Oversigt over Microsoft Defender Core-tjenesten

Artikel
06/22/2024

Microsoft Defender Core-tjeneste

For at forbedre din sikkerhedsoplevelse for slutpunkter frigiver Microsoft Tjenesten Microsoft Defender Core for at hjælpe med stabiliteten og ydeevnen af Microsoft Defender Antivirus.

Forudsætninger

Microsoft Defender Core-tjenesten frigives med Microsoft Defender Antivirus-platformen version 4.18.23110.2009.
Udrulningen er planlagt til at begynde på følgende måde:
- november 2023 for at give kunderne en forhåndsudgivelse.
- Medio april 2024 til Enterprise-kunder, der kører Windows-klienter.
- Fra og med juli 2024 til amerikanske offentlige myndigheder, der kører Windows-klienter.
Hvis du bruger Microsoft Defender for Endpoint strømlinet enhedsforbindelsesoplevelse, behøver du ikke at tilføje andre URL-adresser.
Hvis du bruger Standardenhedsforbindelsesoplevelsen for Microsoft Defender for Endpoint:

Virksomhedskunder skal tillade følgende URL-adresser:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Hvis du ikke vil bruge jokertegnene til *.events.data.microsoft.com, kan du bruge:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Enterprise U.S. Government-kunder skal tillade følgende URL-adresser:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Hvis du bruger Programkontrol til Windows, eller hvis du kører et antivirus- eller slutpunktsregistrerings- og svarprogram, skal du sørge for at føje de processer, der er nævnt tidligere, til din allowlist.
Forbrugere behøver ikke at foretage sig noget for at forberede sig.

Microsoft Defender Antivirus-processer og -tjenester

I følgende tabel opsummeres det, hvor du kan få vist Microsoft Defender Antivirus-processer og -tjenester (MdCoreSvc) ved hjælp af Jobliste på Windows-enheder.

Proces eller tjeneste	Her kan du se dens status
`Antimalware Core Service`	Fanen Processer
`MpDefenderCoreService.exe`	Fanen Detaljer
`Microsoft Defender Core Service`	Fanen Tjenester

Hvis du vil vide mere om konfigurationer og eksperimentering af Microsoft Defender Core-tjenesten, skal du se Konfigurationer og eksperimenter i Microsoft Defender Core-tjenesten.

Ofte stillede spørgsmål:

Hvad anbefales der til Microsoft Defender Core-tjenesten?

Vi anbefaler på det kraftigste, at standardindstillingerne for Microsoft Defender Core-tjenesten kører og rapporterer.

Hvilket datalager og beskyttelse af personlige oplysninger overholder Microsoft Defender Core-tjenesten?

Gennemse Microsoft Defender for Endpoint-datalager og beskyttelse af personlige oplysninger.

Kan jeg gennemtvinge, at Microsoft Defender Core-tjenesten forbliver aktiv som administrator?

Du kan gennemtvinge det ved hjælp af et af disse administrationsværktøjer:

Samtidig administration af Konfigurationsstyring
Gruppepolitik
PowerShell
Registreringsdatabase

Brug configuration Manager-medadministration (ConfigMgr, tidligere MEMCM/SCCM) til at opdatere politikken for Microsoft Defender Core-tjenesten

Microsoft Configuration Manager har en integreret mulighed for at køre PowerShell-scripts for at opdatere politikindstillingerne for Microsoft Defender Antivirus på tværs af alle computere i netværket.

Åbn Microsoft Configuration Manager-konsollen.
Vælg Script til oprettelse af softwarebiblioteksscript >>.
Angiv scriptnavnet, f.eks. Gennemtvingelse af Microsoft Defender Core-tjenesten og Beskrivelse, f.eks. demokonfiguration for at aktivere indstillingerne for Microsoft Defender Core-tjenesten.
Angiv Sproget til PowerShell og timeoutsekunderne til 180
Indsæt følgende scripteksempel på "Microsoft Defender Core Service enforcement", der skal bruges som skabelon:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Når du tilføjer et nyt script, skal du vælge og godkende det. Godkendelsestilstanden ændres fra Venter på godkendelse til Godkendt. Når den er godkendt, skal du højreklikke på en enkelt enhed eller enhedsgruppe og vælge Kør script.

På scriptsiden i guiden Kør script skal du vælge scriptet på listen (Microsoft Defender Core Service Enforcement i vores eksempel). Der vises kun godkendte scripts. Vælg Næste, og fuldfør guiden.

Brug Editor til gruppepolitik til at opdatere gruppepolitik for Microsoft Defender Core-tjenesten

Download de nyeste administrative skabeloner til Microsoft Defender-gruppepolitik herfra.
Konfigurer domænecontrollerens centrale lager.

Bemærk!

Kopiér .admx og separat .adml til mappen En-US.
Start, GPMC.msc (f.eks. Domænecontroller eller ) eller GPEdit.msc
Gå til Computerkonfiguration ->Administrative skabeloner ->Windows-komponenter ->Microsoft Defender Antivirus
Slå integration af Experimentation and Configuration Service (ECS) til for Defender Core Service
- Ikke konfigureret eller aktiveret (standard):Microsoft Defender-kernetjenesten bruger ECS til hurtigt at levere kritiske, organisationsspecifikke rettelser til Microsoft Defender Antivirus og anden Defender-software.
- Deaktiveret: Microsoft Defender-kernetjenesten stopper med at bruge ECS til hurtigt at levere kritiske, organisationsspecifikke rettelser til Microsoft Defender Antivirus og anden Defender-software. For falske positiver leveres rettelser via "Security Intelligence-opdateringer", og for platform- og/eller programopdateringer leveres rettelser via Microsoft Update, Microsoft Update-kataloget eller WSUS.
Slå telemetri til for Defender Core Service
- Ikke konfigureret eller aktiveret (standard): Microsoft Defender Core-tjenesten indsamler telemetri fra Microsoft Defender Antivirus og anden Defender-software
- Deaktiveret: Microsoft Defender Core-tjenesten stopper med at indsamle telemetri fra Microsoft Defender Antivirus og anden Defender-software. Deaktivering af denne indstilling kan påvirke Microsofts mulighed for hurtigt at genkende og løse problemer, f.eks. langsom ydeevne og falske positiver.

Brug PowerShell til at opdatere politikkerne for Microsoft Defender Core-tjenesten.

Gå til Start, og kør PowerShell som administrator.
Brug kommandoen Set-MpPreferences -DisableCoreServiceECSIntegration $true eller $false, hvor $false = er aktiveret og $true = deaktiveret. Det kan f.eks. være:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Brug kommandoen Set-MpPreferences -DisableCoreServiceTelemetry $true eller $false, f.eks.:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Brug registreringsdatabasen til at opdatere politikkerne for Microsoft Defender Core-tjenesten.

Vælg Start, og åbn derefter Regedit.exe som administrator.
Gå til HKLM\Software\Policies\Microsoft\Windows Defender\Features
Angiv værdierne:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Ikke konfigureret, aktiveret (standard)
1 = Deaktiveret

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Ikke konfigureret, aktiveret (standard)
1 = Deaktiveret

Del via