Übersicht über den Microsoft Defender Core-Dienst

Artikel
05/03/2024

Microsoft Defender Core-Dienst

Um Ihre Endpunktsicherheit zu verbessern, veröffentlicht Microsoft den Microsoft Defender Core-Dienst, um die Stabilität und Leistung von Microsoft Defender Antivirus zu unterstützen.

Voraussetzungen

Der Microsoft Defender Core-Dienst wird mit Microsoft Defender Antivirus-Plattformversion 4.18.23110.2009 veröffentlicht.
Der Rollout beginnt am:
- November 2023, um Kunden vorab zu präsentieren.
- Mitte April 2024 für Unternehmenskunden, die Windows-Clients ausführen.
- Mitte Juni 2024 für US-Behördenkunden, die Windows-Clients ausführen.
Wenn Sie die Microsoft Defender for Endpoint optimierte Gerätekonnektivität verwenden, müssen Sie keine weiteren URLs hinzufügen.
Wenn Sie die Microsoft Defender for Endpoint Standardgerätekonnektivität verwenden:

Unternehmenskunden sollten die folgenden URLs zulassen:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Wenn Sie die Wildcards für *.events.data.microsoft.comnicht verwenden möchten, können Sie Folgendes verwenden:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Unternehmenskunden für US-Behörden sollten die folgenden URLs zulassen:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Wenn Sie die Anwendungssteuerung für Windows verwenden oder nicht von Microsoft stammende Antivirensoftware oder Endpunkterkennungs- und -antwortsoftware ausführen, stellen Sie sicher, dass Sie die zuvor erwähnten Prozesse ihrer Positivliste hinzufügen.
Verbraucher müssen keine Maßnahmen ergreifen, um sich vorzubereiten.

Microsoft Defender Antivirus-Prozesse und -Dienste

In der folgenden Tabelle wird zusammengefasst, wo Sie Microsoft Defender Antivirenprozesse und -dienste (MdCoreSvc) mithilfe des Task-Managers auf Windows-Geräten anzeigen können.

Prozess oder Dienst	Wo kann die status angezeigt werden?
`Antimalware Core Service`	Registerkarte "Prozesse"
`MpDefenderCoreService.exe`	Registerkarte "Details"
`Microsoft Defender Core Service`	Registerkarte "Dienste"

Weitere Informationen zu den Microsoft Defender Core-Dienstkonfigurationen und -Experimenten (ECS) finden Sie unter Microsoft Defender Core-Dienstkonfigurationen und -experimente.

Häufig gestellte Fragen (FAQs):

Was ist die Empfehlung für Microsoft Defender Core-Dienst?

Es wird dringend empfohlen, dass die Standardeinstellungen des Microsoft Defender Core-Diensts ausgeführt werden und die Berichterstellung erfolgt.

Welche Datenspeicherung und welchen Datenschutz hält der Microsoft Defender Core-Dienst ein?

Lesen Sie Microsoft Defender for Endpoint Datenspeicherung und Datenschutz.

Kann ich erzwingen, dass der Microsoft Defender Core-Dienst weiterhin als Administrator ausgeführt wird?

Sie können sie mit einem der folgenden Verwaltungstools erzwingen:

Configuration Manager Co-Management
Gruppenrichtlinien
PowerShell
Registrierung

Verwenden sie Configuration Manager Co-Verwaltung (ConfigMgr, früher MEMCM/SCCM), um die Richtlinie für Microsoft Defender Core-Dienst zu aktualisieren.

Microsoft Configuration Manager verfügt über die integrierte Möglichkeit, PowerShell-Skripts auszuführen, um Microsoft Defender Antivirus-Richtlinieneinstellungen auf allen Computern in Ihrem Netzwerk zu aktualisieren.

