Konfigurera och verifiera nätverksanslutningar för Microsoft Defender Antivirus
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Plattformar
- Windows
För att säkerställa att Microsoft Defender molnlevererad antivirusskydd fungerar korrekt måste ditt säkerhetsteam konfigurera nätverket så att det tillåter anslutningar mellan dina slutpunkter och vissa Microsoft-servrar. Den här artikeln innehåller en lista över anslutningar som måste tillåtas för att använda brandväggsreglerna. Den innehåller också instruktioner för att verifiera anslutningen. Genom att konfigurera ditt skydd på rätt sätt får du det bästa värdet från dina molnlevererad skyddstjänst.
Viktigt
Den här artikeln innehåller information om att endast konfigurera nätverksanslutningar för Microsoft Defender Antivirus. Om du använder Microsoft Defender för Endpoint (som innehåller Microsoft Defender Antivirus) kan du läsa Konfigurera enhetsproxy och Internetanslutningsinställningar för Defender för Endpoint.
Tillåt anslutningar till Microsoft Defender Antivirus-molntjänsten
Molntjänsten Microsoft Defender Antivirus ger snabbt och starkt skydd för dina slutpunkter. Det är valfritt att aktivera den molnlevererad skyddstjänsten. Microsoft Defender Antivirus-molntjänst rekommenderas eftersom den ger ett viktigt skydd mot skadlig kod på dina slutpunkter och nätverk. Mer information finns i Aktivera molnlevererat skydd för aktivering av tjänster med Intune, Microsoft Endpoint Configuration Manager, grupprincip, PowerShell-cmdletar eller enskilda klienter i Windows-säkerhet-appen.
När du har aktiverat tjänsten måste du konfigurera nätverket eller brandväggen för att tillåta anslutningar mellan nätverket och slutpunkterna. Eftersom ditt skydd är en molntjänst måste datorerna ha åtkomst till Internet och nå Microsofts molntjänster. Uteslut inte URL:en *.blob.core.windows.net från någon typ av nätverksgranskning.
Obs!
Molntjänsten Microsoft Defender Antivirus ger uppdaterat skydd till nätverket och slutpunkterna. Molntjänsten bör inte betraktas som endast skydd för dina filer som lagras i molnet. I stället använder molntjänsten distribuerade resurser och maskininlärning för att leverera skydd för dina slutpunkter snabbare än de traditionella uppdateringarna av säkerhetsinformation.
Tjänster och URL:er
Tabellen i det här avsnittet visar tjänster och deras associerade webbplatsadresser (URL:er).
Kontrollera att det inte finns några brandväggs- eller nätverksfiltreringsregler som nekar åtkomst till dessa URL:er. Annars måste du skapa en tillåt-regel specifikt för dessa URL:er (exklusive URL:en *.blob.core.windows.net). URL:erna i följande tabell använder port 443 för kommunikation. (Port 80 krävs också för vissa URL:er, enligt beskrivningen i följande tabell.)
| Tjänst och beskrivning | URL |
|---|---|
| Microsoft Defender Molnlevererad antivirusskyddstjänst kallas Microsoft Active Protection Service (MAPS). Microsoft Defender Antivirus använder MAPS-tjänsten för att tillhandahålla molnbaserat skydd. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) och Windows Update Service (WU) Dessa tjänster tillåter säkerhetsinformation och produktuppdateringar. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comMer information finns i Anslutningsslutpunkter för Windows Update. |
| Säkerhetsinformation uppdaterar alternativ nedladdningsplats (ADL) Det här är en alternativ plats för Microsoft Defender uppdateringar av antivirussäkerhetsinformation om den installerade säkerhetsinformationen är inaktuell (sju eller fler dagar efter). |
*.download.microsoft.com*.download.windowsupdate.com (Port 80 krävs)go.microsoft.com (Port 80 krävs)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Lagring av insändning av skadlig kod Det här är en uppladdningsplats för filer som skickas till Microsoft via formuläret Skicka eller automatisk sändning av exempel. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Lista över återkallade certifikat (CRL) Windows använder den här listan när du skapar SSL-anslutningen till MAPS för uppdatering av LISTAN. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Universell GDPR-klient Windows använder den här klienten för att skicka klientdiagnostikdata. Microsoft Defender Antivirus använder den allmänna dataskyddsförordningen för produktkvalitet och övervakningsändamål. |
Uppdateringen använder SSL (TCP-port 443) för att ladda ned manifest och ladda upp diagnostikdata till Microsoft som använder följande DNS-slutpunkter:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Verifiera anslutningar mellan ditt nätverk och molnet
När du har tillåtit webbadresserna i listan testar du om du är ansluten till Microsoft Defender Antivirus-molntjänsten. Testa att URL:erna rapporterar och tar emot information korrekt för att säkerställa att du är helt skyddad.
Använd cmdline-verktyget för att verifiera molnlevererat skydd
Använd följande argument med kommandoradsverktyget Microsoft Defender Antivirus (mpcmdrun.exe) för att kontrollera att nätverket kan kommunicera med molntjänsten Microsoft Defender Antivirus:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Obs!
