Configurare e convalidare le connessioni di rete di Windows Defender AntivirusConfigure and validate Microsoft Defender Antivirus network connections

Si applica a:Applies to:

Per garantire il corretto funzionamento della protezione con distribuzione cloud di Microsoft Defender Antivirus, il team di sicurezza deve configurare la rete in modo da consentire le connessioni tra gli endpoint e alcuni server Microsoft.To ensure Microsoft Defender Antivirus cloud-delivered protection works properly, your security team must configure your network to allow connections between your endpoints and certain Microsoft servers. In questo articolo vengono elencate le connessioni che devono essere consentite, ad esempio utilizzando le regole del firewall, e vengono fornite istruzioni per convalidare la connessione.This article lists the connections that must be allowed, such as by using firewall rules, and provides instructions for validating your connection. La configurazione corretta della protezione consente di ottenere il massimo valore dai servizi di protezione garantiti dal cloud.Configuring your protection properly helps ensure that you receive the best value from your cloud-delivered protection services.

Vedere il post di blog Modifiche importanti all'endpoint di Microsoft Active Protection Services per alcuni dettagli sulla connettività di rete.See the blog post Important changes to Microsoft Active Protection Services endpoint for some details about network connectivity.

Suggerimento

Visitare il sito Web demo di Microsoft Defender for Endpoint all'demo.wd.microsoft.com per verificare che le funzionalità seguenti funzionino:Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm the following features are working:

  • Protezione fornita dal cloudCloud-delivered protection
  • Apprendimento rapido (incluso blocco a prima vista)Fast learning (including block at first sight)
  • Blocco di applicazioni potenzialmente indesideratePotentially unwanted application blocking

Consenti connessioni al servizio cloud Microsoft Defender AntivirusAllow connections to the Microsoft Defender Antivirus cloud service

Il servizio cloud Microsoft Defender Antivirus fornisce una protezione rapida e avanzata per gli endpoint.The Microsoft Defender Antivirus cloud service provides fast, strong protection for your endpoints. L'abilitazione del servizio di protezione fornita dal cloud è facoltativa, tuttavia è altamente consigliata perché fornisce una protezione importante contro il malware sugli endpoint e sulla rete.Enabling the cloud-delivered protection service is optional, however it's highly recommended because it provides important protection against malware on your endpoints and across your network. Per informazioni dettagliate sull'abilitazione del servizio con Intune, Microsoft Endpoint Configuration Manager, Criteri di gruppo, cmdlet di PowerShell o su singoli client nell'app Sicurezza di Windows, vedere Enable cloud-delivered protection.See Enable cloud-delivered protection for details on enabling the service with Intune, Microsoft Endpoint Configuration Manager, Group Policy, PowerShell cmdlets, or on individual clients in the Windows Security app.

Dopo aver abilitato il servizio, potrebbe essere necessario configurare la rete o il firewall per consentire le connessioni tra il servizio e gli endpoint.After you've enabled the service, you might need to configure your network or firewall to allow connections between it and your endpoints. Poiché la protezione è un servizio cloud, i computer devono avere accesso a Internet e raggiungere i servizi di apprendimento automatico di Microsoft Defender per Office 365.Because your protection is a cloud service, computers must have access to the internet and reach the Microsoft Defender for Office 365 machine learning services. Non escludere l'URL *.blob.core.windows.net da qualsiasi tipo di ispezione di rete.Don't exclude the URL *.blob.core.windows.net from any kind of network inspection.

Nota

Il servizio cloud Microsoft Defender Antivirus è un meccanismo per fornire una protezione aggiornata alla rete e agli endpoint.The Microsoft Defender Antivirus cloud service is a mechanism for delivering updated protection to your network and endpoints. Anche se viene definito servizio cloud, non si tratta semplicemente di protezione per i file archiviati nel cloud, bensì di risorse distribuite e machine learning per fornire protezione agli endpoint a una velocità molto più veloce rispetto agli aggiornamenti tradizionali di Security Intelligence.Although it's called a cloud service, it's not simply protection for files stored in the cloud, rather it uses distributed resources and machine learning to deliver protection to your endpoints at a rate that is far faster than traditional Security intelligence updates.

Servizi e URLServices and URLs

Nella tabella di questa sezione sono elencati i servizi e gli indirizzi del sito Web (URL) associati.The table in this section lists the services and their associated website addresses (URLs).

