Introducción al servicio Microsoft Defender Core

Artículo
05/03/2024

servicio Microsoft Defender Core

Para mejorar la experiencia de seguridad de los puntos de conexión, Microsoft publica el servicio Microsoft Defender Core para ayudar con la estabilidad y el rendimiento de Microsoft Defender Antivirus.

Requisitos previos

El servicio Microsoft Defender Core se publica con Microsoft Defender versión 4.18.23110.2009 de la plataforma Antivirus.
La implementación comienza en:
- Noviembre de 2023 para la versión preliminar de los clientes.
- A mediados de abril de 2024, los clientes de Enterprise que ejecutan clientes de Windows.
- A mediados de junio de 2024, los clientes del Gobierno de Ee. UU. que ejecutan clientes de Windows.
Si usa la Microsoft Defender para punto de conexión experiencia de conectividad de dispositivos simplificada, no es necesario agregar ninguna otra dirección URL.
Si usa la Microsoft Defender para punto de conexión experiencia de conectividad de dispositivos estándar:

Los clientes empresariales deben permitir las siguientes direcciones URL:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Si no desea usar los caracteres comodín para *.events.data.microsoft.com, puede usar:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Los clientes de Enterprise U.S. Government deben permitir las siguientes direcciones URL:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Si usa Application Control para Windows o ejecuta software de detección y respuesta de puntos de conexión o antivirus que no son de Microsoft, asegúrese de agregar los procesos mencionados anteriormente a la lista de permitidos.
Los consumidores no necesitan realizar ninguna acción para prepararse.

Microsoft Defender servicios y procesos antivirus

En la tabla siguiente se resume dónde puede ver Microsoft Defender procesos y servicios de Antivirus (MdCoreSvc) mediante el Administrador de tareas en dispositivos Windows.

Proceso o servicio	Dónde ver su estado
`Antimalware Core Service`	Pestaña Procesos
`MpDefenderCoreService.exe`	Pestaña Detalles
`Microsoft Defender Core Service`	Pestaña Servicios

Para obtener más información sobre las configuraciones y experimentación del servicio Microsoft Defender Core (ECS), consulte Microsoft Defender Core service configurations and experimentation (Experimentación y configuraciones de servicio de Microsoft Defender Core).

Preguntas más frecuentes ::

¿Cuál es la recomendación para el servicio Microsoft Defender Core?

Se recomienda encarecidamente mantener la configuración predeterminada del servicio Microsoft Defender Core en ejecución e informes.

¿A qué almacenamiento de datos y privacidad se adhiere el servicio Microsoft Defender Core?

Revise Microsoft Defender para punto de conexión almacenamiento de datos y privacidad.

¿Puedo aplicar que el servicio Microsoft Defender Core siga ejecutándose como administrador?

Puede aplicarlo mediante cualquiera de estas herramientas de administración:

administración conjunta de Configuration Manager
Directiva de grupo
PowerShell
Registro

Use la administración conjunta de Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM) para actualizar la directiva de Microsoft Defender Core Service.

Microsoft Configuration Manager tiene una capacidad integrada para ejecutar scripts de PowerShell para actualizar Microsoft Defender configuración de directivas antivirus en todos los equipos de la red.

Abra la consola de Microsoft Configuration Manager.
Seleccione Scripts > de biblioteca > de software Create script.
Escriba el nombre del script, por ejemplo, Microsoft Defender aplicación del servicio Core y Descripción, por ejemplo, Configuración de demostración para habilitar Microsoft Defender configuración del servicio Core.
Establezca el idioma en PowerShell y los segundos de tiempo de espera en 180
Pegue el siguiente ejemplo de script "Microsoft Defender core service enforcement" para usarlo como plantilla:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Al agregar un nuevo script, debe seleccionarlo y aprobarlo. El estado de aprobación cambia de Esperando aprobación a Aprobado. Una vez aprobado, haga clic con el botón derecho en un único dispositivo o recopilación de dispositivos y seleccione Ejecutar script.

En la página de script del Asistente para ejecutar script, elija el script de la lista (Microsoft Defender cumplimiento del servicio Core en nuestro ejemplo). Solo se muestran los scripts aprobados. Seleccione Siguiente y finalice el asistente.

Uso de directiva de grupo Editor para actualizar directiva de grupo para el servicio Microsoft Defender Core

Descargue las plantillas administrativas de Microsoft Defender directiva de grupo más recientes desde aquí.
Configure el repositorio central del controlador de dominio.

Nota:

Copie .admx y, por separado, .adml en la carpeta En-US.
Start, GPMC.msc (por ejemplo, Controlador de dominio o ) o GPEdit.msc
Vaya a Configuración del equipo ->Plantillas administrativas ->Componentes de Windows ->antivirus de Microsoft Defender
Activar la integración del servicio de experimentación y configuración (ECS) para el servicio principal de Defender
- No configurado o habilitado (valor predeterminado): el servicio principal de Microsoft Defender usará ECS para entregar rápidamente correcciones críticas específicas de la organización para Microsoft Defender Antivirus y otro software de Defender.
- Deshabilitado: el servicio principal de Microsoft Defender dejará de usar ECS para ofrecer rápidamente correcciones críticas específicas de la organización para Microsoft Defender Antivirus y otro software de Defender. En el caso de los falsos positivos, las correcciones se entregarán a través de "Actualizaciones de Inteligencia de seguridad" y, en el caso de las actualizaciones de la plataforma o del motor, las correcciones se entregarán a través de Microsoft Update, el catálogo de Microsoft Update o WSUS.
Activar la telemetría para el servicio principal de Defender
- No configurado o habilitado (valor predeterminado): el servicio Microsoft Defender Core recopilará telemetría de Microsoft Defender Antivirus y otro software de Defender
- Deshabilitado: el servicio Microsoft Defender Core dejará de recopilar telemetría de Microsoft Defender Antivirus y otro software de Defender. Deshabilitar esta configuración puede afectar a la capacidad de Microsoft para reconocer y solucionar rápidamente problemas, como un rendimiento lento y falsos positivos.

Use PowerShell para actualizar las directivas del servicio Microsoft Defender Core.

Vaya a Inicio y ejecute PowerShell como administrador.
Use el Set-MpPreferences -DisableCoreServiceECSIntegration comando $true o $false, donde $false = enabled y $true = disabled. Por ejemplo:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Use el Set-MpPreferences -DisableCoreServiceTelemetry comando $true o $false, por ejemplo:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Use el Registro para actualizar las directivas del servicio Microsoft Defender Core.

Seleccione Iniciar y abra Regedit.exe como administrador.
Vaya a HKLM\Software\Policies\Microsoft\Windows Defender\Features
Establezca los valores:

DisableCoreService1DSTelemetry (dword) 0 (hexadecimal)
0 = No configurado, habilitado (valor predeterminado)
1 = Deshabilitado

DisableCoreServiceECSIntegration (dword) 0 (hexadecimal)
0 = No configurado, habilitado (valor predeterminado)
1 = Deshabilitado