Konfigurera och verifiera nätverksanslutningar för Microsoft Defender Antivirus

Gäller för:

För att Microsoft Defender Antivirus moln levererat skydd fungerar korrekt måste säkerhetsteamet konfigurera nätverket så att anslutningar tillåts mellan slutpunkterna och vissa Microsoft-servrar. I den här artikeln finns en lista över anslutningar som måste tillåtas för att använda brandväggsregler. Här finns även anvisningar för hur du verifierar anslutningen. Om du konfigurerar skyddet på rätt sätt får du bästa möjliga värde från dina moln leveransskyddstjänster.

Viktigt

Den här artikeln innehåller information om hur du endast konfigurerar nätverksanslutningar för Microsoft Defender Antivirus. Om du använder Microsoft Defender för slutpunkt (som innehåller Microsoft Defender Antivirus) kan du gå till Konfigurera enhetsproxy och Internetanslutningsinställningar för Defender för slutpunkt.

Tillåt anslutningar till Microsoft Defender Antivirus molntjänst

Den Microsoft Defender Antivirus molntjänsten ger snabbt och starkt skydd för dina slutpunkter. Det är valfritt att aktivera den molnbaserade skyddstjänsten. Microsoft Defender Antivirus molntjänsten rekommenderas eftersom den ger ett viktigt skydd mot skadlig programvara på slutpunkter och nätverk. Mer information finns i Aktivera moln levererat skydd för att aktivera tjänsten med Intune, Microsoft Endpoint Configuration Manager, Grupprincip, PowerShell-cmdlets eller enskilda klienter i Windows-säkerhet-appen.

När du har aktiverat tjänsten måste du konfigurera nätverket eller brandväggen så att anslutningar mellan nätverket och slutpunkterna tillåts. Eftersom ditt skydd är en molntjänst måste datorerna ha tillgång till Internet och kunna nå Microsofts molntjänster. Exkludera inte URL:en från *.blob.core.windows.net någon typ av nätverksinspektion.

Anteckning

Den Microsoft Defender Antivirus molntjänsten ger uppdaterat skydd till ditt nätverk och dina slutpunkter. Molntjänsten bör inte ses som endast skydd för filer som lagras i molnet. Istället använder molntjänsten distribuerade resurser och maskininlärning för att ge skydd till slutpunkterna snabbare än de traditionella säkerhetsintelligensuppdateringarna.

Tjänster och URL:er

I tabellen i det här avsnittet visas tjänster och deras associerade webbadresser (URL:er).

Kontrollera att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er. Annars måste du skapa en tillåta-regel specifikt för dessa URL:er (exklusive URL:en *.blob.core.windows.net). URL:erna i följande tabell använder port 443 för kommunikation.



Tjänst och beskrivning URL
Microsoft Defender Antivirus moln levererad skyddstjänst kallas för Microsoft Active Protection Service (MAPS).

Den Microsoft Defender Antivirus använder MAPS-tjänsten för att tillhandahålla moln levererat skydd.

*.wdcp.microsoft.com

*.wdcpalt.microsoft.com

*.wd.microsoft.com

Microsoft Update Service (MU) och Windows Update Service (WU)

Dessa tjänster kommer att tillåta säkerhetsinformation och produktuppdateringar.

*.update.microsoft.com

*.delivery.mp.microsoft.com

*.windowsupdate.com

Mer information finns i Anslutningsslutpunkter för Windows Uppdatering

Alternativ nedladdningsplats för säkerhetsintelligensuppdateringar (ADL)

Det här är en alternativ plats Microsoft Defender Antivirus säkerhetsintelligensuppdateringar, om den installerade säkerhetsintelligensen är in gammal (sju eller fler dagar efter).