Öppna Kommandotolken som administratör. Högerklicka på objektet på Start-menyn , klicka på Kör som administratör och klicka på Ja i behörighetsprompten. Det här kommandot fungerar bara på Windows 10 version 1703 eller senare eller Windows 11.
Mer information finns i Hantera Microsoft Defender Antivirus med kommandoradsverktyget mpcmdrun.exe.
Använd tabellerna nedan för att se felmeddelanden som du kan stöta på tillsammans med information om rotorsaken och möjliga lösningar:
| Felmeddelanden | Orsaken |
|---|---|
| Starttid: <Day_of_the_week> MM DD ÅÅÅÅÅ HH:MM:SS MpEnsureProcessMitigationPolicy: hr = 0x1 ValidateMapsConnection ValidateMapsConnection kunde inte upprätta en anslutning till MAPS (hr=0x80070006 httpcore=451) MpCmdRun.exe: hr = 0x80070006** ValidateMapsConnection kunde inte upprätta en anslutning till MAPS (hr=0x80072F8F httpcore=451) MpCmdRun.exe: hr = 0x80072F8F ValidateMapsConnection kunde inte upprätta en anslutning till MAPS (hr=0x80072EFE httpcore=451) MpCmdRun.exe: hr = 0x80072EFE |
Rotorsaken till dessa felmeddelanden är att enheten inte har sin systemomfattande WinHttp-proxy konfigurerad. Om du inte anger den systemomfattande WinHttp-proxyn är operativsystemet inte medvetet om proxyn och kan inte hämta listan över återkallade certifikat (operativsystemet gör detta, inte Defender för Endpoint), vilket innebär att TLS-anslutningar till URL:er som http://cp.wd.microsoft.com/ inte kommer att lyckas fullständigt. Du ser lyckade (svar 200)-anslutningar till slutpunkterna, men MAPS-anslutningarna skulle fortfarande misslyckas. |
| Lösning | Beskrivning |
|---|---|
| Lösning (rekommenderas) | Konfigurera den systemomfattande WinHttp-proxyn som tillåter CRL-kontrollen. |
| Lösning (föredras 2) | - Konfigurera Omdirigering av Microsofts url för automatisk uppdatering för en frånkopplad miljö - Konfigurera en server som har åtkomst till Internet för att hämta CTL-filerna - Omdirigera Microsofts url för automatisk uppdatering för en frånkopplad miljö Användbara referenser: – Gå till Datorkonfiguration > Windows-inställningar > Säkerhetsinställningar > Offentliga nyckelprinciper > Certifikatsökvägsvalideringsinställningar>Välj fliken> NätverkshämtningVälj Definiera dessa principinställningar>Välj för att avmarkera kryssrutan Uppdatera certifikat automatiskt i Microsofts rotcertifikatprogram (rekommenderas). - Verifiering av listan över återkallade certifikat (CRL) – ett programval - https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows - https://technet.microsoft.com/library/dn265983(v=ws.11).aspx - /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/ |
| Lösning för arbete (alternativ) Det är inte bästa praxis eftersom du inte längre söker efter återkallade certifikat eller certifikat som fästs. |
Inaktivera CRL-kontroll endast för SPYNET. Om du konfigurerar det här registret inaktiverar SSLOption endast CRL-kontroll för SPYNET-rapportering. Det påverkar inte andra tjänster. Så här gör du: Gå till HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> set SSLOptions (dword) till 0 (hex). – 0 – inaktivera fäst- och återkallningskontroller - 1 – inaktivera fästning – 2 – Inaktivera endast återkallningskontroller – 3 – Aktivera återkallningskontroller och fästning (standard) |
Försök att ladda ned en falsk skadlig fil från Microsoft
Du kan ladda ned en exempelfil som Microsoft Defender Antivirus identifierar och blockerar om du är korrekt ansluten till molnet.
Obs!
Den nedladdade filen är inte direkt skadlig kod. Det är en falsk fil som är utformad för att testa om du är korrekt ansluten till molnet.
Om du är korrekt ansluten visas en varning Microsoft Defender Antivirus-meddelande.
Om du använder Microsoft Edge visas även ett meddelande:
Ett liknande meddelande visas om du använder Internet Explorer:
Visa identifiering av falsk skadlig kod i din Windows-säkerhet-app
I aktivitetsfältet väljer du ikonen Sköld och öppnar appen Windows-säkerhet. Du kan också söka efter Säkerhetsstart.
Välj Virus & skydd mot hot och välj sedan Skyddshistorik.
Under avsnittet Hot i karantän väljer du Se fullständig historik för att se den identifierade falska skadliga koden.
Obs!
Versioner av Windows 10 före version 1703 har ett annat användargränssnitt. Se Microsoft Defender Antivirus i Windows-säkerhet-appen.
Windows-händelseloggen visar även Windows Defender klienthändelse-ID 1116.
Tips
Om du letar efter antivirusrelaterad information för andra plattformar läser du:
Se även
- Konfigurera enhetsproxy och Internetanslutningsinställningar för Microsoft Defender för Endpoint
- Använd grupprincip inställningar för att konfigurera och hantera Microsoft Defender Antivirus
- Viktiga ändringar av Microsoft Active Protection Services-slutpunkten
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för