Configurar e validar as conexões de rede do Microsoft Defender Antivírus

Aplica-se a:

Plataformas

  • Windows

Para garantir que Microsoft Defender proteção fornecida pela nuvem antivírus funcione corretamente, sua equipe de segurança deve configurar sua rede para permitir conexões entre seus pontos de extremidade e determinados servidores Microsoft. Este artigo lista conexões que devem ser permitidas para usar as regras de firewall. Ele também fornece instruções para validar sua conexão. Configurar sua proteção corretamente garante que você receba o melhor valor de seus serviços de proteção fornecidos pela nuvem.

Importante

Este artigo contém informações sobre como configurar conexões de rede apenas para Microsoft Defender Antivírus. Se você estiver usando Microsoft Defender para Ponto de Extremidade (que inclui Microsoft Defender Antivírus), consulte Configurar configurações de proxy de dispositivo e conectividade com a Internet para Defender para Ponto de Extremidade.

Permitir conexões com o serviço de nuvem antivírus Microsoft Defender

O serviço de nuvem Microsoft Defender Antivírus fornece proteção rápida e forte para seus pontos de extremidade. É opcional habilitar o serviço de proteção entregue pela nuvem. Microsoft Defender serviço de nuvem antivírus é recomendado, pois fornece proteção importante contra malware em seus pontos de extremidade e rede. Para obter mais informações, confira Habilitar a proteção fornecida pela nuvem para habilitar o serviço com Intune, Configuration Manager do Microsoft Endpoint, Política de Grupo, cmdlets do PowerShell ou clientes individuais no aplicativo Segurança do Windows.

Depois de habilitar o serviço, você precisará configurar sua rede ou firewall para permitir conexões entre a rede e seus pontos de extremidade. Como sua proteção é um serviço de nuvem, os computadores devem ter acesso à Internet e acessar os serviços de nuvem da Microsoft. Não exclua a URL *.blob.core.windows.net de nenhum tipo de inspeção de rede.

Observação

O serviço de nuvem Microsoft Defender Antivírus fornece proteção atualizada para sua rede e pontos de extremidade. O serviço de nuvem não deve ser considerado apenas como proteção para seus arquivos armazenados na nuvem; Em vez disso, o serviço de nuvem usa recursos distribuídos e machine learning para fornecer proteção para seus pontos de extremidade a uma taxa mais rápida do que as atualizações tradicionais de inteligência de segurança.

Serviços e URLs

A tabela desta seção lista os serviços e seus endereços de site associados (URLs).

Verifique se não há regras de firewall ou filtragem de rede negando o acesso a essas URLs. Caso contrário, você deve criar uma regra de permissão especificamente para essas URLs (excluindo a URL *.blob.core.windows.net). As URLs na tabela a seguir usam a porta 443 para comunicação. (A porta 80 também é necessária para algumas URLs, conforme observado na tabela a seguir.)

Serviço e descrição URL
Microsoft Defender serviço de proteção entregue por nuvem antivírus é chamado de MAPS (Serviço de Proteção Ativa da Microsoft).
Microsoft Defender Antivírus usa o serviço MAPS para fornecer proteção fornecida pela nuvem.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
SERVIÇO de Atualização da Microsoft (MU) e serviço de Windows Update (WU)
Esses serviços permitem a inteligência de segurança e atualizações de produto.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Para obter mais informações, consulte Pontos de extremidade de conexão para Windows Update.
ADL (Localização alternativa de download) atualiza a inteligência de segurança
Este é um local alternativo para Microsoft Defender atualizações de inteligência de segurança antivírus, se a inteligência de segurança instalada estiver desatualizada (sete ou mais dias atrás).
*.download.microsoft.com
*.download.windowsupdate.com (A porta 80 é necessária)
go.microsoft.com (A porta 80 é necessária)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Armazenamento de envio de malware
Este é um local de upload para arquivos enviados à Microsoft por meio do formulário De envio ou envio automático de exemplo.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Lista de Revogação de Certificados (CRL)
O Windows usa essa lista ao criar a conexão SSL com o MAPS para atualizar o CRL.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Cliente GDPR Universal
O Windows usa esse cliente para enviar os dados de diagnóstico do cliente.

