Netwerkverbindingen van Microsoft Defender Antivirus configureren en valideren

Van toepassing op:

Om ervoor te Microsoft Defender Antivirus beveiliging in de cloud correct werkt, moet uw beveiligingsteam uw netwerk zo configureren dat verbindingen tussen uw eindpunten en bepaalde Microsoft-servers worden toegestaan. In dit artikel worden de verbindingen vermeld die moeten worden toegestaan, bijvoorbeeld met behulp van firewallregels, en worden instructies gegeven voor het valideren van uw verbinding. Als u uw beveiliging correct configureert, kunt u ervoor zorgen dat u de beste waarde ontvangt van uw beveiligingsservices die in de cloud worden geleverd.

Zie het blogbericht Belangrijke wijzigingen in het eindpunt van Microsoft Active Protection Services voor meer informatie over netwerkconnectiviteit.

Tip

Ga naar de demowebsite van Microsoft Defender voor Eindpunt demo.wd.microsoft.com om te bevestigen dat de volgende functies werken:

  • Cloudbeveiliging
  • Snel leren (inclusief blok op het eerste gezicht)
  • Mogelijk ongewenste blokkering van toepassingen

Verbindingen met de Microsoft Defender Antivirus cloudservice toestaan

De Microsoft Defender Antivirus cloudservice biedt snelle, krachtige beveiliging voor uw eindpunten. Het inschakelen van de door de cloud geleverde beveiligingsservice is optioneel, maar het wordt ten zeerste aanbevolen omdat deze belangrijke bescherming biedt tegen malware op uw eindpunten en in uw netwerk. Zie Beveiliging in de cloud inschakelen voor meer informatie over het inschakelen van de service met Intune, Microsoft Endpoint Configuration Manager, Groepsbeleid, PowerShell-cmdlets of op afzonderlijke clients in de Windows-beveiliging app.

Nadat u de service hebt ingeschakeld, moet u mogelijk uw netwerk of firewall configureren om verbindingen tussen de service en uw eindpunten toe te staan. Omdat uw beveiliging een cloudservice is, moeten computers toegang hebben tot internet en toegang hebben tot de Microsoft Defender voor Office 365 machine learning-services. Sluit de URL niet uit *.blob.core.windows.net van een netwerkcontrole.

Notitie

De Microsoft Defender Antivirus cloudservice is een mechanisme voor het leveren van bijgewerkte beveiliging aan uw netwerk en eindpunten. Hoewel het een cloudservice wordt genoemd, is het niet alleen beveiliging voor bestanden die zijn opgeslagen in de cloud, maar worden gedistribueerde resources en machine learning gebruikt om uw eindpunten te beschermen tegen een snelheid die veel sneller is dan traditionele beveiligingsintelligentie-updates.

Services en URL's

De tabel in deze sectie bevat de services en de bijbehorende websiteadressen (URL's).

Zorg ervoor dat er geen firewall- of netwerkfilterregels zijn die toegang tot deze URL's weigeren. Anders moet u mogelijk een regel voor toestaan speciaal voor hen maken (met uitzondering van de *.blob.core.windows.net URL). De URL's in de volgende tabel gebruiken poort 443 voor communicatie.



Service en beschrijving URL
Microsoft Defender Antivirus door de cloud geleverde beveiligingsservice, ook wel Microsoft Active Protection Service (KAARTEN)

Deze service wordt door Microsoft Defender Antivirus gebruikt om beveiliging in de cloud te bieden

*.wdcp.microsoft.com

*.wdcpalt.microsoft.com

*.wd.microsoft.com

Microsoft Update Service (MU) en Windows Update Service (WU)

Deze services maken beveiligingsinformatie en productupdates mogelijk

*.update.microsoft.com

*.delivery.mp.microsoft.com

*.windowsupdate.com

Zie Verbindings eindpunten voor Windows Update voor meer informatie

Beveiligingsinformatieupdates Alternatieve downloadlocatie (ADL)

Dit is een alternatieve locatie voor Microsoft Defender Antivirus beveiligingsinformatieupdates als de geïnstalleerde beveiligingsintelligentie verouderd is (7 of meer dagen achter)

