مشاركة عبر

نظرة عامة على خدمة Microsoft Defender Core

  • مقالة

خدمة Microsoft Defender Core

لتحسين تجربة أمان نقطة النهاية، تقوم Microsoft بإصدار خدمة Microsoft Defender Core للمساعدة في استقرار وأداء برنامج الحماية من الفيروسات من Microsoft Defender.

المتطلبات الأساسية

  1. يتم إصدار خدمة Microsoft Defender Core باستخدام الإصدار 4.18.23110.2009 من النظام الأساسي ل Microsoft Defender Antivirus.

  2. من المقرر أن يبدأ الإطلاق على النحو التالي:

    • نوفمبر 2023 لنشر العملاء مسبقا.
    • منتصف أبريل 2024 لعملاء Enterprise الذين يقومون بتشغيل عملاء Windows.
    • بداية من يوليو 2024 لعملاء الحكومة الأمريكية الذين يديرون عملاء Windows.

  3. إذا كنت تستخدم تجربة اتصال الجهاز المبسطة ل Microsoft Defender لنقطة النهاية، فلن تحتاج إلى إضافة أي عناوين URL أخرى.

  4. إذا كنت تستخدم تجربة اتصال جهاز Microsoft Defender لنقطة النهاية القياسية :

    يجب أن يسمح عملاء المؤسسة بعناوين URL التالية:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    إذا كنت لا تريد استخدام أحرف البدل ل *.events.data.microsoft.com، يمكنك استخدام:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    يجب أن يسمح عملاء Enterprise U.S. Government بعناوين URL التالية:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. إذا كنت تستخدم Application Control لنظام التشغيل Windows، أو كنت تقوم بتشغيل برنامج غير تابع لبرنامج الحماية من الفيروسات أو برنامج الكشف عن نقاط النهاية والاستجابة له من Microsoft، فتأكد من إضافة العمليات المذكورة سابقا إلى قائمة السماح الخاصة بك.

  6. لا يحتاج المستهلكون إلى اتخاذ أي إجراءات للتحضير.

عمليات وخدمات برنامج الحماية من الفيروسات من Microsoft Defender

يلخص الجدول التالي المكان الذي يمكنك فيه عرض عمليات وخدمات برنامج الحماية من الفيروسات من Microsoft Defender (MdCoreSvc) باستخدام إدارة المهام على أجهزة Windows.

العملية أو الخدمة مكان عرض حالته
Antimalware Core Service علامة تبويب العمليات
MpDefenderCoreService.exe علامة تبويب التفاصيل
Microsoft Defender Core Service علامة تبويب الخدمات

لمعرفة المزيد حول تكوينات خدمة Microsoft Defender Core والتجريب (ECS)، راجع تكوينات خدمة Microsoft Defender Core والتجريب.

الأسئلة المتداولة (الأسئلة المتداولة):

ما هي التوصية لخدمة Microsoft Defender Core؟

نوصي بشدة بالاحتفاظ بالإعدادات الافتراضية لخدمة Microsoft Defender Core قيد التشغيل وإعداد التقارير.

ما تخزين البيانات والخصوصية التي تلتزم بها خدمة Microsoft Defender Core؟

راجع Microsoft Defender لتخزين بيانات نقطة النهاية والخصوصية.

هل يمكنني فرض بقاء خدمة Microsoft Defender Core قيد التشغيل كمسؤول؟

يمكنك فرضه باستخدام أي من أدوات الإدارة هذه:

  • الإدارة المشتركة ل Configuration Manager
  • نهج المجموعة
  • PowerShell
  • التسجيل

استخدام الإدارة المشتركة ل Configuration Manager (ConfigMgr، المعروف سابقا ب MEMCM/SCCM) لتحديث نهج خدمة Microsoft Defender Core

يتمتع Microsoft Configuration Manager بقدرة متكاملة على تشغيل البرامج النصية PowerShell لتحديث إعدادات نهج برنامج الحماية من الفيروسات من Microsoft Defender عبر جميع أجهزة الكمبيوتر في شبكتك.

