Поделиться через


Настройка и проверка сетевого подключения антивирусной программы "Защитник Windows"

Область применения:

Платформы

  • Windows

Чтобы обеспечить правильность работы Microsoft Defender антивирусной облачной защиты, команда безопасности должна настроить сеть, чтобы разрешить подключения между конечными точками и определенными серверами Майкрософт. В этой статье перечислены подключения, которые должны быть разрешены для использования правил брандмауэра. В нем также содержатся инструкции по проверке подключения. Правильная настройка защиты гарантирует, что вы получите наилучшую ценность от облачных служб защиты.

Важно!

Эта статья содержит сведения о настройке сетевых подключений только для Microsoft Defender антивирусной программы. Если вы используете Microsoft Defender для конечной точки (включая антивирусную программу Microsoft Defender), см. статью Настройка параметров прокси-сервера устройства и подключения к Интернету для Defender для конечной точки.

Разрешить подключения к облачной службе антивирусной Microsoft Defender

Облачная служба антивирусной программы Microsoft Defender обеспечивает быструю и надежную защиту конечных точек. Включить облачную службу защиты необязательно. рекомендуется Microsoft Defender облачная служба антивирусной программы, так как она обеспечивает важную защиту от вредоносных программ в конечных точках и сети. Дополнительные сведения см. в статье Включение облачной защиты для включения службы с помощью Intune, microsoft Endpoint Configuration Manager, групповая политика, командлетов PowerShell или отдельных клиентов в приложении Безопасность Windows.

После включения службы необходимо настроить сеть или брандмауэр, чтобы разрешить подключения между сетью и конечными точками. Так как защита является облачной службой, компьютеры должны иметь доступ к Интернету и обращаться к облачным службам Майкрософт. Не исключайте URL-адрес *.blob.core.windows.net из любой проверки сети.

Примечание.

Облачная служба антивирусной программы Microsoft Defender обеспечивает обновленную защиту сети и конечных точек. Облачная служба не должна рассматриваться как защита только для файлов, хранящихся в облаке; Вместо этого облачная служба использует распределенные ресурсы и машинное обучение для обеспечения защиты конечных точек быстрее, чем традиционные обновления аналитики безопасности.

Службы и URL-адреса

В таблице в этом разделе перечислены службы и связанные с ними адреса веб-сайтов (URL-адреса).

Убедитесь, что нет правил фильтрации брандмауэра или сети, запрещающих доступ к этим URL-адресам. В противном случае необходимо создать правило разрешения специально для этих URL-адресов (за исключением URL-адреса *.blob.core.windows.net). URL-адреса в следующей таблице используют порт 443 для связи. (Порт 80 также требуется для некоторых URL-адресов, как указано в следующей таблице.)

Служба и описание URL-адрес
Microsoft Defender антивирусная облачная служба защиты называется Microsoft Active Protection Service (MAPS).
антивирусная программа Microsoft Defender использует службу MAPS для обеспечения облачной защиты.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Служба Центра обновления Майкрософт (MU) и служба клиентский компонент Центра обновления Windows (WU)
Эти службы поддерживают аналитику безопасности и обновления продуктов.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Дополнительные сведения см. в статье Конечные точки подключения для клиентский компонент Центра обновления Windows.
Альтернативное расположение загрузки обновлений аналитики безопасности (ADL)
Это альтернативное расположение для Microsoft Defender обновлений антивирусной аналитики безопасности, если установленная аналитика безопасности устарела (отстает от семи дней или более).
*.download.microsoft.com
*.download.windowsupdate.com (Требуется порт 80)
go.microsoft.com (Требуется порт 80)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Хранилище отправки вредоносных программ
Это расположение для отправки файлов, отправленных в корпорацию Майкрософт с помощью формы отправки или автоматической отправки образцов.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Список отзыва сертификатов (CRL)
Windows использует этот список при создании SSL-подключения к MAPS для обновления списка отзыва сертификатов.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Универсальный клиент GDPR
Windows использует этот клиент для отправки диагностических данных клиента.

Microsoft Defender антивирусная программа использует Общий регламент по защите данных для качества продукции и мониторинга.
Обновление использует ПРОТОКОЛ SSL (TCP-порт 443) для скачивания манифестов и отправки диагностических данных в корпорацию Майкрософт, которая использует следующие конечные точки DNS:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Проверка подключений между сетью и облаком

После разрешения перечисленных URL-адресов проверьте, подключены ли вы к облачной службе Microsoft Defender антивирусной программы. Убедитесь, что URL-адреса правильно передают и получают сведения, чтобы убедиться, что вы полностью защищены.

