Microsoft Defender Virüsten Koruma ağ bağlantılarını yapılandırın ve doğrulayın

Şunlar için geçerlidir:

Platform

  • Windows

Microsoft Defender Virüsten Koruma bulut tabanlı korumanın düzgün çalıştığından emin olmak için güvenlik ekibinizin ağınızı uç noktalarınızla belirli Microsoft sunucuları arasında bağlantılara izin verecek şekilde yapılandırması gerekir. Bu makalede, güvenlik duvarı kurallarını kullanmak için izin verilmesi gereken bağlantılar listelenir. Ayrıca bağlantınızı doğrulamaya yönelik yönergeler de sağlar. Korumanızı doğru şekilde yapılandırmak, bulut tabanlı koruma hizmetlerinizden en iyi değeri almanızı sağlar.

Önemli

Bu makale yalnızca Microsoft Defender Virüsten Koruma için ağ bağlantılarını yapılandırma hakkında bilgi içerir. Uç Nokta için Microsoft Defender kullanıyorsanız (Microsoft Defender Virüsten Koruma içerir), bkz. Uç Nokta için Defender için cihaz ara sunucusu ve İnternet bağlantısı ayarlarını yapılandırma.

Microsoft Defender Virüsten Koruma bulut hizmetine bağlantılara izin ver

Microsoft Defender Virüsten Koruma bulut hizmeti uç noktalarınız için hızlı ve güçlü koruma sağlar. Bulut tabanlı koruma hizmetini etkinleştirmek isteğe bağlıdır. Microsoft Defender Virüsten Koruma bulut hizmeti, uç noktalarınızda ve ağınızda kötü amaçlı yazılımlara karşı önemli koruma sağladığından önerilir. Daha fazla bilgi için bkz. Windows Güvenliği uygulamasında hizmeti Intune, Microsoft Endpoint Configuration Manager, grup ilkesi, PowerShell cmdlet'leri veya tek tek istemcilerle etkinleştirmek için bulut tabanlı korumayı etkinleştirme.

Hizmeti etkinleştirdikten sonra ağınızı veya güvenlik duvarınızı ağ ile uç noktalarınız arasındaki bağlantılara izin verecek şekilde yapılandırmanız gerekir. Korumanız bir bulut hizmeti olduğundan bilgisayarların İnternet'e ve Microsoft bulut hizmetlerine erişmesi gerekir. URL'yi *.blob.core.windows.net herhangi bir ağ incelemesinin dışında tutmayın.

Not

Microsoft Defender Virüsten Koruma bulut hizmeti, ağınıza ve uç noktalarınıza güncelleştirilmiş koruma sağlar. Bulut hizmeti yalnızca bulutta depolanan dosyalarınız için koruma olarak değerlendirilmemelidir; Bunun yerine bulut hizmeti, geleneksel Güvenlik bilgileri güncelleştirmelerinden daha hızlı bir hızda uç noktalarınıza koruma sağlamak için dağıtılmış kaynakları ve makine öğrenmesini kullanır.

Hizmetler ve URL'ler

Bu bölümdeki tabloda hizmetler ve ilişkili web sitesi adresleri (URL'ler) listelenmektedir.

Bu URL'lere erişimi reddeden güvenlik duvarı veya ağ filtreleme kuralı olmadığından emin olun. Aksi takdirde, özellikle bu URL'ler için bir izin verme kuralı oluşturmanız gerekir (URL *.blob.core.windows.nethariç). Aşağıdaki tablodaki URL'ler iletişim için 443 numaralı bağlantı noktasını kullanır. (Aşağıdaki tabloda belirtildiği gibi bazı URL'ler için 80 numaralı bağlantı noktası da gereklidir.)

Hizmet ve açıklama URL
Microsoft Defender Virüsten Koruma bulut tabanlı koruma hizmeti, Microsoft Active Protection Service (MAPS) olarak adlandırılır.
Microsoft Defender Virüsten Koruma, bulut tabanlı koruma sağlamak için MAPS hizmetini kullanır.
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Hizmeti (MU) ve Windows Update Hizmeti (WU)
Bu hizmetler güvenlik zekası ve ürün güncelleştirmelerine olanak sağlar.
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

Daha fazla bilgi için bkz. Windows Update için bağlantı uç noktaları.
Güvenlik bilgileri güncelleştirmeleri Alternatif İndirme Konumu (ADL)
Bu, Microsoft Defender Virüsten Koruma Güvenlik bilgileri güncelleştirmeleri için, yüklü Güvenlik zekası güncel değilse (Yedi veya daha fazla gün geride) alternatif bir konumdur.
*.download.microsoft.com
*.download.windowsupdate.com (Bağlantı noktası 80 gereklidir)
go.microsoft.com (Bağlantı noktası 80 gereklidir)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
Kötü amaçlı yazılım gönderme depolama alanı
Bu, Gönderme formu veya otomatik örnek gönderimi aracılığıyla Microsoft'a gönderilen dosyalar için bir karşıya yükleme konumudur.
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
Sertifika İptal Listesi (CRL)
Windows, CRL'yi güncelleştirmek için MAPS'e SSL bağlantısı oluştururken bu listeyi kullanır.
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
Evrensel GDPR İstemcisi
Windows, istemci tanılama verilerini göndermek için bu istemciyi kullanır.