Microsoft Defender Antivírus usa a Regulação Geral de Proteção de Dados para fins de qualidade e monitoramento do produto.
A atualização usa o SSL (Porta TCP 443) para baixar manifestos e carregar dados de diagnóstico para a Microsoft que usa os seguintes pontos de extremidade DNS:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Validar conexões entre sua rede e a nuvem

Depois de permitir as URLs listadas, teste se você está conectado ao serviço de nuvem Microsoft Defender Antivírus. Teste as URLs que estão relatando e recebendo informações corretamente para garantir que você esteja totalmente protegido.

Use a ferramenta cmdline para validar a proteção fornecida pela nuvem

Use o seguinte argumento com o utilitário de linha de comando antivírus Microsoft Defender (mpcmdrun.exe) para verificar se sua rede pode se comunicar com o serviço de nuvem antivírus Microsoft Defender:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Observação

Abra o Prompt de Comando como administrador. Clique com o botão direito do mouse no item no menu Iniciar , clique em Executar como administrador e clique em Sim no prompt de permissões. Esse comando só funcionará em Windows 10, versão 1703 ou superior ou Windows 11.

Para obter mais informações, consulte Gerenciar Microsoft Defender Antivírus com a ferramenta de linha de comando mpcmdrun.exe.

Mensagens de erro

Aqui estão algumas mensagens de erro que você pode ver:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Causas

A causa raiz dessas mensagens de erro é que o dispositivo não tem seu proxy em todo WinHttp o sistema configurado. Se você não definir esse proxy, o sistema operacional não está ciente do proxy e não pode buscar o CRL (o sistema operacional faz isso, não o Defender para Ponto de Extremidade), o que significa que as conexões TLS com URLs como http://cp.wd.microsoft.com/ não são bem-sucedidas. Você vê conexões bem-sucedidas (resposta 200) com os pontos de extremidade, mas as conexões MAPS ainda falhariam.

Soluções

A tabela a seguir lista soluções:

Solução Descrição
Solução (Preferencial) Configure o proxy WinHttp em todo o sistema que permite a marcar de CRL.
Solução (Preferencial 2) 1. Vá para configuração> do computadorConfigurações do Windows Configurações>de segurança Configurações de segurança Configurações>de políticas> de chave públicaValidação de caminho de caminho.
2. Selecione a guia Recuperação de Rede e selecione Definir essas configurações de política.
3. Desmarque os certificados de atualização automática na caixa de marcar programa de certificado raiz da Microsoft (recomendado).

Aqui estão alguns recursos úteis:
- Configurar raízes confiáveis e certificados não permitidos
- Melhorando o tempo de inicialização do aplicativo: GerarPublisherEvidence na Machine.config
Solução de trabalho (Alternativa)
Essa não é uma prática recomendada, pois você não está mais verificando se há certificados revogados ou fixação de certificados.
Desabilitar o CRL marcar somente para SPYNET.
Configurar esse SSLOption do registro desabilita o CRL marcar somente para relatórios SPYNET. Não afetará outros serviços.

Vá para HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet e, em seguida, defina SSLOptions (dword) como 2 (hex).
Para referência, aqui estão os valores possíveis para o DWORD:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Tentar baixar um arquivo de malware falso da Microsoft

Você pode baixar um arquivo de exemplo que Microsoft Defender Antivírus detectará e bloqueará se estiver conectado corretamente à nuvem.

Observação

O arquivo baixado não é exatamente malware. É um arquivo falso projetado para testar se você está conectado corretamente à nuvem.

Se você estiver conectado corretamente, verá um aviso Microsoft Defender notificação antivírus.

Se você estiver usando o Microsoft Edge, também verá uma mensagem de notificação:

A notificação de que o malware foi encontrado no Edge

Uma mensagem semelhante ocorrerá se você estiver usando o Explorer da Internet:

A Microsoft Defender notificação antivírus de que o malware foi encontrado

Exibir a falsa detecção de malware em seu aplicativo Segurança do Windows

  1. Na barra de tarefas, selecione o ícone Shield e abra o aplicativo Segurança do Windows. Ou pesquise o Start for Security.

  2. Selecione Proteção contra ameaças & vírus e selecione Histórico de proteção.

  3. Na seção Ameaças em quarentena , selecione Ver histórico completo para ver o malware falso detectado.

    Observação

    Versões do Windows 10 antes da versão 1703 têm uma interface de usuário diferente. Consulte Microsoft Defender Antivírus no aplicativo Segurança do Windows.

    O log de eventos do Windows também mostrará Windows Defender ID do evento cliente 1116.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.