Настройка и проверка сетевого подключения антивирусной программы "Защитник Windows"Configure and validate Microsoft Defender Antivirus network connections

Область применения:Applies to:

Чтобы обеспечить надстройку облачной защиты от антивируса Microsoft Defender, необходимо настроить сеть, чтобы разрешить подключение между конечными точками и определенными серверами Майкрософт.To ensure Microsoft Defender Antivirus cloud-delivered protection works properly, you need to configure your network to allow connections between your endpoints and certain Microsoft servers.

В этой статье перечислены подключения, которые необходимо разрешить, например с помощью правил брандмауэра, и перечислены инструкции по проверке подключения.This article lists the connections that must be allowed, such as by using firewall rules, and provides instructions for validating your connection. Правильная настройка защиты позволяет получить наилучшее значение от облачных служб защиты.Configuring your protection properly helps ensure that you receive the best value from your cloud-delivered protection services.

Некоторые сведения о подключении к сети см. в публикации "Важные изменения в конечной точке Службы активной защиты Майкрософт".See the blog post Important changes to Microsoft Active Protection Services endpoint for some details about network connectivity.

Совет

Вы также можете посетить веб-сайт демонстрации Microsoft Defender для конечной точки в demo.wd.microsoft.com, чтобы подтвердить, что работают следующие функции:You can also visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm the following features are working:

  • Облачная защитаCloud-delivered protection
  • Быстрое обучение (включая блок с первого взгляда)Fast learning (including block at first sight)
  • Блокировка потенциально нежелательных приложенийPotentially unwanted application blocking

Разрешить подключение к облачной облачной службе Microsoft Defender AntivirusAllow connections to the Microsoft Defender Antivirus cloud service

Облачная служба антивирусной защиты Microsoft Defender обеспечивает быструю и мощную защиту конечных точек.The Microsoft Defender Antivirus cloud service provides fast, strong protection for your endpoints. Включение облачной службы защиты является необязательным, однако она настоятельно рекомендуется, так как обеспечивает важную защиту от вредоносных программ в конечных точках и в сети.Enabling the cloud-delivered protection service is optional, however it's highly recommended because it provides important protection against malware on your endpoints and across your network.

Примечание

Облачная служба антивирусной защиты Microsoft Defender — это механизм доставки обновленной защиты в сеть и конечные точки.The Microsoft Defender Antivirus cloud service is a mechanism for delivering updated protection to your network and endpoints. Несмотря на то, что она называется облачной службой, она не просто обеспечивает защиту файлов, хранимых в облаке, а использует распределенные ресурсы и машинное обучение для обеспечения защиты конечных точек со скоростью, значительно более быстрой, чем традиционные обновления службы безопасности.Although it's called a cloud service, it's not simply protection for files stored in the cloud, rather it uses distributed resources and machine learning to deliver protection to your endpoints at a rate that is far faster than traditional Security intelligence updates.

Сведения о включив службу в intune, Microsoft Endpoint Configuration Manager, Group Policy, PowerShell или отдельных клиентах в приложении Windows Security, см. в материале Enable cloud-delivered protection.See Enable cloud-delivered protection for details on enabling the service with Intune, Microsoft Endpoint Configuration Manager, Group Policy, PowerShell cmdlets, or on individual clients in the Windows Security app.

После включения службы может потребоваться настроить сеть или брандмауэр, чтобы разрешить подключение между ней и конечными точками.After you've enabled the service, you may need to configure your network or firewall to allow connections between it and your endpoints.

Поскольку ваша защита является облачной службой, компьютеры должны иметь доступ к Интернету и получать доступ к службам машинного обучения Microsoft Defender для Office 365.Because your protection is a cloud service, computers must have access to the internet and reach the Microsoft Defender for Office 365 machine learning services. Не исключайте URL-адрес *.blob.core.windows.net любого вида сетевой проверки.Don't exclude the URL *.blob.core.windows.net from any kind of network inspection.

В таблице ниже перечислены службы и связанные с ними URL-адреса.The table below lists the services and their associated URLs. Убедитесь, что нет брандмауэра или правил фильтрации сети, отказывающих в доступе к этим URL-адресам, или вам может потребоваться создать правило разрешить специально для них (за исключением *.blob.core.windows.net URL-адреса).Make sure that there are no firewall or network filtering rules denying access to these URLs, or you may need to create an allow rule specifically for them (excluding the URL *.blob.core.windows.net). Ниже приведены URL-адреса, использующие порт 443 для связи.Below mention URLs are using port 443 for communication.

СлужбаService ОписаниеDescription URL-адресURL
Облачная служба защиты от антивируса Microsoft Defender, также именуемая Службой активной защиты Microsoft (MAPS)Microsoft Defender Antivirus cloud-delivered protection service, also referred to as Microsoft Active Protection Service (MAPS) Используется антивирусом Microsoft Defender для обеспечения облачной защитыUsed by Microsoft Defender Antivirus to provide cloud-delivered protection *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Служба обновления Майкрософт (MU)Microsoft Update Service (MU)
Служба обновления Windows (WU)Windows Update Service (WU)
Сведения о безопасности и обновления продуктовSecurity intelligence and product updates *.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com