Assicurarsi che non vi siano regole di filtro firewall o di rete che neghino l'accesso a questi URL.Make sure that there are no firewall or network filtering rules denying access to these URLs. In caso contrario, potrebbe essere necessario creare una regola di autorizzazione specifica per loro (escluso *.blob.core.windows.net l'URL).Otherwise, you might need to create an allow rule specifically for them (excluding the URL *.blob.core.windows.net). Gli URL nella tabella seguente utilizzano la porta 443 per le comunicazioni.The URLs in the following table use port 443 for communication.

Servizio e descrizioneService and description URLURL
Servizio di protezione fornito dal cloud di Microsoft Defender Antivirus, noto anche come Microsoft Active Protection Service (MAPS)Microsoft Defender Antivirus cloud-delivered protection service, also referred to as Microsoft Active Protection Service (MAPS)

Questo servizio viene utilizzato da Microsoft Defender Antivirus per fornire protezione tramite cloudThis service is used by Microsoft Defender Antivirus to provide cloud-delivered protection

*.wdcp.microsoft.com

*.wdcpalt.microsoft.com

*.wd.microsoft.com

Microsoft Update Service (MU) e Windows Update Service (WU)Microsoft Update Service (MU) and Windows Update Service (WU)

Questi servizi consentono l'intelligence per la sicurezza e gli aggiornamenti dei prodottiThese services allow for security intelligence and product updates

*.update.microsoft.com

*.delivery.mp.microsoft.com

*.windowsupdate.com

Per altri dettagli, vedi Endpoint di connessione per Windows UpdateFor more details, see Connection endpoints for Windows Update

Aggiornamenti di Intelligence per la sicurezza Percorso di download alternativo (ADL)Security intelligence updates Alternate Download Location (ADL)

Si tratta di un percorso alternativo per gli aggiornamenti dell'intelligence per la sicurezza di Microsoft Defender Antivirus se l'intelligence di sicurezza installata non è aggiornata (7 o più giorni dopo)This is an alternate location for Microsoft Defender Antivirus Security intelligence updates if the installed Security intelligence is out of date (7 or more days behind)

*.download.microsoft.com

*.download.windowsupdate.com

go.microsoft.com

https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx

Spazio di archiviazione per l'invio di malwareMalware submission storage

Questo è il percorso di caricamento per i file inviati a Microsoft tramite il modulo di invio o l'invio automatico di esempioThis is the upload location for files submitted to Microsoft via the Submission form or automatic sample submission

ussus1eastprod.blob.core.windows.net

ussus2eastprod.blob.core.windows.net

ussus3eastprod.blob.core.windows.net

ussus4eastprod.blob.core.windows.net

wsus1eastprod.blob.core.windows.net

wsus2eastprod.blob.core.windows.net

ussus1westprod.blob.core.windows.net

ussus2westprod.blob.core.windows.net

ussus3westprod.blob.core.windows.net

ussus4westprod.blob.core.windows.net

wsus1westprod.blob.core.windows.net

wsus2westprod.blob.core.windows.net

usseu1northprod.blob.core.windows.net

wseu1northprod.blob.core.windows.net

usseu1westprod.blob.core.windows.net

wseu1westprod.blob.core.windows.net

ussuk1southprod.blob.core.windows.net

wsuk1southprod.blob.core.windows.net

ussuk1westprod.blob.core.windows.net

wsuk1westprod.blob.core.windows.net

Elenco di revoche di certificati (CRL)Certificate Revocation List (CRL)

Questo elenco viene utilizzato da Windows durante la creazione della connessione SSL a MAPS per l'aggiornamento del CRLThis list is used by Windows when creating the SSL connection to MAPS for updating the CRL

http://www.microsoft.com/pkiops/crl/

http://www.microsoft.com/pkiops/certs

http://crl.microsoft.com/pki/crl/products

http://www.microsoft.com/pki/certs

Archivio simboliSymbol Store

L'archivio dei simboli viene utilizzato da Microsoft Defender Antivirus per ripristinare determinati file critici durante i flussi di correzioneThe symbol store is used by Microsoft Defender Antivirus to restore certain critical files during remediation flows

https://msdl.microsoft.com/download/symbols
Client di telemetria universaleUniversal Telemetry Client

Questo client viene utilizzato da Windows per inviare dati di diagnostica clientThis client is used by Windows to send client diagnostic data

Microsoft Defender Antivirus usa la telemetria per il monitoraggio della qualità del prodottoMicrosoft Defender Antivirus uses telemetry for product quality monitoring purposes

