共用方式為


設定及驗證 Microsoft Defender 防毒軟體網路連線

適用於:

平台

  • Windows

為了確保 Microsoft Defender 防病毒軟體雲端式保護能正常運作,您的安全性小組必須設定您的網路,以允許端點與特定 Microsoft 伺服器之間的連線。 本文列出必須允許使用防火牆規則的連線。 它也提供驗證連線的指示。 正確設定您的保護,可確保您從雲端提供的保護服務獲得最佳價值。

重要事項

本文包含僅針對 Microsoft Defender 防病毒軟體設定網路連線的相關信息。 如果您使用包含 Microsoft Defender 防病毒軟體) 的 適用於端點的 Microsoft Defender (,請參閱設定適用於端點的 Defender 的裝置 Proxy 和因特網連線設定

允許連線到 Microsoft Defender 防病毒軟體雲端服務

Microsoft Defender 防病毒軟體雲端服務可為您的端點提供快速且強大的保護。 啟用雲端式保護服務是選擇性的。 Microsoft Defender 建議使用防病毒軟體雲端服務,因為它可針對端點和網路上的惡意代碼提供重要保護。 如需詳細資訊,請參閱在 Intune 應用程式 Windows 安全性 中啟用雲端式保護,以啟用 Intune、Microsoft 端點 Configuration Manager、群組原則、PowerShell Cmdlet 或個別客戶端的服務。

啟用服務之後,您必須設定網路或防火牆,以允許網路與端點之間的連線。 因為您的保護是雲端服務,所以計算機必須能夠存取因特網並連線到 Microsoft 雲端服務。 請勿將URL *.blob.core.windows.net 從任何類型的網路檢查中排除。

注意事項

Microsoft Defender 防病毒軟體雲端服務會為您的網路和端點提供更新的保護。 雲端服務不應視為只保護儲存在雲端中的檔案;相反地,雲端服務會使用分散式資源和機器學習,以比傳統安全情報更新更快的速度為端點提供保護。

服務和 URL

本節中的表格列出服務及其相關聯的網站位址 (URL) 。

請確定沒有任何防火牆或網路篩選規則拒絕存取這些 URL。 否則,您必須特別針對這些 URL 建立允許規則, (排除 URL *.blob.core.windows.net) 。 下表中的 URL 會使用埠 443 進行通訊。 (某些 URL 也需要埠 80,如下表所述。)

服務和描述 URL
Microsoft Defender 防病毒軟體雲端式保護服務稱為 Microsoft Active Protection Service (MAPS) 。
Microsoft Defender 防病毒軟體會使用MAPS服務來提供雲端式保護。
*.wdcp.microsoft.com
*.wdcpalt.microsoft.com
*.wd.microsoft.com
Microsoft Update Service (MU) 和 Windows Update Service (WU)
這些服務允許安全性情報和產品更新。
*.update.microsoft.com
*.delivery.mp.microsoft.com
*.windowsupdate.com
ctldl.windowsupdate.com

如需詳細資訊,請參閱適用於 Windows Update 的連線端點
安全性情報更新 ADL (替代下載位置)
如果安裝的安全性情報 () 7 天以上過期,則這是 Microsoft Defender 防毒安全性情報更新的替代位置。
*.download.microsoft.com
*.download.windowsupdate.com (需要埠 80)
go.microsoft.com (需要埠 80)
https://www.microsoft.com/security/encyclopedia/adlpackages.aspx
https://definitionupdates.microsoft.com/download/DefinitionUpdates/
https://fe3cr.delivery.mp.microsoft.com/ClientWebService/client.asmx
惡意代碼提交記憶體
這是透過提交表單或自動範例提交提交提交至 Microsoft 的檔案上傳位置。
ussus1eastprod.blob.core.windows.net
ussus2eastprod.blob.core.windows.net
ussus3eastprod.blob.core.windows.net
ussus4eastprod.blob.core.windows.net
wsus1eastprod.blob.core.windows.net
wsus2eastprod.blob.core.windows.net
ussus1westprod.blob.core.windows.net
ussus2westprod.blob.core.windows.net
ussus3westprod.blob.core.windows.net
ussus4westprod.blob.core.windows.net
wsus1westprod.blob.core.windows.net
wsus2westprod.blob.core.windows.net
usseu1northprod.blob.core.windows.net
wseu1northprod.blob.core.windows.net
usseu1westprod.blob.core.windows.net
wseu1westprod.blob.core.windows.net
ussuk1southprod.blob.core.windows.net
wsuk1southprod.blob.core.windows.net
ussuk1westprod.blob.core.windows.net
wsuk1westprod.blob.core.windows.net
CRL) (證書吊銷清單
Windows 會在建立 MAPS 的 SSL 連線以更新 CRL 時使用此清單。
http://www.microsoft.com/pkiops/crl/
http://www.microsoft.com/pkiops/certs
http://crl.microsoft.com/pki/crl/products
http://www.microsoft.com/pki/certs
通用GDPR用戶端
Windows 會使用此客戶端來傳送客戶端診斷數據。