Подробные сведения см. в материале Connection endpoints for Windows UpdateFor details see Connection endpoints for Windows Update
Сведения о безопасности обновляют альтернативное расположение загрузки (ADL)Security intelligence updates Alternate Download Location (ADL) Альтернативное расположение для обновлений антивирусной безопасности Microsoft Defender, если установленная разведка безопасности устарела (7 или более дней)Alternate location for Microsoft Defender Antivirus Security intelligence updates if the installed Security intelligence is out of date (7 or more days behind) *.download.microsoft.com
*.download.windowsupdate.com
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Хранение отправки вредоносных программMalware submission storage Отправка расположения для файлов, отправленных в Корпорацию Майкрософт с помощью формы отправки или автоматической отправки образцаUpload location for files submitted to Microsoft via the Submission form or automatic sample submission ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Список отзыва сертификатов (CRL)Certificate Revocation List (CRL) Используется Windows при создании подключения SSL к MAPS для обновления CRLUsed by Windows when creating the SSL connection to MAPS for updating the CRL http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Магазин символовSymbol Store Используется антивирусом Microsoft Defender для восстановления определенных критически важных файлов во время потоков исправленийUsed by Microsoft Defender Antivirus to restore certain critical files during remediation flows https://msdl.microsoft.com/download/symbols
Клиент универсальной телеметрииUniversal Telemetry Client Используется Windows для отправки диагностических данных клиента; Антивирус Microsoft Defender использует телеметрию для мониторинга качества продуктовUsed by Windows to send client diagnostic data; Microsoft Defender Antivirus uses telemetry for product quality monitoring purposes Обновление использует SSL (TCP Port 443) для скачивания манифестов и отправки диагностических данных в Корпорацию Майкрософт, которая использует следующие конечные точки DNS: vortex-win.data.microsoft.comThe update uses SSL (TCP Port 443) to download manifests and upload diagnostic data to Microsoft that uses the following DNS endpoints: vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Проверка подключений между сетью и облакомValidate connections between your network and the cloud

Разрешив указанные выше URL-адреса, вы можете проверить, подключены ли вы к облачной службе антивируса Microsoft Defender и правильно отчитываться и получать сведения, чтобы обеспечить полную защиту.After allowing the URLs listed above, you can test if you're connected to the Microsoft Defender Antivirus cloud service and are correctly reporting and receiving information to ensure you're fully protected.

Используйте средство cmdline для проверки облачной защиты:Use the cmdline tool to validate cloud-delivered protection:

Чтобы убедиться, что ваша сеть может взаимодействовать с облачной службой антивирусных программ Microsoft Defender, используйте следующий mpcmdrun.exe аргумент:Use the following argument with the Microsoft Defender Antivirus command-line utility (mpcmdrun.exe) to verify that your network can communicate with the Microsoft Defender Antivirus cloud service:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Примечание

Необходимо открыть версию командной подсказки на уровне администратора.You need to open an administrator-level version of the command prompt. Щелкните правой кнопкой мыши элемент в меню "Пуск", нажмите кнопку Запустить в качестве администратора и нажмите кнопку Да по запросу разрешений.Right-click the item in the Start menu, click Run as administrator and click Yes at the permissions prompt. Эта команда будет работать только в Windows 10, версии 1703 или выше.This command will only work on Windows 10, version 1703 or higher.

Дополнительные сведения см. в веб-сайте Управлениеантивирусом Microsoft Defender с помощью средства mpcmdrun.exe командной линии.For more information, see Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool.

Попытка скачать поддельный файл вредоносных программ из Microsoft:Attempt to download a fake malware file from Microsoft:

Вы можете скачать пример файла, который антивирус Microsoft Defender будет обнаруживать и блокировать, если вы правильно подключены к облаку.You can download a sample file that Microsoft Defender Antivirus will detect and block if you're properly connected to the cloud.

Скачайте файл, посетив https://aka.ms/ioavtest .Download the file by visiting https://aka.ms/ioavtest.

Примечание

Этот файл не является фактическим вредоносным программным обеспечением.This file is not an actual piece of malware. Это поддельный файл, который предназначен для проверки правильного подключения к облаку.It's a fake file that is designed to test if you're properly connected to the cloud.

Если вы подключены должным образом, вы увидите предупреждение о антивирусном оповещении Microsoft Defender.If you're properly connected, you'll see a warning Microsoft Defender Antivirus notification.

Если вы используете Microsoft Edge, вы также увидите сообщение уведомления:If you're using Microsoft Edge, you'll also see a notification message:

Microsoft Edge информирует пользователя о обнаружении вредоносных программ

Аналогичное сообщение возникает, если вы используете Internet Explorer:A similar message occurs if you're using Internet Explorer:

Антивирусное уведомление Microsoft Defender, информирующие пользователя о обнаружении вредоносных программ

Кроме того, в разделе История сканирования в приложении Windows Security вы также увидите обнаружение под карантинными угрозами: You'll also see a detection under Quarantined threats in the Scan history section in the Windows Security app:

  1. Откройте приложение Безопасности Windows, щелкнув значок щита в панели задач или нажав меню пусков для Defender.Open the Windows Security app by clicking the shield icon in the task bar or searching the start menu for Defender.

  2. Выберите плитку защиты & вирусов (или значок щита в левой панели меню), а затем метку истории сканирования:Select the Virus & threat protection tile (or the shield icon on the left menu bar) and then the Scan history label:

    Снимок экрана метки истории сканирования в приложении Безопасности Windows

  3. В разделе Карантин угроз выберите См. полную историю обнаружения поддельных вредоносных программ.Under the Quarantined threats section, select See full history to see the detected fake malware.

    Примечание

    Версии Windows 10 до версии 1703 имеют другой пользовательский интерфейс.Versions of Windows 10 before version 1703 have a different user interface. См. антивирус Microsoft Defender в приложении Windows Security.See Microsoft Defender Antivirus in the Windows Security app.

    В журнале событий Windows также будет Защитник Windows ИД события клиента 1116.The Windows event log will also show Windows Defender client event ID 1116.