Microsoft Defender Virüsten Koruma, ürün kalitesi ve izleme amacıyla Genel Veri Koruma Yönetmeliği'ne sahiptir.
Güncelleştirme, bildirimleri indirmek ve aşağıdaki DNS uç noktalarını kullanan tanılama verilerini Microsoft'a yüklemek için SSL (TCP Bağlantı Noktası 443) kullanır:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

Ağınız ile bulut arasındaki bağlantıları doğrulama

Listelenen URL'lere izin verdikten sonra Microsoft Defender Virüsten Koruma bulut hizmetine bağlı olup olmadığınızı test edin. Tam olarak korunduğunuzdan emin olmak için URL'lerin doğru şekilde raporlanıp bilgi alınıp alınamediğini test edin.

Bulut tabanlı korumayı doğrulamak için cmdline aracını kullanma

Ağınızın Microsoft Defender Virüsten Koruma bulut hizmetiyle iletişim kurabildiğini doğrulamak için Microsoft Defender Virüsten Koruma komut satırı yardımcı programıyla (mpcmdrun.exe) aşağıdaki bağımsız değişkeni kullanın:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

Not

Yönetici olarak Komut İstemi'ni açın. Başlat menüsünde öğeye sağ tıklayın, Yönetici olarak çalıştır'a tıklayın ve izin isteminde Evet'e tıklayın. Bu komut yalnızca Windows 10, sürüm 1703 veya üzeri ya da Windows 11 üzerinde çalışır.

Daha fazla bilgi için bkz. mpcmdrun.exe komut satırı aracıyla Microsoft Defender Virüsten Koruma'yı yönetme.

Yaygın hata iletileri

Görebileceğiniz bazı hata iletileri şunlardır:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

Kök nedenler

Bu hata iletilerinin temel nedeni, cihazın sistem genelinde WinHttp proxy'sinin yapılandırılmamış olmasıdır. Bu ara sunucuyu ayarlamazsanız, işletim sistemi proxy'yi fark etmez ve CRL'yi getiremez (işletim sistemi bunu yapar, Uç Nokta için Defender'ı değil), bu da gibi http://cp.wd.microsoft.com/ URL'lere YAPıLAN TLS bağlantılarının başarılı olmadığı anlamına gelir. Uç noktalara başarılı (yanıt 200) bağlantıları görürsünüz, ancak MAPS bağlantıları yine başarısız olur.

Çözümleri

Aşağıdaki tabloda çözümler listelenir:

Çözüm Açıklama
Çözüm (Tercih Edilen) CRL denetimine izin veren sistem genelinde WinHttp ara sunucusunu yapılandırın.
Çözüm (Tercih Edilen 2) 1. Bilgisayar Yapılandırması>Windows AyarlarıGüvenlik Ayarları>>Ortak Anahtar İlkeleri>Sertifika Yolu Doğrulama Ayarları'na gidin.
2. Ağ Alma sekmesini ve ardından Bu ilke ayarlarını tanımla'yı seçin.
3. Microsoft Kök Sertifika Programı'nda sertifikaları otomatik olarak güncelleştir (önerilen) onay kutusunu temizleyin.

Bazı yararlı kaynaklar şunlardır:
- Güvenilen Kökler ve İzin Verilmeyen Sertifikaları Yapılandırma
- Uygulama Başlangıç süresini geliştirme: Machine.config'de GeneratePublisherEvidence ayarı
Geçici çözüm (Alternatif)
İptal edilen sertifikaları veya sertifika sabitlemeyi artık denetlemediğiniz için bu en iyi yöntem değildir.
YALNıZCA SPYNET için CRL denetimini devre dışı bırakın.
Bu kayıt defteri SSLOption'ın yapılandırılması yalnızca SPYNET raporlaması için CRL denetimini devre dışı bırakır. Diğer hizmetleri etkilemez.

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet'e2 gidin ve (onaltılık) olarak ayarlayınSSLOptions (dword).
Başvuru için DWORD için olası değerler şunlardır:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

Microsoft'tan sahte kötü amaçlı yazılım dosyası indirme girişimi

Buluta düzgün bir şekilde bağlıysanız Virüsten Koruma Microsoft Defender nın algılayıp engelleyecekleri örnek bir dosyayı indirebilirsiniz.

Not

İndirilen dosya tam olarak kötü amaçlı yazılım değildir. Buluta düzgün bir şekilde bağlanıp bağlanmadığınızı test etmek için tasarlanmış sahte bir dosyadır.

Düzgün bir şekilde bağlandıysanız Virüsten Koruma bildirimi Microsoft Defender bir uyarı görürsünüz.

Microsoft Edge kullanıyorsanız bir bildirim iletisi de görürsünüz:

Edge'de kötü amaçlı yazılım bulunduğuna ilişkin bildirim

Internet Explorer kullanıyorsanız benzer bir ileti oluşur:

Kötü amaçlı yazılımların bulunduğuna ilişkin Microsoft Defender Virüsten Koruma bildirimi

Windows Güvenliği uygulamanızda sahte kötü amaçlı yazılım algılamasını görüntüleme

  1. Görev çubuğunuzda Kalkan simgesini seçin, Windows Güvenliği uygulamasını açın. Veya Güvenlik için Başlat'ı arayın.

  2. Virüs & tehdit koruması'& ve ardından Koruma geçmişi'ne tıklayın.

  3. Karantinaya alınan tehditler bölümünde, algılanan sahte kötü amaçlı yazılımları görmek için Tam geçmişe bakın'ı seçin.

    Not

    sürüm 1703'ün önceki Windows 10 sürümleri farklı bir kullanıcı arabirimine sahiptir. Windows Güvenliği uygulamasında virüsten koruma Microsoft Defender bölümüne bakın.

    Windows olay günlüğünde Windows Defender istemci olay kimliği 1116 da gösterilir.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.