Configurar e validar ligações de rede do Antivírus do Microsoft Defender
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Antivírus do Microsoft Defender
Plataformas
- Windows
Para garantir Microsoft Defender a proteção fornecida pela cloud do Antivírus funciona corretamente, a sua equipa de segurança tem de configurar a sua rede para permitir ligações entre os pontos finais e determinados servidores Microsoft. Este artigo lista as ligações que têm de ser permitidas para utilizar as regras de firewall. Também fornece instruções para validar a sua ligação. Configurar a proteção corretamente garante que recebe o melhor valor dos seus serviços de proteção fornecidos na cloud.
Importante
Este artigo contém informações sobre como configurar ligações de rede apenas para o Antivírus Microsoft Defender. Se estiver a utilizar Microsoft Defender para Endpoint (que inclui Microsoft Defender Antivírus), veja Configurar o proxy de dispositivos e as definições de conectividade à Internet para o Defender para Endpoint.
Permitir ligações ao serviço cloud antivírus do Microsoft Defender
O Microsoft Defender serviço cloud Antivírus fornece proteção rápida e forte para os seus pontos finais. É opcional ativar o serviço de proteção fornecido pela cloud. Microsoft Defender serviço cloud antivírus é recomendado, uma vez que fornece proteção importante contra software maligno nos pontos finais e na rede. Para obter mais informações, consulte Ativar a proteção fornecida pela cloud para ativar o serviço com Intune, Microsoft Endpoint Configuration Manager, Política de Grupo, cmdlets do PowerShell ou clientes individuais na aplicação Segurança do Windows.
Depois de ativar o serviço, tem de configurar a sua rede ou firewall para permitir ligações entre a rede e os pontos finais. Uma vez que a sua proteção é um serviço cloud, os computadores têm de ter acesso à Internet e aceder aos serviços cloud da Microsoft. Não exclua o URL *.blob.core.windows.net de qualquer tipo de inspeção de rede.
Nota
O Microsoft Defender serviço cloud Antivírus fornece proteção atualizada para a sua rede e pontos finais. O serviço cloud não deve ser considerado apenas como proteção para os seus ficheiros armazenados na cloud; Em vez disso, o serviço cloud utiliza recursos distribuídos e machine learning para fornecer proteção para os seus pontos finais a um ritmo mais rápido do que as atualizações tradicionais de Informações de segurança.
Serviços e URLs
A tabela nesta secção lista os serviços e os respetivos endereços (URLs) associados.
Confirme que não existem regras de filtragem de rede ou firewall que neguem o acesso a estes URLs. Caso contrário, tem de criar uma regra de permissão especificamente para esses URLs (excluindo o URL *.blob.core.windows.net). Os URLs na tabela seguinte utilizam a porta 443 para comunicação. (A porta 80 também é necessária para alguns URLs, conforme indicado na tabela seguinte.)
| Serviço e descrição | URL |
|---|---|
| Microsoft Defender serviço de proteção fornecido pela cloud do Antivírus é denominado Serviço de Proteção Ativa Microsoft (MAPS). Microsoft Defender Antivírus utiliza o serviço MAPS para fornecer proteção fornecida pela cloud. |
*.wdcp.microsoft.com *.wdcpalt.microsoft.com*.wd.microsoft.com |
| Serviço Microsoft Update (MU) e Serviço de Windows Update (WU) Estes serviços permitem informações de segurança e atualizações de produtos. |
*.update.microsoft.com*.delivery.mp.microsoft.com*.windowsupdate.com ctldl.windowsupdate.comPara obter mais informações, veja Pontos finais de ligação para Windows Update. |
| Atualizações de informações de segurança Localização de Transferência Alternativa (ADL) Esta é uma localização alternativa para Microsoft Defender atualizações de informações de Segurança antivírus, se as informações de Segurança instaladas estiverem desatualizadas (sete ou mais dias atrasados). |
*.download.microsoft.com*.download.windowsupdate.com (A porta 80 é necessária)go.microsoft.com (A porta 80 é necessária)https://www.microsoft.com/security/encyclopedia/adlpackages.aspx https://definitionupdates.microsoft.com/download/DefinitionUpdates/https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx |
| Armazenamento de submissão de software maligno Esta é uma localização de carregamento para ficheiros submetidos à Microsoft através do formulário submissão ou submissão automática de exemplo. |
ussus1eastprod.blob.core.windows.netussus2eastprod.blob.core.windows.netussus3eastprod.blob.core.windows.netussus4eastprod.blob.core.windows.netwsus1eastprod.blob.core.windows.netwsus2eastprod.blob.core.windows.netussus1westprod.blob.core.windows.netussus2westprod.blob.core.windows.netussus3westprod.blob.core.windows.netussus4westprod.blob.core.windows.netwsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.netusseu1northprod.blob.core.windows.netwseu1northprod.blob.core.windows.netusseu1westprod.blob.core.windows.netwseu1westprod.blob.core.windows.netussuk1southprod.blob.core.windows.netwsuk1southprod.blob.core.windows.netussuk1westprod.blob.core.windows.netwsuk1westprod.blob.core.windows.net |
| Lista de Revogação de Certificados (CRL) O Windows utiliza esta lista ao criar a ligação SSL ao MAPS para atualizar a CRL. |
http://www.microsoft.com/pkiops/crl/http://www.microsoft.com/pkiops/certshttp://crl.microsoft.com/pki/crl/productshttp://www.microsoft.com/pki/certs |
| Cliente do RGPD Universal O Windows utiliza este cliente para enviar os dados de diagnóstico do cliente. Microsoft Defender Antivírus utiliza o Regulamento Geral sobre a Proteção de Dados para fins de qualidade e monitorização de produtos. |
A atualização utiliza SSL (Porta TCP 443) para transferir manifestos e carregar dados de diagnóstico para a Microsoft que utilizem os seguintes pontos finais DNS:vortex-win.data.microsoft.comsettings-win.data.microsoft.com |
Validar as ligações entre a rede e a cloud
Depois de permitir os URLs listados, teste se está ligado ao serviço cloud antivírus Microsoft Defender. Teste se os URLs estão a comunicar e a receber informações corretamente para garantir que está totalmente protegido.
