Konfigurera och verifiera nätverksanslutningar för Microsoft Defender Antivirus
Gäller för:
För att Microsoft Defender Antivirus moln levererat skydd fungerar korrekt måste säkerhetsteamet konfigurera nätverket så att anslutningar tillåts mellan slutpunkterna och vissa Microsoft-servrar. I den här artikeln finns en lista över anslutningar som måste tillåtas för att använda brandväggsregler. Här finns även anvisningar för hur du verifierar anslutningen. Om du konfigurerar skyddet på rätt sätt får du bästa möjliga värde från dina moln leveransskyddstjänster.
Viktigt
Den här artikeln innehåller information om hur du endast konfigurerar nätverksanslutningar för Microsoft Defender Antivirus. Om du använder Microsoft Defender för slutpunkt (som innehåller Microsoft Defender Antivirus) kan du gå till Konfigurera enhetsproxy och Internetanslutningsinställningar för Defender för slutpunkt.
Tillåt anslutningar till Microsoft Defender Antivirus molntjänst
Den Microsoft Defender Antivirus molntjänsten ger snabbt och starkt skydd för dina slutpunkter. Det är valfritt att aktivera den molnbaserade skyddstjänsten. Microsoft Defender Antivirus molntjänsten rekommenderas eftersom den ger ett viktigt skydd mot skadlig programvara på slutpunkter och nätverk. Mer information finns i Aktivera moln levererat skydd för att aktivera tjänsten med Intune, Microsoft Endpoint Configuration Manager, Grupprincip, PowerShell-cmdlets eller enskilda klienter i Windows-säkerhet-appen.
När du har aktiverat tjänsten måste du konfigurera nätverket eller brandväggen så att anslutningar mellan nätverket och slutpunkterna tillåts. Eftersom ditt skydd är en molntjänst måste datorerna ha tillgång till Internet och kunna nå Microsofts molntjänster. Exkludera inte URL:en från *.blob.core.windows.net någon typ av nätverksinspektion.
Anteckning
Den Microsoft Defender Antivirus molntjänsten ger uppdaterat skydd till ditt nätverk och dina slutpunkter. Molntjänsten bör inte ses som endast skydd för filer som lagras i molnet. Istället använder molntjänsten distribuerade resurser och maskininlärning för att ge skydd till slutpunkterna snabbare än de traditionella säkerhetsintelligensuppdateringarna.
Tjänster och URL:er
I tabellen i det här avsnittet visas tjänster och deras associerade webbadresser (URL:er).
Kontrollera att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er. Annars måste du skapa en tillåta-regel specifikt för dessa URL:er (exklusive URL:en *.blob.core.windows.net). URL:erna i följande tabell använder port 443 för kommunikation.
| Tjänst och beskrivning | URL |
|---|---|
| Microsoft Defender Antivirus moln levererad skyddstjänst kallas för Microsoft Active Protection Service (MAPS). Den Microsoft Defender Antivirus använder MAPS-tjänsten för att tillhandahålla moln levererat skydd. |
*.wdcp.microsoft.com |
| Microsoft Update Service (MU) och Windows Update Service (WU) Dessa tjänster kommer att tillåta säkerhetsinformation och produktuppdateringar. |
*.update.microsoft.com Mer information finns i Anslutningsslutpunkter för Windows Uppdatering |
| Alternativ nedladdningsplats för säkerhetsintelligensuppdateringar (ADL) Det här är en alternativ plats Microsoft Defender Antivirus säkerhetsintelligensuppdateringar, om den installerade säkerhetsintelligensen är in gammal (sju eller fler dagar efter). |
*.download.microsoft.com |
| Lagring av inskickade skadlig programvara Det här är en överföringsplats för filer som skickats till Microsoft via formulär för inskickning eller automatisk exempelinskickning. |
ussus1eastprod.blob.core.windows.net |
| Certifikatåterkallningslista (CRL) Windows den här listan när du skapar SSL-anslutningen till KARTOR för att uppdatera CRL. |
http://www.microsoft.com/pkiops/crl/ |
| Symbolarkiv Microsoft Defender Antivirus använda symbolarkivet för att återställa vissa kritiska filer under åtgärdsflödena. |
https://msdl.microsoft.com/download/symbols |
| Universal GDPR Client Windows du använder klienten för att skicka klientdiagnostikdata. Microsoft Defender Antivirus använder dataskyddsförordningen för produktkvalitet och övervakningssyfte. |
Uppdateringen använder SSL (TCP Port 443) för att ladda ned manifest och ladda upp diagnostikdata till Microsoft som använder följande DNS-slutpunkter: |
Verifiera anslutningar mellan ditt nätverk och molnet
När du har tillått webbadresserna ska du testa om du är ansluten Microsoft Defender Antivirus molntjänsten. Testa att URL:erna rapporterar och tar emot information för att säkerställa att du är helt skyddad.
Använda cmdline-verktyget för att verifiera moln levererat skydd
Använd följande argument med kommandoradsverktyget Microsoft Defender Antivirus (mpcmdrun.exe) för att verifiera att nätverket kan kommunicera Microsoft Defender Antivirus molntjänsten:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Anteckning
Öppna Kommandotolken som administratör. Högerklicka på objektet på Start-menyn , klicka på Kör som administratör och klicka på Ja när behörigheter efterfrågas. Det här kommandot fungerar bara i Windows 10, version 1703 eller senare eller Windows 11.
Mer information finns i Hantera Microsoft Defender Antivirus med mpcmdrun.exe kommandoradsverktyget.
Försök att ladda ned en falsk skadlig fil från Microsoft
Du kan ladda ned en exempelfil Microsoft Defender Antivirus kan identifiera och blockera om du är korrekt ansluten till molnet. Gå https://aka.ms/ioavtest till för att ladda ned filen.
Anteckning
Den nedladdade filen är inte exakt skadlig kod. Det är en falsk fil som utformats för att testa om du är korrekt ansluten till molnet.
Om du är korrekt ansluten visas en varning om Microsoft Defender Antivirus meddelande.
Om du använder Microsoft Edge visas även ett meddelande:
Ett liknande meddelande visas om du använder Internet Explorer:
Visa den falska identifieringen av skadlig kod i Windows-säkerhet program
I aktivitetsfältet väljer du Sköldikonen och öppnar Windows-säkerhet appen. Du kan också söka efter säkerhet på Start.
Välj Virus & skydd mot hot och välj sedan Historik för skydd.
Under avsnittet Hot i karantän väljer du Se fullständig historik för att se den identifierade falska skadlig programvara.
Anteckning
Versioner av Windows 10 version 1703 har ett annat användargränssnitt. Se Microsoft Defender Antivirus i Windows-säkerhet appen.
I Windows händelseloggen visas också Windows Defender klienthändelse-ID 1116.