Öffnen Sie die Microsoft Configuration Manager-Konsole.
Wählen Sie Softwarebibliotheksskripts >> Create Skript aus.
Geben Sie den Skriptnamen ein, z. B. Microsoft Defender Core-Diensterzwingung und Beschreibung, z. B. Demokonfiguration, um Microsoft Defender Core-Diensteinstellungen zu aktivieren.
Legen Sie die Sprache auf PowerShell und die Timeoutsekunden auf 180 fest.
Fügen Sie das folgende Skriptbeispiel für die Microsoft Defender Core-Diensterzwingung ein, um es als Vorlage zu verwenden:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Wenn Sie ein neues Skript hinzufügen, müssen Sie es auswählen und genehmigen. Der Genehmigungsstatus ändert sich von Warten auf Genehmigung in Genehmigt. Klicken Sie nach der Genehmigung mit der rechten Maustaste auf ein einzelnes Gerät oder eine Gerätesammlung, und wählen Sie Skript ausführen aus.

Wählen Sie auf der Skriptseite des Skriptausführungs-Assistenten Ihr Skript aus der Liste aus (Microsoft Defender Core-Diensterzwingung in unserem Beispiel). Es werden nur genehmigte Skripts angezeigt. Wählen Sie Weiter aus, und schließen Sie den Assistenten ab.

Verwenden von Gruppenrichtlinie Editor zum Aktualisieren von Gruppenrichtlinie für den Microsoft Defender Core-Dienst

Laden Sie die neuesten Microsoft Defender Gruppenrichtlinie Administrative Vorlagen hier herunter.
Richten Sie das zentrale Domänencontrollerrepository ein.

Hinweis

Kopieren Sie die ADMX-Datei und die ADML-Datei separat in den Ordner En-US.
Start, GPMC.msc (z. B. Domänencontroller oder ) oder GPEdit.msc
Wechseln Sie zu Computerkonfiguration ->Administrative Vorlagen ->Windows-Komponenten ->Microsoft Defender Antivirus.
Aktivieren der Integration des Experimentieren- und Konfigurationsdiensts (ECS) für den Defender Core-Dienst
- Nicht konfiguriert oder aktiviert (Standard): Der Microsoft Defender Core-Dienst verwendet ECS, um schnell kritische, organisationsspezifische Korrekturen für Microsoft Defender Antivirus und andere Defender-Software bereitzustellen.
- Deaktiviert: Der Microsoft Defender Kerndienst verwendet ECS nicht mehr, um schnell kritische, organisationsspezifische Korrekturen für Microsoft Defender Antivirus und andere Defender-Software bereitzustellen. Bei falsch positiven Ergebnissen werden Korrekturen über "Security Intelligence-Updates" bereitgestellt, und für Plattform- und/oder Engine-Updates werden Korrekturen über Microsoft Update, Microsoft Update-Katalog oder WSUS bereitgestellt.
Aktivieren der Telemetrie für den Defender-Kerndienst
- Nicht konfiguriert oder aktiviert (Standard): Der Microsoft Defender Core-Dienst erfasst Telemetriedaten von Microsoft Defender Antivirus und anderer Defender-Software.
- Deaktiviert: Der Microsoft Defender Core-Dienst erfasst keine Telemetriedaten mehr von Microsoft Defender Antivirus und anderer Defender-Software. Das Deaktivieren dieser Einstellung kann sich auf die Fähigkeit von Microsoft auswirken, Probleme wie langsame Leistung und falsch positive Ergebnisse schnell zu erkennen und zu beheben.

Verwenden Sie PowerShell, um die Richtlinien für Microsoft Defender Core-Dienst zu aktualisieren.

Wechseln Sie zu Start, und führen Sie PowerShell als Administrator aus.
Verwenden Sie den Set-MpPreferences -DisableCoreServiceECSIntegration Befehl $true oder $false, wobei $false = aktiviert und $true = deaktiviert ist. Zum Beispiel:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Verwenden Sie den Set-MpPreferences -DisableCoreServiceTelemetry Befehl $true oder $false, z. B.:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Verwenden Sie die Registrierung, um die Richtlinien für Microsoft Defender Core-Dienst zu aktualisieren.

Wählen Sie Start aus, und öffnen Sie dann Regedit.exe als Administrator.
Wechseln Sie zu HKLM\Software\Policies\Microsoft\Windows Defender\Features.
Legen Sie die Werte fest:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Nicht konfiguriert, aktiviert (Standard)
1 = Deaktiviert

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Nicht konfiguriert, aktiviert (Standard)
1 = Deaktiviert

Share via