  1. افتح وحدة تحكم Microsoft Configuration Manager.
  2. حدد البرامج النصية > لمكتبة > البرامج إنشاء برنامج نصي.
  3. أدخل اسم البرنامج النصي، على سبيل المثال، فرض خدمة Microsoft Defender Core والوصف، على سبيل المثال، تكوين العرض التوضيحي لتمكين إعدادات خدمة Microsoft Defender Core.
  4. تعيين اللغة إلى PowerShell وثوان المهلة إلى 180
  5. الصق في مثال البرنامج النصي التالي "Microsoft Defender Core service enforcement" لاستخدامه كقالب:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

عند إضافة برنامج نصي جديد، يجب تحديده والموافقة عليه. تتغير حالة الموافقة من انتظار الموافقة إلى الموافقة. بمجرد الموافقة، انقر بزر الماوس الأيمن فوق جهاز واحد أو مجموعة أجهزة واحدة، وحدد تشغيل البرنامج النصي.

في صفحة البرنامج النصي لمعالج تشغيل البرنامج النصي، اختر البرنامج النصي الخاص بك من القائمة (فرض خدمة Microsoft Defender Core في مثالنا). يتم عرض البرامج النصية المعتمدة فقط. حدد التالي وأكمل المعالج.

استخدام محرر نهج المجموعة لتحديث نهج المجموعة لخدمة Microsoft Defender Core

  1. قم بتنزيل أحدث القوالب الإدارية لنهج مجموعة Microsoft Defender من هنا.

  2. إعداد المستودع المركزي لوحدة التحكم بالمجال.

    ملاحظة

    انسخ .admx، و بشكل منفصل .adml إلى المجلد En-US.

  3. البدء أو GPMC.msc (على سبيل المثال، وحدة تحكم المجال أو ) أو GPEdit.msc

  4. انتقل إلى Computer Configuration ->Administrative Templates ->Windows Components ->Microsoft Defender Antivirus

  5. تشغيل تكامل خدمة التجريب والتكوين (ECS) لخدمة Defender الأساسية

    • غير مكون أو ممكن (افتراضي) : ستستخدم خدمة Microsoft Defender الأساسية ECS لتقديم إصلاحات هامة خاصة بالمؤسسة لبرنامج الحماية من الفيروسات من Microsoft Defender وبرامج Defender الأخرى بسرعة.
    • معطل: ستتوقف خدمة Microsoft Defender الأساسية عن استخدام ECS لتقديم إصلاحات هامة خاصة بالمؤسسة لبرنامج الحماية من الفيروسات من Microsoft Defender وبرامج Defender الأخرى بسرعة. بالنسبة للإيجابيات الخاطئة، سيتم تسليم الإصلاحات عبر "تحديثات معلومات الأمان"، وبالنسبة لتحديثات النظام الأساسي و/أو المحرك، سيتم تسليم الإصلاحات من خلال Microsoft Update أو كتالوج Microsoft Update أو WSUS.

  6. تشغيل بيانات تتبع الاستخدام لخدمة Defender الأساسية

    • لم يتم تكوينه أو تمكينه (افتراضي): ستجمع خدمة Microsoft Defender Core بيانات تتبع الاستخدام من برنامج الحماية من الفيروسات من Microsoft Defender وبرامج Defender الأخرى
    • معطل: ستتوقف خدمة Microsoft Defender Core عن جمع بيانات تتبع الاستخدام من برنامج الحماية من الفيروسات من Microsoft Defender وبرامج Defender الأخرى. يمكن أن يؤثر تعطيل هذا الإعداد على قدرة Microsoft على التعرف بسرعة على المشكلات ومعالجتها، مثل الأداء البطيء والإيجابيات الخاطئة.

استخدم PowerShell لتحديث نهج خدمة Microsoft Defender Core.

  1. انتقل إلى البدء، وقم بتشغيل PowerShell كمسؤول.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration استخدم الأمر $true أو $false، حيث $false = ممكن و $true = معطل. على سبيل المثال:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Set-MpPreferences -DisableCoreServiceTelemetry استخدم الأمر $true أو $false، على سبيل المثال:

    Set-MpPreferences -DisableCoreServiceTelemetry $true

استخدم السجل لتحديث نهج خدمة Microsoft Defender Core.

  1. حدد بدء، ثم افتح Regedit.exe كمسؤول.

  2. الانتقال إلى HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. تعيين القيم:

    DisableCoreService1DSTelemetry (dword) 0 (سداسي عشري)
    0 = غير مكون، ممكن (افتراضي)
    1 = معطل

    DisableCoreServiceECSIntegration (dword) 0 (سداسي عشري)
    0 = غير مكون، ممكن (افتراضي)
    1 = معطل