Microsoft Defender ウイルス対策 ネットワーク接続を構成および検証する

適用対象:

プラットフォーム

  • Windows

ウイルス対策クラウド配信保護Microsoft Defender適切に機能させるには、セキュリティ チームが、エンドポイントと特定の Microsoft サーバー間の接続を許可するようにネットワークを構成する必要があります。 この記事では、ファイアウォール規則の使用を許可する必要がある接続の一覧を示します。 また、接続を検証するための手順も提供します。 保護を適切に構成すると、クラウドで提供される保護サービスから最適な価値を確実に受け取ります。

重要

この記事では、Microsoft Defender ウイルス対策専用のネットワーク接続を構成する方法について説明します。 Microsoft Defender for Endpoint (ウイルス対策Microsoft Defender含む) を使用している場合は、「Defender for Endpoint のデバイス プロキシとインターネット接続設定を構成する」を参照してください。

Microsoft Defenderウイルス対策クラウド サービスへの接続を許可する

Microsoft Defenderウイルス対策クラウド サービスは、エンドポイントに高速かつ強力な保護を提供します。 クラウド配信の保護サービスを有効にすることは省略可能です。 Microsoft Defenderウイルス対策クラウド サービスは、エンドポイントとネットワーク上のマルウェアに対する重要な保護を提供するため、推奨されます。 詳細については、「Windows セキュリティ アプリで、Intune、Microsoft Endpoint Configuration Manager、グループ ポリシー、PowerShell コマンドレット、または個々のクライアントでサービスを有効にするためのクラウド提供の保護を有効にする」を参照してください。

サービスを有効にしたら、ネットワークとエンドポイント間の接続を許可するようにネットワークまたはファイアウォールを構成する必要があります。 保護はクラウド サービスであるため、コンピューターはインターネットにアクセスし、Microsoft クラウド サービスにアクセスする必要があります。 任意の種類のネットワーク検査から URL を *.blob.core.windows.net 除外しないでください。

注:

Microsoft Defenderウイルス対策クラウド サービスは、ネットワークとエンドポイントに更新された保護を提供します。 クラウド サービスは、クラウドに格納されているファイルの保護としてのみ考慮しないでください。代わりに、クラウド サービスは分散リソースと機械学習を使用して、従来のセキュリティ インテリジェンス更新プログラムよりも高速な速度でエンドポイントの保護を提供します。

サービスと URL

このセクションの表は、サービスとそれに関連付けられている Web サイト アドレス (URL) の一覧です。

これらの URL へのアクセスを拒否するファイアウォールまたはネットワーク フィルター規則がないことを確認します。 それ以外の場合は、それらの URL (URL *.blob.core.windows.netを除く) 専用の許可ルールを作成する必要があります。 次の表の URL は、通信にポート 443 を使用します。 (次の表に示すように、一部の URL にはポート 80 も必要です)。

サービスと説明 URL
Microsoft Defenderウイルス対策クラウド配信保護サービスは、Microsoft Active Protection Service (MAPS) と呼ばれます。
Microsoft Defenderウイルス対策では、MAPS サービスを使用してクラウド配信の保護を提供します。
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) と Windows Update Service (WU)
これらのサービスを使用すると、セキュリティ インテリジェンスと製品の更新が可能になります。
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

詳細については、「Windows Updateの接続エンドポイント」を参照してください。
セキュリティ インテリジェンスの更新プログラムの代替ダウンロード場所 (ADL)
これは、インストールされているセキュリティ インテリジェンスが古い (7 日以上遅れている) 場合、Microsoft Defenderウイルス対策セキュリティ インテリジェンス更新プログラムの別の場所です。
*.download.microsoft.com
*.download.windowsupdate.com (ポート 80 が必要です)
go.microsoft.com (ポート 80 が必要です)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
マルウェア申請ストレージ
これは、提出フォームまたは自動サンプル送信を介して Microsoft に送信されたファイルのアップロード場所です。
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
証明書失効リスト (CRL)
Windows では、CRL を更新するために MAPS への SSL 接続を作成するときに、この一覧を使用します。
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
ユニバーサル GDPR クライアント
Windows では、このクライアントを使用してクライアント診断データを送信します。

Microsoft Defenderウイルス対策では、製品の品質と監視のために一般的なデータ保護規則が使用されます。
この更新プログラムでは、SSL (TCP ポート 443) を使用してマニフェストをダウンロードし、次の DNS エンドポイントを使用する診断データを Microsoft にアップロードします。
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

