Přehled služby Microsoft Defender Core

Článek
06/22/2024

Služba Microsoft Defender Core

Microsoft vydává službu Microsoft Defender Core, která vám pomůže se stabilitou a výkonem antivirové ochrany v programu Microsoft Defender, aby zlepšila možnosti zabezpečení koncových bodů.

Požadavky

Služba Microsoft Defender Core vydává s antivirovou platformou Microsoft Defender verze 4.18.23110.2009.
Zavedení je naplánováno takto:
- Listopad 2023 k předběžnému vydání zákazníků.
- Od poloviny dubna 2024 pro podnikové zákazníky, kteří používají klienty Windows.
- Od července 2024 pro zákazníky státní správy USA, kteří používají klienty Windows.
Pokud používáte zjednodušené možnosti připojení zařízení v programu Microsoft Defender for Endpoint, nemusíte přidávat žádné další adresy URL.
Pokud používáte standardní možnosti připojení zařízení Microsoft Defenderu for Endpoint:

Podnikoví zákazníci by měli povolit následující adresy URL:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Pokud nechcete používat zástupné cardy pro *.events.data.microsoft.com, můžete použít:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Zákazníci se smlouvou Enterprise pro státní správu USA by měli povolit následující adresy URL:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Pokud používáte řízení aplikací pro Windows nebo používáte antivirový software nebo software pro detekci koncových bodů a odezvu jiné společnosti než Microsoft, nezapomeňte na seznam povolených přidat výše uvedené procesy.
Spotřebitelé nemusí při přípravě provádět žádné akce.

Procesy a služby Antivirové ochrany v programu Microsoft Defender

Následující tabulka shrnuje, kde můžete zobrazit procesy a služby Antivirové ochrany v programu Microsoft Defender (MdCoreSvc) pomocí Správce úloh na zařízeních s Windows.

Proces nebo služba	Kde zobrazit stav
`Antimalware Core Service`	Karta Procesy
`MpDefenderCoreService.exe`	Karta Podrobnosti
`Microsoft Defender Core Service`	Karta Služby

Další informace o konfiguracích služby Microsoft Defender Core a experimentování (ECS) najdete v tématu Konfigurace a experimentování služby Microsoft Defender Core.

Nejčastější dotazy:

Jaké je doporučení pro službu Microsoft Defender Core?

Důrazně doporučujeme ponechat výchozí nastavení služby Microsoft Defender Core spuštěné a podřízené.

Jaké úložiště dat a ochrana osobních údajů dodržuje služba Microsoft Defender Core?

Projděte si téma Úložiště dat a ochrana osobních údajů v Programu Microsoft Defender for Endpoint.

Můžu vynutit, aby služba Microsoft Defender Core zůstala spuštěná jako správce?

Můžete ho vynutit pomocí některého z těchto nástrojů pro správu:

Spoluspráva nástroje Configuration Manager
Zásady skupiny
PowerShell
Registr

Pomocí spolusprávy Nástroje Configuration Manager (ConfigMgr, dříve MEMCM/SCCM) aktualizujte zásady pro službu Microsoft Defender Core.

Microsoft Configuration Manager má integrovanou schopnost spouštět skripty PowerShellu pro aktualizaci nastavení zásad Antivirové ochrany v programu Microsoft Defender na všech počítačích ve vaší síti.

Otevřete konzolu nástroje Microsoft Configuration Manager.
Vyberte Skripty > softwarové knihovny > Vytvořit skript.
Zadejte název skriptu, například vynucení služby Microsoft Defender Core a Popis, například Ukázková konfigurace pro povolení nastavení služby Microsoft Defender Core.
Nastavte Jazyk na PowerShell a sekundy časového limitu na 180.
Vložte následující příklad skriptu Vynucení služby Microsoft Defender Core, který použijete jako šablonu:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Když přidáváte nový skript, musíte ho vybrat a schválit. Stav schválení se změní z Čeká se na schválení na Schváleno. Po schválení klikněte pravým tlačítkem na jedno zařízení nebo kolekci zařízení a vyberte Spustit skript.

Na stránce skript v průvodci Spustit skript vyberte svůj skript ze seznamu (v našem příkladu vynucování služby Microsoft Defender Core). Zobrazí se pouze schválené skripty. Vyberte Další a dokončete průvodce.

Aktualizace zásad skupiny pro službu Microsoft Defender Core pomocí Editoru zásad skupiny

Stáhněte si nejnovější šablony pro správu zásad skupiny programu Microsoft Defender odsud.
Nastavte centrální úložiště řadiče domény.

Poznámka

Zkopírujte .admx a samostatně .adml do složky En-US.
Start, GPMC.msc (např. řadič domény nebo ) nebo GPEdit.msc
Přejděte na Konfigurace počítače ->Šablony pro správu ->Součásti systému Windows ->Antivirová ochrana v programu Microsoft Defender.
Zapnutí integrace služby Experimentování a konfigurace (ECS) pro základní službu Defenderu
- Nenakonfigurováno nebo povoleno (výchozí): Základní služba Microsoft Defenderu bude používat ECS k rychlému poskytování důležitých oprav specifických pro organizaci pro Antivirovou ochranu v programu Microsoft Defender a další software Defender.
- Zakázáno: Základní služba Microsoft Defenderu přestane používat ECS k rychlému poskytování důležitých oprav specifických pro organizaci pro Antivirovou ochranu v programu Microsoft Defender a další software Defender. V případě falešně pozitivních výsledků budou opravy doručovány prostřednictvím "aktualizací security intelligence" a u aktualizací platformy nebo modulu budou opravy doručovány prostřednictvím služby Microsoft Update, Katalogu služby Microsoft Update nebo služby WSUS.
Zapnutí telemetrie pro základní službu Defenderu
- Nenakonfigurováno nebo povoleno (výchozí): Služba Microsoft Defender Core bude shromažďovat telemetrická data z antivirové ochrany v programu Microsoft Defender a dalšího softwaru Defender.
- Zakázáno: Služba Microsoft Defender Core přestane shromažďovat telemetrická data z antivirové ochrany v programu Microsoft Defender a dalšího softwaru Defender. Zakázání tohoto nastavení může mít vliv na schopnost Microsoftu rychle rozpoznat a řešit problémy, jako je nízký výkon a falešně pozitivní výsledky.

Pomocí PowerShellu aktualizujte zásady pro službu Microsoft Defender Core.

Přejděte na Start a spusťte PowerShell jako správce.
Set-MpPreferences -DisableCoreServiceECSIntegration Použijte příkaz $true nebo $false, kde $false = povoleno a $true = zakázáno. Příklady:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Set-MpPreferences -DisableCoreServiceTelemetry Použijte příkaz $true nebo $false, například:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Pomocí registru aktualizujte zásady pro službu Microsoft Defender Core.

Vyberte Start a pak otevřete Regedit.exe jako správce.
Přejít na HKLM\Software\Policies\Microsoft\Windows Defender\Features
Nastavte hodnoty:

DisableCoreService1DSTelemetry (dword) 0 (šestnáctkový)
0 = Nenakonfigurováno, povoleno (výchozí)
1 = Zakázáno

DisableCoreServiceECSIntegration (dword) 0 (šestnáctkový)
0 = Nenakonfigurováno, povoleno (výchozí)
1 = Zakázáno

Sdílet prostřednictvím