L'aggiornamento utilizza SSL (porta TCP 443) per scaricare manifesti e caricare dati di diagnostica in Microsoft che utilizza gli endpoint DNS seguenti:The update uses SSL (TCP Port 443) to download manifests and upload diagnostic data to Microsoft that uses the following DNS endpoints:

vortex-win.data.microsoft.com

settings-win.data.microsoft.com

Convalidare le connessioni tra la rete e il cloudValidate connections between your network and the cloud

Dopo aver consentito gli URL elencati in precedenza, puoi verificare se sei connesso al servizio cloud Microsoft Defender Antivirus e stai correttamente segnalando e ricevendo informazioni per assicurarti di essere completamente protetto.After allowing the URLs listed above, you can test if you're connected to the Microsoft Defender Antivirus cloud service and are correctly reporting and receiving information to ensure you're fully protected.

Usare lo strumento cmdline per convalidare la protezione recapitata nel cloudUse the cmdline tool to validate cloud-delivered protection

Utilizzare l'argomento seguente con l'utilità da riga di comando ( ) di Microsoft Defender Antivirus per verificare che la rete possa comunicare con il servizio mpcmdrun.exe cloud Microsoft Defender Antivirus:Use the following argument with the Microsoft Defender Antivirus command-line utility (mpcmdrun.exe) to verify that your network can communicate with the Microsoft Defender Antivirus cloud service:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Nota

È necessario aprire una versione a livello di amministratore del prompt dei comandi.You need to open an administrator-level version of the command prompt. Fare clic con il pulsante destro del mouse sull'elemento nel menu Start, scegliere Esegui come amministratore e fare clic su al prompt delle autorizzazioni.Right-click the item in the Start menu, click Run as administrator and click Yes at the permissions prompt. Questo comando funzionerà solo in Windows 10 versione 1703 o successiva.This command will only work on Windows 10, version 1703 or higher.

Per ulteriori informazioni, vedere Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool.For more information, see Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool.

Tentare di scaricare un file di malware falso da MicrosoftAttempt to download a fake malware file from Microsoft

Puoi scaricare un file di esempio che Microsoft Defender Antivirus rileverà e bloccherà se sei connesso correttamente al cloud.You can download a sample file that Microsoft Defender Antivirus will detect and block if you're properly connected to the cloud.

Scaricare il file visitando https://aka.ms/ioavtest .Download the file by visiting https://aka.ms/ioavtest.

Nota

Questo file non è un malware effettivo.This file is not an actual piece of malware. Si tratta di un file fittizio progettato per verificare se si è connessi correttamente al cloud.It's a fake file that is designed to test if you're properly connected to the cloud.

Se si è connessi correttamente, verrà visualizzata una notifica di avviso di Microsoft Defender Antivirus.If you're properly connected, you'll see a warning Microsoft Defender Antivirus notification.

Se si usa Microsoft Edge, verrà visualizzato anche un messaggio di notifica:If you're using Microsoft Edge, you'll also see a notification message:

Screenshot della notifica che il malware è stato trovato in Edge

Se si usa Internet Explorer, viene visualizzato un messaggio simile:A similar message occurs if you're using Internet Explorer:

Notifica di Microsoft Defender AV che indica che è stato rilevato malware

Vedrai anche un rilevamento in Minacce in quarantena nella sezione Cronologia analisi nell'app Sicurezza di Windows:You'll also see a detection under Quarantined threats in the Scan history section in the Windows Security app:

  1. Apri l'app Sicurezza di Windows facendo clic sull'icona scudo nella barra delle applicazioni o cercando sicurezza nel menu Start.Open the Windows Security app by clicking the shield icon in the task bar or searching the start menu for Security.

  2. Selezionare Protezione da virus & protezione dalle minacce e quindi selezionare Cronologia protezione.Select Virus & threat protection, and then select Protection history.

  3. Nella sezione Minacce in quarantena seleziona Visualizza cronologia completa per visualizzare il malware contraffatto rilevato.Under the Quarantined threats section, select See full history to see the detected fake malware.

    Nota

    Le versioni di Windows 10 precedenti alla versione 1703 hanno un'interfaccia utente diversa.Versions of Windows 10 before version 1703 have a different user interface. Vedi Microsoft Defender Antivirus nell'app Sicurezza di Windows.See Microsoft Defender Antivirus in the Windows Security app.

    Nel registro eventi di Windows verrà inoltre visualizzato Windows Defender id evento client 1116.The Windows event log will also show Windows Defender client event ID 1116.