設定及驗證 Microsoft Defender 防毒軟體網路連線

  • 發行項

適用於:

平台

  • Windows

為了確保 Microsoft Defender 防病毒軟體雲端式保護正常運作,您的安全性小組必須設定您的網路,以允許端點與特定 Microsoft 伺服器之間的連線。 本文列出必須允許使用防火牆規則的連線。 它也提供驗證連線的指示。 正確設定您的保護,可確保您從雲端提供的保護服務獲得最佳價值。

重要事項

本文包含僅針對 Microsoft Defender 防病毒軟體設定網路連線的相關信息。 如果您使用包含 Microsoft Defender 防病毒軟體) 的 適用於端點的 Microsoft Defender (,請參閱設定適用於端點的 Defender 的裝置 Proxy 和因特網連線設定

允許連線至 Microsoft Defender 防病毒軟體雲端服務

Microsoft Defender 防病毒軟體雲端服務可為您的端點提供快速且強大的保護。 啟用雲端式保護服務是選擇性的。 Microsoft Defender 建議使用防病毒軟體雲端服務,因為它可針對端點和網路上的惡意代碼提供重要保護。 如需詳細資訊,請參閱在 Windows 安全性 應用程式中使用 Intune、Microsoft 端點 Configuration Manager、群組原則、PowerShell Cmdlet 或個別用戶端啟用服務的雲端式保護

啟用服務之後,您必須設定網路或防火牆,以允許網路與端點之間的連線。 因為您的保護是雲端服務,所以計算機必須能夠存取因特網並連線到 Microsoft 雲端服務。 請勿將URL *.blob.core.windows.net 從任何類型的網路檢查中排除。

注意事項

Microsoft Defender 防病毒軟體雲端服務會為您的網路和端點提供更新的保護。 雲端服務不應視為只保護儲存在雲端中的檔案;相反地,雲端服務會使用分散式資源和機器學習,以比傳統安全情報更新更快的速度為端點提供保護。

服務和 URL

本節中的表格列出服務及其相關聯的網站位址 (URL) 。

請確定沒有任何防火牆或網路篩選規則拒絕存取這些 URL。 否則,您必須特別針對這些 URL 建立允許規則, (排除 URL *.blob.core.windows.net) 。 下表中的 URL 會使用埠 443 進行通訊。 (某些 URL 也需要埠 80,如下表所述。)

服務和描述 URL
Microsoft Defender 防病毒軟體雲端式保護服務稱為 Microsoft Active Protection Service (MAPS) 。
Microsoft Defender 防病毒軟體會使用MAPS服務來提供雲端式保護。		 *.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) 和 Windows Update Service (WU)
這些服務允許安全性情報和產品更新。		 *.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

如需詳細資訊,請參閱適用於 Windows Update 的連線端點
安全性情報更新 ADL (替代下載位置)
這是 Microsoft Defender 防病毒軟體安全情報更新的替代位置,如果安裝的安全性情報已過期, () 後七天或多天。		 *.download.microsoft.com
*.download.windowsupdate.com (需要埠 80)
go.microsoft.com (需要埠 80)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
惡意代碼提交記憶體
這是透過提交表單或自動範例提交提交提交至 Microsoft 的檔案上傳位置。		 ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
CRL) (證書吊銷清單
Windows 會在建立 MAPS 的 SSL 連線以更新 CRL 時使用此清單。		 http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
通用GDPR用戶端
Windows 會使用此客戶端來傳送客戶端診斷數據。

Microsoft Defender 防病毒軟體會針對產品品質和監視用途使用一般數據保護規定。		 更新會使用 SSL (TCP 連接埠 443) 下載指令清單,並將診斷數據上傳至使用下列 DNS 端點的 Microsoft:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

驗證網路與雲端之間的連線

允許列出的 URL 之後,請測試您是否已連線到 Microsoft Defender 防病毒軟體雲端服務。 測試 URL 是否正確報告和接收資訊,以確保您受到完整保護。

使用 Cmdline 工具來驗證雲端式保護

使用下列自變數搭配 Microsoft Defender 防病毒軟體命令行公用程式 (mpcmdrun.exe) ,以確認您的網路可以與 Microsoft Defender 防病毒軟體雲端服務通訊:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

注意事項

以系統管理員身分開啟 [命令提示字元]。 以滑鼠右鍵按兩下 [ 開始 ] 選單中的項目,按兩下 [ 以系統管理員身分 執行],然後在許可權提示字元中按兩下 [ ]。 此命令僅適用於 Windows 10 版本 1703 或更新版本,或 Windows 11。

