Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
В этой статье содержатся сведения о настройке сетевых подключений только для антивирусной программы Microsoft Defender при использовании без Microsoft Defender для конечной точки. Если вы используете Microsoft Defender для конечной точки (который включает Microsoft Defender антивирусную программу), см. статью Настройка параметров прокси-сервера устройства и подключения к Интернету для Defender для конечной точки.
Чтобы обеспечить правильность работы Microsoft Defender антивирусной облачной защиты, команда безопасности должна настроить сеть, чтобы разрешить подключения между конечными точками и определенными серверами Майкрософт. В этой статье перечислены назначения, которые могут быть доступны. В нем также содержатся инструкции по проверке подключений. Правильная настройка подключения гарантирует, что вы получите наилучшие преимущества от Microsoft Defender антивирусных облачных служб защиты.
Предварительные условия
Поддерживаемые операционные системы
- Windows
Разрешить подключения к облачной службе антивирусной Microsoft Defender
Облачная служба антивирусной программы Microsoft Defender обеспечивает быструю и надежную защиту конечных точек. Хотя включать и использовать облачные службы защиты, предоставляемые Microsoft Defender Antivirus, необязательно, настоятельно рекомендуется, так как они обеспечивают важную и своевременную защиту от новых угроз в конечных точках и сети. Дополнительные сведения см. в статье Включение облачной защиты, в которой описано, как включить службу с помощью Intune, Microsoft Endpoint Configuration Manager, групповая политика, командлетов PowerShell или отдельных клиентов в приложении Безопасность Windows.
После включения службы необходимо настроить сеть или брандмауэр, чтобы разрешить подключения между сетью и конечными точками. Компьютеры должны иметь доступ к Интернету и обращаться к облачным службам Майкрософт для правильной работы.
Примечание.
Облачная служба антивирусной программы Microsoft Defender обеспечивает обновленную защиту сети и конечных точек. Облачная служба не должна рассматриваться как защита от файлов, хранящихся в облаке; Вместо этого облачная служба использует распределенные ресурсы и машинное обучение для обеспечения защиты конечных точек быстрее, чем традиционные обновления аналитики безопасности, и применяется к угрозам на основе файлов и без файлов независимо от их происхождения.
Службы и URL-адреса
В таблице в этом разделе перечислены службы и связанные с ними адреса веб-сайтов (URL-адреса).
Убедитесь, что нет правил фильтрации брандмауэра или сети, запрещающих доступ к этим URL-адресам. В противном случае необходимо создать правило разрешения специально для этих URL-адресов. URL-адреса в следующей таблице используют порт 443 для связи. (Порт 80 также требуется для некоторых URL-адресов, как указано в следующей таблице.)
| Служба и описание | URL-адрес |
|---|---|
| Microsoft Defender антивирусная облачная служба защиты называется Microsoft Active Protection Service (MAPS). антивирусная программа Microsoft Defender использует службу MAPS для обеспечения облачной защиты. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Служба Центра обновления Майкрософт (MU) и служба клиентский компонент Центра обновления Windows (WU) Эти службы поддерживают аналитику безопасности и обновления продуктов. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comДополнительные сведения см. в статье Конечные точки подключения для клиентский компонент Центра обновления Windows. |
| Альтернативное расположение загрузки обновлений аналитики безопасности (ADL) Это альтернативное расположение для Microsoft Defender обновлений антивирусной аналитики безопасности, если установленная аналитика безопасности устарела (отстает от семи дней или более). |
*.download.microsoft.com*.download.windowsupdate.com (Требуется порт 80)go.microsoft.com (Требуется порт 80)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Хранилище отправки вредоносных программ Это расположение для отправки файлов, отправленных в корпорацию Майкрософт с помощью формы отправки или автоматической отправки образцов. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Список отзыва сертификатов (CRL) Windows использует этот список при создании SSL-подключения к MAPS для обновления списка отзыва сертификатов. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Универсальный клиент GDPR Windows использует этот клиент для отправки диагностических данных клиента. Microsoft Defender антивирусная программа использует Общий регламент по защите данных для качества продукции и мониторинга. |
Обновление использует ПРОТОКОЛ SSL (TCP-порт 443) для скачивания манифестов и отправки диагностических данных в корпорацию Майкрософт, которая использует следующие конечные точки DNS:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Проверка подключений между сетью и облаком
После разрешения перечисленных URL-адресов проверьте, подключены ли вы к облачной службе Microsoft Defender антивирусной программы. Убедитесь, что URL-адреса правильно передают и получают сведения, чтобы убедиться, что вы полностью защищены.