*.download.microsoft.com

*.download.windowsupdate.com

go.microsoft.com

https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx

Lagring av inskickade skadlig programvara

Det här är en överföringsplats för filer som skickats till Microsoft via formulär för inskickning eller automatisk exempelinskickning.

ussus1eastprod.blob.core.windows.net

ussus2eastprod.blob.core.windows.net

ussus3eastprod.blob.core.windows.net

ussus4eastprod.blob.core.windows.net

wsus1eastprod.blob.core.windows.net

wsus2eastprod.blob.core.windows.net

ussus1westprod.blob.core.windows.net

ussus2westprod.blob.core.windows.net

ussus3westprod.blob.core.windows.net

ussus4westprod.blob.core.windows.net

wsus1westprod.blob.core.windows.net

wsus2westprod.blob.core.windows.net

usseu1northprod.blob.core.windows.net

wseu1northprod.blob.core.windows.net

usseu1westprod.blob.core.windows.net

wseu1westprod.blob.core.windows.net

ussuk1southprod.blob.core.windows.net

wsuk1southprod.blob.core.windows.net

ussuk1westprod.blob.core.windows.net

wsuk1westprod.blob.core.windows.net

Certifikatåterkallningslista (CRL)

Windows den här listan när du skapar SSL-anslutningen till KARTOR för att uppdatera CRL.

http://www.microsoft.com/pkiops/crl/

http://www.microsoft.com/pkiops/certs

http://crl.microsoft.com/pki/crl/products

http://www.microsoft.com/pki/certs

Symbolarkiv

Microsoft Defender Antivirus använda symbolarkivet för att återställa vissa kritiska filer under åtgärdsflödena.

https://msdl.microsoft.com/download/symbols
Universal GDPR Client

Windows du använder klienten för att skicka klientdiagnostikdata.

Microsoft Defender Antivirus använder dataskyddsförordningen för produktkvalitet och övervakningssyfte.

Uppdateringen använder SSL (TCP Port 443) för att ladda ned manifest och ladda upp diagnostikdata till Microsoft som använder följande DNS-slutpunkter:

vortex-win.data.microsoft.com

settings-win.data.microsoft.com

Verifiera anslutningar mellan ditt nätverk och molnet

När du har tillått webbadresserna ska du testa om du är ansluten Microsoft Defender Antivirus molntjänsten. Testa att URL:erna rapporterar och tar emot information för att säkerställa att du är helt skyddad.

Använda cmdline-verktyget för att verifiera moln levererat skydd

Använd följande argument med kommandoradsverktyget Microsoft Defender Antivirus (mpcmdrun.exe) för att verifiera att nätverket kan kommunicera Microsoft Defender Antivirus molntjänsten:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Anteckning

Öppna Kommandotolken som administratör. Högerklicka på objektet på Start-menyn , klicka på Kör som administratör och klicka på Ja när behörigheter efterfrågas. Det här kommandot fungerar bara i Windows 10, version 1703 eller senare eller Windows 11.

Mer information finns i Hantera Microsoft Defender Antivirus med mpcmdrun.exe kommandoradsverktyget.

Försök att ladda ned en falsk skadlig fil från Microsoft

Du kan ladda ned en exempelfil Microsoft Defender Antivirus kan identifiera och blockera om du är korrekt ansluten till molnet. Gå https://aka.ms/ioavtest till för att ladda ned filen.

Anteckning

Den nedladdade filen är inte exakt skadlig kod. Det är en falsk fil som utformats för att testa om du är korrekt ansluten till molnet.

Om du är korrekt ansluten visas en varning om Microsoft Defender Antivirus meddelande.

Om du använder Microsoft Edge visas även ett meddelande:

Skärmbild av ett meddelande om att skadlig programvara hittades i Azure IoT Edge.

Ett liknande meddelande visas om du använder Internet Explorer:

Microsoft Defender AV-meddelande om att skadlig programvara hittades.

Visa den falska identifieringen av skadlig kod i Windows-säkerhet program

  1. I aktivitetsfältet väljer du Sköldikonen och öppnar Windows-säkerhet appen. Du kan också söka efter säkerhetStart.

  2. Välj Virus & skydd mot hot och välj sedan Historik för skydd.

  3. Under avsnittet Hot i karantän väljer du Se fullständig historik för att se den identifierade falska skadlig programvara.

    Anteckning

    Versioner av Windows 10 version 1703 har ett annat användargränssnitt. Se Microsoft Defender Antivirus i Windows-säkerhet appen.

    I Windows händelseloggen visas också Windows Defender klienthändelse-ID 1116.

Se även