Configurare e convalidare le connessioni di rete di Windows Defender Antivirus
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
Per garantire Microsoft Defender protezione fornita dal cloud antivirus funzioni correttamente, il team di sicurezza deve configurare la rete per consentire le connessioni tra gli endpoint e determinati server Microsoft. Questo articolo elenca le connessioni che devono essere consentite per l'uso delle regole del firewall. Fornisce anche istruzioni per convalidare la connessione. La configurazione corretta della protezione garantisce di ricevere il valore migliore dai servizi di protezione forniti dal cloud.
Importante
Questo articolo contiene informazioni sulla configurazione delle connessioni di rete solo per Microsoft Defender Antivirus. Se si usa Microsoft Defender per endpoint (che include Microsoft Defender Antivirus), vedere Configurare le impostazioni del proxy del dispositivo e della connettività Internet per Defender per endpoint.
Consenti connessioni al servizio cloud antivirus Microsoft Defender
Il servizio cloud antivirus Microsoft Defender offre una protezione rapida e avanzata per gli endpoint. È facoltativo abilitare il servizio di protezione fornito dal cloud. Microsoft Defender servizio cloud antivirus è consigliato perché offre una protezione importante contro il malware sugli endpoint e sulla rete. Per altre informazioni, vedere Abilitare la protezione fornita dal cloud per abilitare il servizio con Intune, Microsoft Endpoint Configuration Manager, Criteri di gruppo, cmdlet di PowerShell o singoli client nell'app Sicurezza di Windows.
Dopo aver abilitato il servizio, è necessario configurare la rete o il firewall per consentire le connessioni tra la rete e gli endpoint. Poiché la protezione è un servizio cloud, i computer devono avere accesso a Internet e raggiungere i servizi cloud Microsoft. Non escludere l'URL *.blob.core.windows.net da qualsiasi tipo di ispezione di rete.
Nota
Il servizio cloud antivirus Microsoft Defender offre una protezione aggiornata alla rete e agli endpoint. Il servizio cloud non deve essere considerato solo come protezione per i file archiviati nel cloud; Al contrario, il servizio cloud usa risorse distribuite e Machine Learning per offrire protezione per gli endpoint a una velocità più veloce rispetto agli aggiornamenti tradizionali dell'intelligence per la sicurezza.
Servizi e URL
Nella tabella di questa sezione sono elencati i servizi e gli indirizzi del sito Web associati.The table in this section lists services and their associated website addresses (URL).
Assicurarsi che non siano presenti regole di filtro del firewall o di rete che neghino l'accesso a questi URL. In caso contrario, è necessario creare una regola allow in modo specifico per tali URL (escluso l'URL *.blob.core.windows.net). Gli URL nella tabella seguente usano la porta 443 per la comunicazione. La porta 80 è necessaria anche per alcuni URL, come indicato nella tabella seguente.
| Servizio e descrizione | URL |
|---|---|
| Microsoft Defender servizio di protezione antivirus fornito dal cloud è noto come Servizio Microsoft Active Protection (MAPS). Microsoft Defender Antivirus usa il servizio MAPS per fornire protezione fornita dal cloud. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Microsoft Update Service (MU) e Windows Update Service (WU) Questi servizi consentono l'intelligence per la sicurezza e gli aggiornamenti dei prodotti. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comPer altre informazioni, vedere Endpoint di connessione per Windows Update. |
| Aggiornamenti dell'intelligence per la sicurezza Percorso di download alternativo (ADL) Si tratta di un percorso alternativo per Microsoft Defender aggiornamenti di Intelligence per la sicurezza antivirus, se l'intelligence di sicurezza installata non è aggiornata (sette o più giorni di ritardo). |
*.download.microsoft.com*.download.windowsupdate.com (La porta 80 è obbligatoria)go.microsoft.com (La porta 80 è obbligatoria)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Archiviazione per l'invio di malware Si tratta di un percorso di caricamento per i file inviati a Microsoft tramite il modulo di invio o l'invio automatico di esempi. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Elenco di revoche di certificati (CRL) Windows usa questo elenco durante la creazione della connessione SSL a MAPS per l'aggiornamento del CRL. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Client GDPR universale Windows usa questo client per inviare i dati di diagnostica del client. Microsoft Defender Antivirus usa il regolamento generale sulla protezione dei dati per la qualità del prodotto e il monitoraggio. |
L'aggiornamento usa SSL (porta TCP 443) per scaricare manifesti e caricare dati di diagnostica in Microsoft che usano gli endpoint DNS seguenti:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Convalidare le connessioni tra la rete e il cloud
Dopo aver consentito gli URL elencati, verificare se si è connessi al servizio cloud antivirus Microsoft Defender. Testare gli URL segnalano e ricevono correttamente le informazioni per assicurarsi di essere completamente protetti.