如需詳細資訊,請參閱使用 mpcmdrun.exe 命令行工具管理 Microsoft Defender 防病毒軟體

使用下表查看您可能會遇到的錯誤訊息,以及根本原因和可能解決方案的相關信息:

錯誤訊息 根源
開始時間: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy:hr = 0x1
ValidateMapsConnection
ValidateMapsConnection 無法建立 MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006**

ValidateMapsConnection 無法建立 MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe:hr = 0x80072F8F

ValidateMapsConnection 無法建立 MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe:hr = 0x80072EFE		 這些錯誤訊息的根本原因是裝置未設定其全系統的 WinHttp Proxy。 如果您未設定全系統的 WinHttp Proxy,則作業系統並不知道 Proxy,也無法擷取 CRL (操作系統執行此動作,而非適用於端點的 Defender) ,這表示類似 的 URL 的 TLS 連線 http://cp.wd.microsoft.com/ 不會完全成功。 您會看到成功 (回應 200) 端點的連線,但 MAPS 連線仍會失敗。
解決方案 描述
解決方案 (慣用) 設定允許CRL檢查的全系統 WinHttp Proxy。
解決方案 (慣用 2) - 設定 針對中斷連線的環境重新導向 Microsoft 自動更新 URL
- 設定可存取因特網的伺服器來擷取 CTL 檔案
- 針對中斷連線的環境重新導向 Microsoft 自動更新 URL

實用參考:
- 移至電腦>設定 Windows 設定安全性>設定>公鑰>原則憑證路徑驗證設定>選取 [網络擷取] 索引標籤>選取 [定義這些原則設定>] 選取即可清除 [Microsoft 跟證書計劃中的自動更新憑證 (建議) ] 複選框。
- CRL) 驗證 (證書吊銷清單 - 應用程式選擇
- https://support.microsoft.com/help/931125/how-to-get-a-root-certificate-update-for-windows
- https://technet.microsoft.com/library/dn265983(v=ws.11).aspx
- /dotnet/framework/configure-apps/file-schema/runtime/generatepublisherevidence-element - https://blogs.msdn.microsoft.com/amolravande/2008/07/20/improving-application-start-up-time-generatepublisherevidence-setting-in-machine-config/
替代) (因應解決方案
不是最佳做法,因為您不會再檢查是否已撤銷憑證或憑證釘選		 僅停用SPYNET的CRL檢查。
設定此登錄 SSLOption 只會針對 SPYNET 報告停用 CRL 檢查。 它不會影響其他服務。

若要執行此動作:
移至 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet> 將 SSLOptions (dword) 設為 0 (十六進位) 。
- 0 – 停用釘選和撤銷檢查
- 1 – 停用釘選
- 2 – 僅停用撤銷檢查
- 3 – 啟用撤銷檢查和釘選 (預設)

嘗試從 Microsoft 下載假的惡意代碼檔案

您可以下載範例檔案,Microsoft Defender 防病毒軟體會偵測並封鎖您是否已正確連線到雲端。

注意事項

下載的檔案不完全是惡意代碼。 這是一個假的檔案,其設計目的是要測試您是否已正確連線到雲端。

如果您已正確連線,您會看到防病毒軟體通知 Microsoft Defender 警告。

如果您使用 Microsoft Edge,您也會看到通知訊息:

在Edge中找到惡意代碼的通知

如果您使用 Internet Explorer,則會發生類似的訊息:

Microsoft Defender 找到惡意代碼的防病毒軟體通知

在您的 Windows 安全性 應用程式中檢視假的惡意代碼偵測

  1. 在任務欄上,選取 [防護] 圖示,開啟 Windows 安全性 應用程式。 或者,搜尋 [開始 ] 以取得 安全性

  2. 取 [病毒 & 威脅防護],然後選取 [ 保護歷程記錄]

  3. 在 [ 隔離的威脅 ] 區段下,選取 [查看完整歷程記錄 ] 以查看偵測到的假惡意代碼。

    注意事項

    1703 版之前的 Windows 10 版本有不同的使用者介面。 請參閱 Windows 安全性 應用程式中的 Microsoft Defender 防病毒軟體。

    Windows 事件記錄檔也會顯示 Windows Defender 用戶端事件識別碼 1116

提示

如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。