ネットワークとクラウド間の接続を検証する

一覧表示されている URL を許可した後、Microsoft Defenderウイルス対策クラウド サービスに接続されているかどうかをテストします。 URL が正しくレポートされ、情報を受け取っていることをテストして、完全に保護されていることを確認します。

cmdline ツールを使用してクラウド提供の保護を検証する

Microsoft Defenderウイルス対策コマンド ライン ユーティリティ (mpcmdrun.exe) で次の引数を使用して、ネットワークが Microsoft Defender ウイルス対策クラウド サービスと通信できることを確認します。

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

注:

管理者としてコマンド プロンプト ウィンドウを開きます。 [スタート] メニューの項目を右クリックし、[管理者として実行] をクリックし、アクセス許可プロンプトで [はい] をクリックします。 このコマンドは、Windows 10、バージョン 1703 以降、またはWindows 11でのみ機能します。

詳細については、「mpcmdrun.exe コマンド ライン ツールを使用してMicrosoft Defenderウイルス対策を管理する」を参照してください。

エラー メッセージ

次のようなエラー メッセージが表示される場合があります。

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

根本原因

これらのエラー メッセージの根本原因は、デバイスにシステム全体 WinHttp のプロキシが構成されていないということです。 このプロキシを設定しない場合、オペレーティング システムはプロキシを認識せず、CRL をフェッチできません (オペレーティング システムは Defender for Endpoint ではなくこれを行います)。これは、URL への http://cp.wd.microsoft.com/ TLS 接続が成功しないことを意味します。 エンドポイントへの接続に成功 (応答 200) が表示されますが、MAPS 接続は失敗します。

ソリューション

次の表に、ソリューションの一覧を示します。

ソリューション 説明
ソリューション (推奨) CRL チェックを許可するシステム全体の WinHttp プロキシを構成します。
ソリューション (優先 2) 1. [コンピューターの構成>] [Windows 設定][セキュリティ設定>] >[公開キー ポリシー][証明書パスの>検証設定] の順に移動します。
2. [ ネットワーク取得 ] タブを選択し、[ これらのポリシー設定を定義する] を選択します。
3. [Microsoft ルート証明書プログラム (推奨)] チェック ボックスの [証明書の自動更新] をオフにします。

役に立つリソースを次に示します。
- 信頼されたルートと許可されていない証明書を構成する
- アプリケーションの起動時間の向上: Machine.configの GeneratePublisherEvidence 設定
回避策ソリューション (代替)
失効した証明書や証明書のピン留めを確認しなくなったため、これはベスト プラクティスではありません。
SPYNET に対してのみ CRL チェックを無効にします。
このレジストリ SSLOption を構成すると、SPYNET レポートに対してのみ CRL チェックが無効になります。 他のサービスには影響しません。

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet に移動し、 を (16 進数) に2設定SSLOptions (dword)します。
参考までに、DWORD の使用可能な値を次に示します。
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Microsoft から偽のマルウェア ファイルのダウンロードを試みる

ウイルス対策が検出され、クラウドに適切に接続されている場合にブロックMicrosoft Defenderサンプル ファイルをダウンロードできます。

注:

ダウンロードしたファイルは正確にマルウェアではありません。 これは、クラウドに適切に接続されているかどうかをテストするように設計された偽のファイルです。

正しく接続されている場合は、ウイルス対策通知Microsoft Defender警告が表示されます。

Microsoft Edge を使用している場合は、通知メッセージも表示されます。

Edge でマルウェアが検出されたことを示す通知

インターネット エクスプローラーを使用している場合、同様のメッセージが表示されます。

マルウェアが検出されたことを示すMicrosoft Defenderウイルス対策通知

Windows セキュリティ アプリで偽のマルウェア検出を表示する

  1. タスク バーで [シールド] アイコンを選択し、Windows セキュリティ アプリを開きます。 または、[セキュリティ開始] を検索します

  2. [ ウイルス & 脅威の保護] を選択し、[ 保護の履歴] を選択します。

  3. [ 検疫された脅威 ] セクションで、[ 完全な履歴を表示 ] を選択して、検出された偽のマルウェアを確認します。

    注:

    バージョン 1703 より前のバージョンのWindows 10には、異なるユーザー インターフェイスがあります。 Windows セキュリティ アプリMicrosoft Defenderウイルス対策に関するページを参照してください。

    Windows イベント ログには、クライアント イベント ID 1116 Windows Defenderも表示されます。

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。