Проверка облачной защиты с помощью средства cmdline

Используйте следующий аргумент со служебной программой командной строки антивирусной программы Microsoft Defender (mpcmdrun.exe), чтобы убедиться, что сеть может взаимодействовать с облачной службой антивирусной программы Microsoft Defender:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Примечание.

Откройте окно командной строки от имени администратора. Щелкните правой кнопкой мыши элемент в меню "Пуск" , выберите Запуск от имени администратора и выберите да в запросе разрешений. Эта команда будет работать только в Windows 10 версии 1703 или более поздней или Windows 11.

Дополнительные сведения см. в статье Управление антивирусной программой Microsoft Defender с помощью средства командной строки mpcmdrun.exe.

Сообщения об ошибках

Ниже приведены некоторые сообщения об ошибках.

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Первопричины

Основная причина этих сообщений об ошибках заключается в том, что на устройстве не настроен прокси-сервер для всей WinHttp системы. Если этот прокси-сервер не задан, операционная система не знает о прокси-сервере и не может получить список отзыва отзыва сертификатов (операционная система делает это, а не Defender для конечной точки), что означает, что подключения TLS к URL-адресам http://cp.wd.microsoft.com/ не будут выполнены. Вы увидите успешные (ответ 200) подключения к конечным точкам, но подключения MAPS по-прежнему завершаются сбоем.

Решения

В следующей таблице перечислены решения.

Решение Описание
Решение (предпочтительное) Настройте общесистемный прокси-сервер WinHttp, который позволяет проверка CRL.
Решение (предпочтительное 2) 1. Перейдитев раздел Конфигурация > компьютераПараметры>Windows Параметры безопасности Политики открытых>ключей> Параметрыпроверки пути к сертификату.
2. Перейдите на вкладку Получение сети, а затем выберите Определить эти параметры политики.
3. Снимите флажок Автоматически обновлять сертификаты в программе корневых сертификатов Майкрософт (рекомендуется) проверка.

Ниже приведены некоторые полезные ресурсы:
- Настройка доверенных корневых и запрещенных сертификатов
- Повышение времени запуска приложения: параметр GeneratePublisherEvidence в Machine.config
Решение для обхода (альтернатива)
Это не рекомендуется, так как вы больше не проверяете наличие отозванных сертификатов или закрепления сертификатов.
Отключите CRL проверка только для SPYNET.
Настройка этого реестра SSLOption отключает проверка CRL только для отчетов SPYNET. Это не повлияет на другие службы.

Перейдите в раздел HKLM\SOFTWARE\Policies\Microsoft\Защитник Windows\Spynet, а затем задайте значение SSLOptions (dword)2 (шестнадцатеричный).
Для справки ниже приведены возможные значения для DWORD:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Попытка скачать поддельный файл вредоносных программ из Корпорации Майкрософт

Вы можете скачать пример файла, который Microsoft Defender антивирусная программа обнаружит и заблокит, если вы правильно подключены к облаку.

Примечание.

Скачанный файл не является точно вредоносной программой. Это поддельный файл, предназначенный для проверки правильности подключения к облаку.

Если вы правильно подключены, вы увидите предупреждение Microsoft Defender уведомление антивирусной программы.

Если вы используете Microsoft Edge, вы также увидите уведомление:

Уведомление об обнаружении вредоносных программ в Edge

Аналогичное сообщение возникает, если вы используете интернет-Обозреватель:

Уведомление антивирусной программы Microsoft Defender об обнаружении вредоносных программ

Просмотр обнаружения поддельных вредоносных программ в приложении Безопасность Windows

  1. На панели задач щелкните значок Щит, откройте приложение Безопасность Windows. Или выполните поиск на начальном экране по запросу Безопасность.

  2. Выберите Антивирусная & защита от угроз, а затем выберите Журнал защиты.

  3. В разделе Угрозы, помещенные в карантин , выберите Просмотреть полный журнал , чтобы просмотреть обнаруженные поддельные вредоносные программы.

    Примечание.

    Версии Windows 10 до версии 1703 имеют другой пользовательский интерфейс. См. статью Антивирусная программа Microsoft Defender в приложении Безопасность Windows.

    В журнале событий Windows также будет отображаться Защитник Windows событие клиента с идентификатором 1116.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.