Проверка облачной защиты с помощью средства cmdline
Используйте следующий аргумент со служебной программой командной строки антивирусной программы Microsoft Defender (mpcmdrun.exe), чтобы убедиться, что сеть может взаимодействовать с облачной службой антивирусной программы Microsoft Defender:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Примечание.
Откройте окно командной строки от имени администратора. Щелкните правой кнопкой мыши элемент в меню "Пуск" , выберите Запуск от имени администратора и выберите да в запросе разрешений. Эта команда будет работать только в Windows 10 версии 1703 или более поздней или Windows 11.
Дополнительные сведения см. в статье Управление антивирусной программой Microsoft Defender с помощью средства командной строки mpcmdrun.exe.
Сообщения об ошибках
Ниже приведены некоторые сообщения об ошибках.
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Первопричины
Основная причина этих сообщений об ошибках заключается в том, что на устройстве не настроен прокси-сервер для всей WinHttp системы. Если этот прокси-сервер не задан, операционная система не знает о прокси-сервере и не может получить список отзыва отзыва сертификатов (операционная система делает это, а не Defender для конечной точки), что означает, что подключения TLS к URL-адресам http://cp.wd.microsoft.com/ не будут выполнены. Вы увидите успешные (ответ 200) подключения к конечным точкам, но подключения MAPS по-прежнему завершаются сбоем.
Решения
В следующей таблице перечислены решения.
| Решение | Описание |
|---|---|
| Решение (предпочтительное) | Настройте общесистемный прокси-сервер WinHttp, который позволяет проверка CRL. |
| Решение для обхода (альтернатива) Это не рекомендуется, так как вы больше не проверяете наличие отозванных сертификатов или закрепления сертификатов. |
Отключите CRL проверка только для SPYNET. Настройка этого реестра SSLOption отключает проверка CRL только для отчетов SPYNET. Это не повлияет на другие службы. Перейдите в раздел HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet, а затем задайте значение SSLOptions (dword)2 (шестнадцатеричный). Для справки ниже приведены возможные значения для DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Попытка скачать поддельный файл вредоносных программ из Корпорации Майкрософт
Вы можете скачать пример файла, который Microsoft Defender антивирусная программа обнаружит и заблокит, если вы правильно подключены к облаку.
Примечание.
Скачанный файл не является точно вредоносной программой. Это поддельный файл, предназначенный для проверки правильности подключения к облаку.
Если вы правильно подключены, вы увидите предупреждение Microsoft Defender уведомление антивирусной программы.
Если вы используете Microsoft Edge, вы также увидите уведомление:
Аналогичное сообщение возникает, если вы используете интернет-Обозреватель:
Просмотр обнаружения поддельных вредоносных программ в приложении Безопасность Windows
На панели задач щелкните значок Щит, откройте приложение Безопасность Windows. Или выполните поиск на начальном экране по запросу Безопасность.
Выберите Антивирусная & защита от угроз, а затем выберите Журнал защиты.
В разделе Угрозы, помещенные в карантин , выберите Просмотреть полный журнал , чтобы просмотреть обнаруженные поддельные вредоносные программы.
Примечание.
Версии Windows 10 до версии 1703 имеют другой пользовательский интерфейс. См. статью Антивирусная программа Microsoft Defender в приложении Безопасность Windows.
В журнале событий Windows также будет отображаться событие клиента Защитника Windows с идентификатором 1116.
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
См. также
- Настройка параметров прокси-сервера устройства и подключения к Интернету для Microsoft Defender для конечной точки
- Использование параметров групповой политики для настройки и управления антивирусной программой в Microsoft Defender
- Важные изменения в конечной точке служб Microsoft Active Protection Services
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.