*.download.microsoft.com

*.download.windowsupdate.com

go.microsoft.com

https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx

Opslag voor malware indienen

Dit is de uploadlocatie voor bestanden die naar Microsoft zijn verzonden via het formulier Voorzending of automatische voorbeeldinzending

ussus1eastprod.blob.core.windows.net

ussus2eastprod.blob.core.windows.net

ussus3eastprod.blob.core.windows.net

ussus4eastprod.blob.core.windows.net

wsus1eastprod.blob.core.windows.net

wsus2eastprod.blob.core.windows.net

ussus1westprod.blob.core.windows.net

ussus2westprod.blob.core.windows.net

ussus3westprod.blob.core.windows.net

ussus4westprod.blob.core.windows.net

wsus1westprod.blob.core.windows.net

wsus2westprod.blob.core.windows.net

usseu1northprod.blob.core.windows.net

wseu1northprod.blob.core.windows.net

usseu1westprod.blob.core.windows.net

wseu1westprod.blob.core.windows.net

ussuk1southprod.blob.core.windows.net

wsuk1southprod.blob.core.windows.net

ussuk1westprod.blob.core.windows.net

wsuk1westprod.blob.core.windows.net

Intrekkingslijst voor certificaten (CRL)

Deze lijst wordt gebruikt door Windows bij het maken van de SSL-verbinding met KAARTEN voor het bijwerken van de CRL

http://www.microsoft.com/pkiops/crl/

http://www.microsoft.com/pkiops/certs

http://crl.microsoft.com/pki/crl/products

http://www.microsoft.com/pki/certs

Symbol Store

Het symboolopslag wordt gebruikt door Microsoft Defender Antivirus om bepaalde kritieke bestanden te herstellen tijdens herstelstromen

https://msdl.microsoft.com/download/symbols
Universele telemetrieclient

Deze client wordt gebruikt door Windows om diagnostische gegevens van de client te verzenden

Microsoft Defender Antivirus telemetrie gebruikt voor productkwaliteitscontroledoeleinden

De update gebruikt SSL (TCP-poort 443) om manifesten te downloaden en diagnostische gegevens te uploaden naar Microsoft met de volgende DNS-eindpunten:

vortex-win.data.microsoft.com

settings-win.data.microsoft.com

Verbindingen tussen uw netwerk en de cloud valideren

Nadat u de bovenstaande URL's hebt toestaan, kunt u testen of u verbonden bent met de Microsoft Defender Antivirus-cloudservice en correct gegevens rapporteert en ontvangt om ervoor te zorgen dat u volledig bent beveiligd.

Het cmdline-hulpprogramma gebruiken om beveiliging in de cloud te valideren

Gebruik het volgende argument met Microsoft Defender Antivirus opdrachtregelprogramma () om te controleren of uw netwerk kan communiceren met de mpcmdrun.exe Microsoft Defender Antivirus cloudservice:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Notitie

U moet een versie op beheerdersniveau van de opdrachtprompt openen. Klik met de rechtermuisknop op het item in Startmenu, klik op Uitvoeren als beheerder en klik op Ja bij de machtigingenprompt. Deze opdracht werkt alleen op Windows 10, versie 1703 of hoger.

Zie Beheer uw Microsoft Defender Antivirus met mpcmdrun.exe opdrachtregel voor meer informatie.

Poging om een nep-malwarebestand van Microsoft te downloaden

U kunt een voorbeeldbestand downloaden dat Microsoft Defender Antivirus wordt gedetecteerd en geblokkeerd als u goed bent verbonden met de cloud.

Download het bestand door naar https://aka.ms/ioavtest .

Notitie

Dit bestand is geen echt stukje malware. Het is een nepbestand dat is ontworpen om te testen of u goed verbonden bent met de cloud.

Als u goed verbonden bent, ziet u een waarschuwing Microsoft Defender Antivirus melding.

Als u een Microsoft Edge gebruikt, ziet u ook een meldingsbericht:

Schermafbeelding van de melding dat malware is gevonden in Edge.

Een soortgelijk bericht treedt op als u Internet Explorer gebruikt:

Microsoft Defender AV melding dat malware is gevonden.

U ziet ook een detectie onder In quarantaine geplaatste bedreigingen in de sectie Scangeschiedenis in de Windows-beveiliging app:

  1. Open de Windows-beveiliging app door op het schildpictogram op de taakbalk te klikken of door te zoeken in het startmenu voor beveiliging.

  2. Selecteer Virusbeveiliging & en selecteer vervolgens Beveiligingsgeschiedenis.

  3. Selecteer onder de sectie In quarantaine geplaatste bedreigingen de optie Volledige geschiedenis bekijken om de gedetecteerde nep-malware te zien.

    Notitie

    Versies van Windows 10 versie 1703 hebben een andere gebruikersinterface. Zie Microsoft Defender Antivirus in de Windows-beveiliging app.

    In Windows gebeurtenislogboek wordt ook Windows Defender clientgebeurtenis-id 1116.

Zie ook