Introducción al servicio Microsoft Defender Core

Artículo
06/22/2024

Servicio de Microsoft Defender Core

Para mejorar la experiencia de seguridad de los puntos de conexión, Microsoft publica el servicio Microsoft Defender Core para ayudar con la estabilidad y el rendimiento del Antivirus de Microsoft Defender.

Requisitos previos

El servicio Microsoft Defender Core se publica con la versión 4.18.23110.2009 de la plataforma Antivirus de Microsoft Defender.
La implementación está planeada para comenzar de la siguiente manera:
- Noviembre de 2023 para la versión preliminar de los clientes.
- A mediados de abril de 2024, los clientes de Enterprise que ejecutan clientes de Windows.
- A partir de julio de 2024, los clientes del Gobierno de Ee. UU. que ejecutan clientes de Windows.
Si usa la experiencia de conectividad de dispositivos optimizada para Microsoft Defender para punto de conexión, no es necesario agregar ninguna otra dirección URL.
Si usa la experiencia de conectividad de dispositivos estándar de Microsoft Defender para punto de conexión:

Los clientes empresariales deben permitir las siguientes direcciones URL:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Si no desea usar los caracteres comodín para *.events.data.microsoft.com, puede usar:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Los clientes de Enterprise U.S. Government deben permitir las siguientes direcciones URL:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Si usa Application Control para Windows o ejecuta software de detección y respuesta de puntos de conexión o antivirus que no son de Microsoft, asegúrese de agregar los procesos mencionados anteriormente a la lista de permitidos.
Los consumidores no necesitan realizar ninguna acción para prepararse.

Procesos y servicios del Antivirus de Microsoft Defender

En la tabla siguiente se resume dónde puede ver los procesos y servicios del Antivirus de Microsoft Defender (MdCoreSvc) mediante el Administrador de tareas en dispositivos Windows.

Proceso o servicio	Dónde ver su estado
`Antimalware Core Service`	Pestaña Procesos
`MpDefenderCoreService.exe`	Pestaña Detalles
`Microsoft Defender Core Service`	Pestaña Servicios

Para obtener más información sobre las configuraciones y experimentación del servicio Microsoft Defender Core (ECS), consulte Microsoft Defender Core service configurations and experimentation(Configuraciones y experimentación del servicio Microsoft Defender Core).

Preguntas más frecuentes ::

¿Cuál es la recomendación para el servicio Microsoft Defender Core?

Se recomienda encarecidamente mantener la configuración predeterminada del servicio Microsoft Defender Core en ejecución e informes.

¿A qué almacenamiento de datos y privacidad se adhiere el servicio Microsoft Defender Core?

Revise el almacenamiento de datos y la privacidad de Microsoft Defender para punto de conexión.

¿Puedo aplicar que el servicio Microsoft Defender Core siga ejecutándose como administrador?

Puede aplicarlo mediante cualquiera de estas herramientas de administración:

Administración conjunta de Configuration Manager
Directiva de grupo
PowerShell
Registro

Uso de la administración conjunta de Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM) para actualizar la directiva del servicio Microsoft Defender Core

Microsoft Configuration Manager tiene una capacidad integrada para ejecutar scripts de PowerShell para actualizar la configuración de directiva del Antivirus de Microsoft Defender en todos los equipos de la red.

Abra la consola de Microsoft Configuration Manager.
Seleccione Scripts > de biblioteca > de software Crear script.
Escriba el nombre del script, por ejemplo, Cumplimiento del servicio De Microsoft Defender Core y Descripción, por ejemplo, Configuración de demostración para habilitar la configuración del servicio Microsoft Defender Core.
Establezca el idioma en PowerShell y los segundos de tiempo de espera en 180
Pegue el siguiente ejemplo de script "Cumplimiento del servicio Microsoft Defender Core" para usarlo como plantilla:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Al agregar un nuevo script, debe seleccionarlo y aprobarlo. El estado de aprobación cambia de Esperando aprobación a Aprobado. Una vez aprobado, haga clic con el botón derecho en un único dispositivo o recopilación de dispositivos y seleccione Ejecutar script.

En la página de script del Asistente para ejecutar script, elija el script de la lista (cumplimiento del servicio Microsoft Defender Core en nuestro ejemplo). Solo se muestran los scripts aprobados. Seleccione Siguiente y finalice el asistente.

Uso del Editor de directivas de grupo para actualizar la directiva de grupo para el servicio Microsoft Defender Core

Descargue las plantillas administrativas de directiva de grupo de Microsoft Defender más recientes desde aquí.
Configure el repositorio central del controlador de dominio.

Nota:

Copie .admx y, por separado, .adml en la carpeta En-US.
Start, GPMC.msc (por ejemplo, Controlador de dominio o ) o GPEdit.msc
Vaya a Configuración del equipo ->Plantillas administrativas ->Componentes de Windows ->Antivirus de Microsoft Defender
Activar la integración del servicio de experimentación y configuración (ECS) para el servicio principal de Defender
- No configurado o habilitado (valor predeterminado): el servicio principal de Microsoft Defender usará ECS para entregar rápidamente correcciones críticas específicas de la organización para el Antivirus de Microsoft Defender y otro software de Defender.
- Deshabilitado: el servicio principal de Microsoft Defender dejará de usar ECS para ofrecer rápidamente correcciones críticas específicas de la organización para el Antivirus de Microsoft Defender y otro software de Defender. En el caso de los falsos positivos, las correcciones se entregarán a través de "Actualizaciones de Inteligencia de seguridad" y, en el caso de las actualizaciones de la plataforma o del motor, las correcciones se entregarán a través de Microsoft Update, el catálogo de Microsoft Update o WSUS.
Activar la telemetría para el servicio principal de Defender
- No configurado o habilitado (valor predeterminado): el servicio Microsoft Defender Core recopilará telemetría del Antivirus de Microsoft Defender y de otro software de Defender.
- Deshabilitado: el servicio Microsoft Defender Core dejará de recopilar telemetría del Antivirus de Microsoft Defender y de otro software de Defender. Deshabilitar esta configuración puede afectar a la capacidad de Microsoft para reconocer y solucionar rápidamente problemas, como un rendimiento lento y falsos positivos.

Use PowerShell para actualizar las directivas del servicio Microsoft Defender Core.

Vaya a Inicio y ejecute PowerShell como administrador.
Use el Set-MpPreferences -DisableCoreServiceECSIntegration comando $true o $false, donde $false = enabled y $true = disabled. Por ejemplo:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Use el Set-MpPreferences -DisableCoreServiceTelemetry comando $true o $false, por ejemplo:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Use el Registro para actualizar las directivas del servicio Microsoft Defender Core.

Seleccione Iniciar y abra Regedit.exe como administrador.
Vaya a HKLM\Software\Policies\Microsoft\Windows Defender\Features
Establezca los valores:

DisableCoreService1DSTelemetry (dword) 0 (hexadecimal)
0 = No configurado, habilitado (valor predeterminado)
1 = Deshabilitado

DisableCoreServiceECSIntegration (dword) 0 (hexadecimal)
0 = No configurado, habilitado (valor predeterminado)
1 = Deshabilitado

Compartir a través de