Utilizar a ferramenta cmdline para validar a proteção fornecida pela cloud
Utilize o seguinte argumento com o utilitário de linha de comandos do Antivírus Microsoft Defender (mpcmdrun.exe) para verificar se a sua rede consegue comunicar com o serviço cloud antivírus Microsoft Defender:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection
Nota
Abra a Linha de Comandos como administrador. Clique com o botão direito do rato no item no menu Iniciar , clique em Executar como administrador e clique em Sim na linha de comandos de permissões. Este comando só funcionará em Windows 10, versão 1703 ou superior ou Windows 11.
Para obter mais informações, veja Manage Microsoft Defender Antivirus with the mpcmdrun.exe commandline tool (Gerir o Antivírus do Microsoft Defender com a ferramenta de linha de comandos mpcmdrun.exe).
Mensagens de erro
Seguem-se algumas mensagens de erro que poderá ver:
Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS
MpEnsureProcessMitigationPolicy: hr = 0x1
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE
Causas raiz
A causa principal destas mensagens de erro é o dispositivo não ter o proxy ao nível WinHttp do sistema configurado. Se não definir este proxy, o sistema operativo não tem conhecimento do proxy e não consegue obter o CRL (o sistema operativo faz isto, não o Defender para Ponto Final), o que significa que as ligações TLS a URLs como http://cp.wd.microsoft.com/ não têm êxito. Verá ligações com êxito (resposta 200) aos pontos finais, mas as ligações maps continuarão a falhar.
Soluções
A tabela seguinte lista as soluções:
| Solução | Descrição |
|---|---|
| Solução (Preferencial) | Configure o proxy WinHttp ao nível do sistema que permite a verificação crl. |
| Solução (Preferencial 2) | 1. Aceda a Configuração> do ComputadorDefinições do Windows Definições>de Segurança Definições>de Chave Pública Políticas> deValidação do Caminho do Certificado. 2. Selecione o separador Obtenção de Rede e, em seguida, selecione Definir estas definições de política. 3. Desmarque a caixa de verificação Atualizar certificados automaticamente no Programa de Certificados de Raiz da Microsoft (recomendado ). Eis alguns recursos úteis: - Configurar Raízes Fidedignas e Certificados Não Permitidos - Melhorar o tempo de Arranque da aplicação: Definição GeneratePublisherEvidence no Machine.config |
| Solução de solução alternativa Esta não é uma melhor prática, uma vez que já não está a procurar certificados revogados ou afixação de certificados. |
Desative a verificação CRL apenas para SPYNET. Configurar este registo SSLOption desativa a verificação CRL apenas para relatórios SPYNET. Não afetará outros serviços. Aceda a HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet e, em seguida, defina SSLOptions (dword) como 2 (hex). Para referência, eis os valores possíveis para o DWORD: - 0 – disable pinning and revocation checks - 1 – disable pinning - 2 – disable revocation checks only - 3 – enable revocation checks and pinning (default) |
Tentar transferir um ficheiro de software maligno falso da Microsoft
Pode transferir um ficheiro de exemplo que Microsoft Defender Antivírus irá detetar e bloquear se estiver corretamente ligado à cloud.
Nota
O ficheiro transferido não é exatamente software maligno. É um ficheiro falso concebido para testar se está devidamente ligado à cloud.
Se estiver ligado corretamente, verá um aviso Microsoft Defender notificação de Antivírus.
Se estiver a utilizar o Microsoft Edge, também verá uma mensagem de notificação:
Se estiver a utilizar o Internet Explorer, ocorrerá uma mensagem semelhante:
Ver a deteção de software maligno falso na sua aplicação Segurança do Windows
Na barra de tarefas, selecione o ícone Escudo e abra a aplicação Segurança do Windows. Em alternativa, pesquise Iniciar por Segurança.
Selecione Vírus & proteção contra ameaças e, em seguida, selecione Histórico de proteção.
Na secção Ameaças em quarentena , selecione Ver histórico completo para ver o software maligno falso detetado.
Nota
As versões do Windows 10 anteriores à versão 1703 têm uma interface de utilizador diferente. Veja Microsoft Defender Antivírus na aplicação Segurança do Windows.
O registo de eventos do Windows também mostrará Windows Defender ID de evento de cliente 1116.
Sugestão
Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:
Consulte também
- Configurar as definições de proxy de dispositivos e de conectividade Internet para Microsoft Defender para Endpoint
- Utilizar definições de Política de Grupo para configurar e gerir o Antivírus do Microsoft Defender
- Alterações importantes ao ponto final dos Serviços de Proteção Ativa Microsoft
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.