Sdílet prostřednictvím

přehled služby Microsoft Defender Core

  • Článek

služba Microsoft Defender Core

Microsoft vydává službu Microsoft Defender Core, která pomáhá se stabilitou a výkonem Microsoft Defender Antivirové ochrany, aby zlepšila možnosti zabezpečení koncových bodů.

Požadavky

  1. Služba Microsoft Defender Core se vydává s platformou Microsoft Defender Antivirus verze 4.18.23110.2009.

  2. Zavedení začíná:

    • Listopad 2023 k předběžnému vydání zákazníků.
    • Od poloviny dubna 2024 pro podnikové zákazníky, kteří používají klienty Windows.
    • V polovině června 2024 zákazníkům státní správy USA, kteří používají klienty Windows.

  3. Pokud používáte Microsoft Defender for Endpoint zjednodušené možnosti připojení zařízení, nemusíte přidávat žádné další adresy URL.

  4. Pokud používáte Microsoft Defender for Endpoint standardní možnosti připojení zařízení:

    Podnikoví zákazníci by měli povolit následující adresy URL:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Pokud nechcete používat zástupné cardy pro *.events.data.microsoft.com, můžete použít:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Zákazníci se smlouvou Enterprise pro státní správu USA by měli povolit následující adresy URL:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Pokud používáte řízení aplikací pro Windows nebo používáte antivirový software nebo software pro detekci koncových bodů a odezvu jiné společnosti než Microsoft, nezapomeňte na seznam povolených přidat výše uvedené procesy.

  6. Spotřebitelé nemusí při přípravě provádět žádné akce.

procesy a služby Microsoft Defender Antivirus

Následující tabulka shrnuje, kde můžete zobrazit Microsoft Defender antivirové procesy a služby (MdCoreSvc) pomocí Správce úloh na zařízeních s Windows.

Proces nebo služba Kde zobrazit stav
Antimalware Core Service Karta Procesy
MpDefenderCoreService.exe Karta Podrobnosti
Microsoft Defender Core Service Karta Služby

Další informace o konfiguracích služby Microsoft Defender Core a experimentování (ECS) najdete v tématu konfigurace služby Microsoft Defender Core a experimentování.

Nejčastější dotazy:

Jaké je doporučení pro službu Microsoft Defender Core?

Důrazně doporučujeme ponechat výchozí nastavení služby Microsoft Defender Core spuštěné a vykazované.

Jaké úložiště dat a ochrana osobních údajů dodržuje služba Microsoft Defender Core?

Zkontrolujte Microsoft Defender for Endpoint úložiště dat a ochranu osobních údajů.

Můžu vynutit, aby služba Microsoft Defender Core zůstala spuštěná jako správce?

Můžete ho vynutit pomocí některého z těchto nástrojů pro správu:

  • Configuration Manager spoluspráva
  • Zásady skupiny
  • PowerShell
  • Registr

Pomocí Configuration Manager spolusprávy (ConfigMgr, dříve MEMCM/SCCM) aktualizujte zásady pro službu Microsoft Defender Core.

Microsoft Configuration Manager má integrovanou schopnost spouštět skripty PowerShellu, které aktualizují nastavení zásad Microsoft Defender antivirové ochrany na všech počítačích v síti.

  1. Otevřete konzolu Microsoft Configuration Manager.
  2. Vyberte Skripty > softwarové knihovny > Create skript.
  3. Zadejte název skriptu, například Microsoft Defender vynucování služby Core a Popis, například Ukázková konfigurace pro povolení Microsoft Defender nastavení služby Core.
  4. Nastavte Jazyk na PowerShell a sekundy časového limitu na 180.
  5. Vložte následující příklad skriptu vynucení služby Microsoft Defender Core, který použijete jako šablonu:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Když přidáváte nový skript, musíte ho vybrat a schválit. Stav schválení se změní z Čeká se na schválení na Schváleno. Po schválení klikněte pravým tlačítkem na jedno zařízení nebo kolekci zařízení a vyberte Spustit skript.

Na stránce skriptu v Průvodci spuštěním skriptu vyberte svůj skript ze seznamu (v našem příkladu Microsoft Defender vynucení služby Core). Zobrazí se pouze schválené skripty. Vyberte Další a dokončete průvodce.

Aktualizace Zásady skupiny pro službu Microsoft Defender Core pomocí Zásady skupiny Editor

  1. Stáhněte si nejnovější Microsoft Defender Zásady skupiny Šablony pro správu odsud.

  2. Nastavte centrální úložiště řadiče domény.

    Poznámka

    Zkopírujte .admx a samostatně .adml do složky En-US.

  3. Start, GPMC.msc (např. řadič domény nebo ) nebo GPEdit.msc

  4. Přejděte na Konfigurace počítače ->Šablony pro správu ->Součásti systému Windows ->Microsoft Defender Antivirus

  5. Zapnutí integrace služby Experimentování a konfigurace (ECS) pro základní službu Defenderu

    • Nenakonfigurováno nebo povoleno (výchozí): základní služba Microsoft Defender bude používat ECS k rychlému poskytování důležitých oprav specifických pro organizaci pro Microsoft Defender Antivirus a další software Defender.
    • Zakázáno: Základní služba Microsoft Defender přestane používat ECS k rychlému poskytování kritických oprav specifických pro organizaci pro Microsoft Defender Antivirus a další software Defender. V případě falešně pozitivních výsledků budou opravy doručovány prostřednictvím "aktualizací security intelligence" a u aktualizací platformy nebo modulu budou opravy doručovány prostřednictvím služby Microsoft Update, Katalogu služby Microsoft Update nebo služby WSUS.

  6. Zapnutí telemetrie pro základní službu Defenderu

    • Nenakonfigurováno nebo povoleno (výchozí): Služba Microsoft Defender Core bude shromažďovat telemetrická data z Microsoft Defender Antivirus a dalšího softwaru Defender.
    • Zakázáno: Služba Microsoft Defender Core přestane shromažďovat telemetrická data z antivirové ochrany Microsoft Defender a dalšího softwaru Defender. Zakázání tohoto nastavení může mít vliv na schopnost Microsoftu rychle rozpoznat a řešit problémy, jako je nízký výkon a falešně pozitivní výsledky.

Pomocí PowerShellu aktualizujte zásady pro službu Microsoft Defender Core.

  1. Přejděte na Start a spusťte PowerShell jako správce.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration Použijte příkaz $true nebo $false, kde $false = povoleno a $true = zakázáno. Příklady:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Set-MpPreferences -DisableCoreServiceTelemetry Použijte příkaz $true nebo $false, například:

    Set-MpPreferences -DisableCoreServiceTelemetry $true

Pomocí registru aktualizujte zásady pro službu Microsoft Defender Core.

  1. Vyberte Start a pak otevřete Regedit.exe jako správce.

  2. Přejít na HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. Nastavte hodnoty:

    DisableCoreService1DSTelemetry (dword) 0 (šestnáctkový)
    0 = Nenakonfigurováno, povoleno (výchozí)
    1 = Zakázáno

    DisableCoreServiceECSIntegration (dword) 0 (šestnáctkový)
    0 = Nenakonfigurováno, povoleno (výchozí)
    1 = Zakázáno