Microsoft Defender 防病毒軟體會針對產品品質和監視用途使用一般數據保護規定。
更新會使用 SSL (TCP 連接埠 443) 下載指令清單,並將診斷數據上傳至使用下列 DNS 端點的 Microsoft:
vortex-win.data.microsoft.com
settings-win.data.microsoft.com

驗證網路與雲端之間的連線

允許列出的 URL 之後,請測試您是否已連線到 Microsoft Defender 防病毒軟體雲端服務。 測試 URL 是否正確報告和接收資訊,以確保您受到完整保護。

使用 Cmdline 工具來驗證雲端式保護

使用下列自變數搭配 Microsoft Defender 防病毒軟體命令行公用程式 (mpcmdrun.exe) ,以確認您的網路可以與 Microsoft Defender 防病毒軟體雲端服務通訊:

"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -ValidateMapsConnection

注意事項

以系統管理員身分開啟 [命令提示字元]。 以滑鼠右鍵按兩下 [ 開始 ] 選單中的項目,按兩下 [ 以系統管理員身分 執行],然後在許可權提示字元中按兩下 [ ]。 此命令僅適用於 Windows 10 版本 1703 或更新版本,或 Windows 11。

如需詳細資訊,請參閱使用 mpcmdrun.exe 命令行工具管理 Microsoft Defender 防病毒軟體

錯誤訊息

以下是一些您可能會看到的錯誤訊息:

Start Time: <Day_of_the_week> MM DD YYYY HH:MM:SS 
MpEnsureProcessMitigationPolicy: hr = 0x1 
ValidateMapsConnection
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80070006 httpcore=451)
MpCmdRun.exe: hr = 0x80070006
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072F8F httpcore=451)
MpCmdRun.exe: hr = 0x80072F8F
ValidateMapsConnection failed to establish a connection to MAPS (hr=0x80072EFE httpcore=451)
MpCmdRun.exe: hr = 0x80072EFE

根源

這些錯誤訊息的根本原因是裝置未設定其全 WinHttp 系統 Proxy。 如果您未設定此 Proxy,則操作系統並不知道 Proxy,且無法擷取 CRL (操作系統執行此動作,而非適用於端點的 Defender) ,這表示 TLS 連線到類似 http://cp.wd.microsoft.com/ 的 URL 不會成功。 您會看到成功 (回應 200) 端點的連線,但 MAPS 連線仍會失敗。

解決方案

下表列出解決方案:

解決方案 描述
解決方案 (慣用) 設定允許CRL檢查的全系統 WinHttp Proxy。
解決方案 (慣用 2) 1.移至 [計算機設定>] [Windows 設定] [安全性>設定]> [公鑰原則>憑證路徑驗證設定]
2.選取 [ 網络擷取] 索引 標籤,然後選取 [定義這些原則設定]
3.清除 [ Microsoft 跟證書計劃中自動更新憑證 (建議) ] 複選框。

以下是一些有用的資源:
- 設定受信任的根目錄和不允許的憑證
- 改善應用程式啟動時間:Machine.config中的 GeneratePublisherEvidence 設定
替代) (因應解決方案
這不是最佳做法,因為您不再檢查是否已撤銷憑證或憑證釘選。
僅停用SPYNET的CRL檢查。
設定此登錄 SSLOption 只會針對 SPYNET 報告停用 CRL 檢查。 它不會影響其他服務。

移至 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet,然後將 設定為 SSLOptions (dword)2 (十六進位) 。
如需參考,以下是 DWORD 的可能值:
- 0 – disable pinning and revocation checks
- 1 – disable pinning
- 2 – disable revocation checks only
- 3 – enable revocation checks and pinning (default)

嘗試從 Microsoft 下載假的惡意代碼檔案

如果您已正確連線到雲端,您可以下載 Microsoft Defender 防病毒軟體會偵測並封鎖的範例檔案

注意事項

下載的檔案不完全是惡意代碼。 這是一個假的檔案,其設計目的是要測試您是否已正確連線到雲端。

如果您已正確連線,您會看到防病毒軟體通知 Microsoft Defender 警告。

如果您使用 Microsoft Edge,您也會看到通知訊息:

在Edge中找到惡意代碼的通知

如果您使用 Internet Explorer,則會發生類似的訊息:

Microsoft Defender 找到惡意代碼的防病毒軟體通知

檢視 Windows 安全性 應用程式中的假惡意代碼偵測

  1. 在任務欄上,選取 [防護] 圖示,開啟 Windows 安全性 應用程式。 或者,搜尋 [開始 ] 以取得 安全性

  2. 取 [病毒 & 威脅防護],然後選取 [ 保護歷程記錄]

  3. 在 [ 隔離的威脅 ] 區段下,選取 [查看完整歷程記錄 ] 以查看偵測到的假惡意代碼。

    注意事項

    1703 版之前的 Windows 10 版本有不同的使用者介面。 請參閱 Windows 安全性 應用程式中的 Microsoft Defender 防病毒軟體。

    Windows 事件記錄檔也會顯示 Windows Defender 用戶端事件識別碼 1116

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。