Usare lo strumento cmdline per convalidare la protezione fornita dal cloud
Usare l'argomento seguente con l'utilità da riga di comando antivirus Microsoft Defender (mpcmdrun.exe) per verificare che la rete possa comunicare con il servizio cloud antivirus Microsoft Defender:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Nota
Aprire il prompt dei comandi come amministratore. Fare clic con il pulsante destro del mouse sull'elemento nel menu Start , scegliere Esegui come amministratore e fare clic su Sì al prompt delle autorizzazioni. Questo comando funzionerà solo su Windows 10, versione 1703 o successiva o Windows 11.
Per altre informazioni, vedere Gestire Microsoft Defender Antivirus con lo strumento da riga di comando mpcmdrun.exe.
Messaggi di errore
Ecco alcuni messaggi di errore che potrebbero essere visualizzati:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Cause
La causa principale di questi messaggi di errore è che il dispositivo non ha il proxy a livello WinHttp di sistema configurato. Se non si imposta questo proxy, il sistema operativo non è a conoscenza del proxy e non è in grado di recuperare l'elenco CRL (il sistema operativo esegue questa operazione, non Defender per endpoint), il che significa che le connessioni TLS a URL come http://cp.wd.microsoft.com/ non hanno esito positivo. Vengono visualizzate connessioni riuscite (risposta 200) agli endpoint, ma le connessioni MAPS continueranno a non riuscire.
Soluzioni
Nella tabella seguente sono elencate le soluzioni:
| Soluzione | Descrizione |
|---|---|
| Soluzione (preferita) | Configurare il proxy WinHttp a livello di sistema che consente il controllo CRL. |
| Soluzione (preferita 2) | 1. Passare a Configurazione> computerImpostazioni di Windows Impostazioni>di sicurezza Criteri>chiave> pubblicaImpostazioni di convalida del percorso del certificato. 2. Selezionare la scheda Recupero rete e quindi selezionare Definisci queste impostazioni dei criteri. 3. Deselezionare la casella di controllo Aggiorna automaticamente i certificati nel Programma certificato radice Microsoft (scelta consigliata). Ecco alcune risorse utili: - Configurare radici attendibili e certificati non consentiti - Miglioramento dell'ora di avvio dell'applicazione: impostazione GeneratePublisherEvidence in Machine.config |
| Soluzione alternativa Questa non è una procedura consigliata perché non si verificano più certificati revocati o l'aggiunta di certificati. |
Disabilitare il controllo CRL solo per SPYNET. La configurazione di questo SSLOption del Registro di sistema disabilita il controllo CRL solo per la creazione di report SPYNET. Non influirà su altri servizi. Passare a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet e quindi impostare su SSLOptions (dword)2 (esadecimale). Per riferimento, di seguito sono riportati i valori possibili per la DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Tentativo di scaricare un file di malware falso da Microsoft
È possibile scaricare un file di esempio che Microsoft Defender Antivirus rileverà e bloccherà se si è connessi correttamente al cloud.
Nota
Il file scaricato non è esattamente malware. Si tratta di un file falso progettato per testare se si è correttamente connessi al cloud.
Se si è connessi correttamente, verrà visualizzato un avviso Microsoft Defender notifica antivirus.
Se si usa Microsoft Edge, verrà visualizzato anche un messaggio di notifica:
Un messaggio simile si verifica se si usa Internet Explorer:
Visualizzare il rilevamento di malware falso nell'app Sicurezza di Windows
Sulla barra delle applicazioni selezionare l'icona Scudo, aprire l'app Sicurezza di Windows. In alternativa, cercare Start for Security (Avvia per sicurezza).
Selezionare Virus & protezione dalle minacce e quindi selezionare Cronologia protezione.
Nella sezione Minacce in quarantena selezionare Visualizza cronologia completa per visualizzare il malware falso rilevato.
Nota
Le versioni di Windows 10 precedenti alla versione 1703 hanno un'interfaccia utente diversa. Vedere Microsoft Defender Antivirus nell'app Sicurezza di Windows.
Il registro eventi di Windows mostrerà anche Windows Defender'ID evento client 1116.
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
Vedere anche
- Configurare le impostazioni del proxy del dispositivo e della connettività Internet per Microsoft Defender per endpoint
- Usare le impostazioni di Criteri di gruppo per configurare e gestire Microsoft Defender Antivirus
- Modifiche importanti all'endpoint di Microsoft Active Protection Services
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.