelta dell'applicazione - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
Soluzione alternativa Non è consigliabile perché non si verificherà più la presenza di certificati revocati o di aggiunta di certificati. |
Disabilitare il controllo CRL solo per SPYNET. La configurazione di questo SSLOption del Registro di sistema disabilita il controllo CRL solo per la creazione di report SPYNET. Non influirà su altri servizi. A questo scopo: Passare a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) su 0 (esadecimale). - 0 - Disabilitare i controlli di aggiunta e revoca - 1 - disabilitare l'aggiunta - 2 - disabilitare solo i controlli di revoca - 3 - abilitare i controlli di revoca e l'aggiunta (impostazione predefinita) |
Tentativo di scaricare un file di malware falso da Microsoft
È possibile scaricare un file di esempio che Microsoft Defender Antivirus rileverà e bloccherà se si è connessi correttamente al cloud.
Nota
Il file scaricato non è esattamente malware. Si tratta di un file falso progettato per testare se si è correttamente connessi al cloud.
Se si è connessi correttamente, verrà visualizzato un avviso Microsoft Defender notifica antivirus.
Se si usa Microsoft Edge, verrà visualizzato anche un messaggio di notifica:
Un messaggio simile si verifica se si usa Internet Explorer:
Visualizzare il rilevamento di malware falso nell'app Sicurezza di Windows
Sulla barra delle applicazioni selezionare l'icona Scudo, aprire l'app Sicurezza di Windows. In alternativa, cercare Start for Security (Avvia per sicurezza).
Selezionare Virus & protezione dalle minacce e quindi selezionare Cronologia protezione.
Nella sezione Minacce in quarantena selezionare Visualizza cronologia completa per visualizzare il malware falso rilevato.
Nota
Le versioni di Windows 10 precedenti alla versione 1703 hanno un'interfaccia utente diversa. Vedere Microsoft Defender Antivirus nell'app Sicurezza di Windows.
Il registro eventi di Windows mostrerà anche Windows Defender'ID evento client 1116.
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
Impostare le preferenze per Microsoft Defender per endpoint su macOS
Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
Impostare le preferenze per Microsoft Defender per endpoint su Linux
Funzionalità di configurazione di Microsoft Defender per endpoint su Android
Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Vedere anche
- Configurare le impostazioni del proxy del dispositivo e della connettività Internet per Microsoft Defender per endpoint
- Usare le impostazioni di Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus
- Modifiche importanti all'endpoint di Microsoft Active Protection Services
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per