Microsoft Defender Core -palvelun yleiskatsaus

Parantaakseen päätepisteiden suojauskokemusta Microsoft julkaisee Microsoft Defender Core -palvelun, joka auttaa Microsoft Defender virustentorjunnan vakauden ja suorituskyvyn parantamisessa. Microsoft Defender Core -palvelu sisältyy Microsoft Defender virustentorjuntaan, joten se on käytettävissä aina, kun Microsoft Defender virustentorjunta sisältyy. Esimerkki:

• Windows 10 ja Windows 11 Enterprise.
• Windows Server 2019 tai uudempaa.
• Microsoft Defender for Endpoint erillisiä tai muihin tarjouksiin yhdistettyjä. Esimerkki:
  • Microsoft 365 A5/E5/G5
  • Microsoft 365 Defender-ohjelmistopaketti
  • Microsoft Defender for Business (erillinen tai Microsoft 365 Business Premium)

Ennakkovaatimukset

1. Microsoft Defender Core -palvelu julkaistaan Microsoft Defender virustentorjuntaympäristön versiolla 4.18.23110.2009.

2. Käyttöönoton on tarkoitus alkaa seuraavasti:

   • Marraskuu 2023 asiakkaiden ennakkojulkaisuun.

   • Huhtikuun 2024 puolivälistä yritysasiakkaille, jotka käyttävät Windows-asiakasohjelmia.

   • Heinäkuusta 2024 alkaen Yhdysvaltain valtionhallinnon asiakkaille, jotka käyttävät Windows-asiakkaita.

     Windows Server Microsoft Defender Core -palvelu julkaistaan virustentorjunta-Microsoft Defender versiolla 4.18.25050.5.

   • Heinäkuun 2025 puolivälistä yritysasiakkaille, jotka pyörivät Windows Server 2019 tai uudempaa versiota.

   • Syyskuun 2025 puolivälissä yritysasiakkaille, jotka pyörittivät yhdistettyä Microsoft Defender for Endpoint-asiakasta Windows Server 2012 R2:lle tai Windows Server 2016:lle.

3. Jos käytät virtaviivaistettua laiteyhteyskokemusta Microsoft Defender for Endpoint, sinun ei tarvitse lisätä muita URL-osoitteita.

4. Jos käytät Microsoft Defender for Endpoint tavallista laiteyhteyttä:

   Yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:

   • *.endpoint.security.microsoft.com
   • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
   • *.events.data.microsoft.com

   Jos et halua käyttää yleismerkkejä lle *.events.data.microsoft.com, voit käyttää seuraavaa:

   • us-mobile.events.data.microsoft.com/OneCollector/1.0
   • eu-mobile.events.data.microsoft.com/OneCollector/1.0
   • uk-mobile.events.data.microsoft.com/OneCollector/1.0
   • au-mobile.events.data.microsoft.com/OneCollector/1.0
   • mobile.events.data.microsoft.com/OneCollector/1.0

   Yhdysvaltain valtionhallinnon yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:

   • *.events.data.microsoft.com
   • *.endpoint.security.microsoft.us (GCC-H & DoD)
   • *.gccmod.ecs.office.com (GCC-M)
   • *.config.ecs.gov.teams.microsoft.us (GCC-H)
   • *.config.ecs.dod.teams.microsoft.us (DoD)

5. Jos käytössäsi on Windowsin sovellusten hallinta tai jokin muu kuin Microsoftin virustentorjuntaohjelma tai päätepisteen tunnistus- ja vastausohjelmisto, muista lisätä edellä mainitut prosessit sallittujen luetteloon.

6. Kuluttajien ei tarvitse tehdä mitään valmisteluja.

Microsoft Defender virustentorjuntaprosessit ja -palvelut

Seuraavassa taulukossa on yhteenveto siitä, missä voit tarkastella Microsoft Defender virustentorjuntaprosesseja ja -palveluita (MdCoreSvc) Windows-laitteiden Tehtävienhallinnan avulla.

Prosessi tai palvelu	Missä voit tarkastella sen tilaa
Antimalware Core Service	Prosessit-välilehti
MpDefenderCoreService.exe	Tiedot-välilehti
Microsoft Defender Core Service	Palvelut-välilehti

Lisätietoja Microsoft Defender Core -palvelun kokoonpanoista ja kokeiluista on kohdassa Microsoft Defender Ydinpalvelun kokoonpanot ja kokeilut.

Usein kysytyt kysymykset

Mikä on Microsoft Defender Core -palvelun suositus?

On erittäin suositeltavaa pitää Microsoft Defender Core -palvelun oletusasetukset käynnissä ja raportoinnissa.

Mitä tallennustilaa ja yksityisyyttä Microsoft Defender Core -palvelu noudattaa?

Tarkista Microsoft Defender for Endpoint tietojen tallennustila ja tietosuoja.

Voinko pakottaa, että Microsoft Defender Core -palvelu pysyy käynnissä järjestelmänvalvojana?

Voit pakottaa sen käyttämällä mitä tahansa seuraavista hallintatyökaluista:

• Configuration Manager yhteishallintaa
• Ryhmäkäytäntö
• PowerShell
• Rekisteri

Microsoft Defender Core -palvelun käytännön päivittäminen Configuration Manager yhteishallinnan (ConfigMgr, aiempi MEMCM/SCCM) avulla

Microsoft Configuration Manager on integroitu kyky suorittaa PowerShell-komentosarjoja Microsoft Defender virustentorjuntakäytännön asetusten päivittämiseksi kaikissa verkon tietokoneissa.

1. Avaa Microsoft Configuration Manager konsoli.
2. Valitse Ohjelmistokirjaston > komentosarjat > Luo komentosarja.
3. Anna komentosarjan nimi, esimerkiksi Microsoft Defender Ydinpalvelun pakottaminen ja Kuvaus, esimerkiksi Esittelymääritys, jotta Microsoft Defender Core -palvelun asetukset otetaan käyttöön.
4. Määritä kieleksi PowerShell ja Aikakatkaisu-sekunnille 180
5. Liitä seuraava "Microsoft Defender Core Service Enforcement" -komentosarjaesimerkki malliksi käytettäväksi:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######

Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date

$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss

$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"

Add-Content -Path $LogFile -Value "------------------------------------V 1.0

$ExecutionTime - Execution Starts -------------------------------------------"

Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"

# Set up Microsoft Defender Core service

Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile

Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile

$ExecutionTime = Get-Date

Add-Content -Path $LogFile -Value "------------------------------------

$ExecutionTime - Execution Ends -------------------------------------------"

Kun lisäät uuden komentosarjan, sinun on valittava ja hyväksyttävä se. Hyväksynnän tila muuttuu Odottaa hyväksyntää -kohdasta Hyväksytyksi. Kun hyväksyntä on hyväksytty, napsauta hiiren kakkospainikkeella yksittäistä laitetta tai laitekokoelmaa ja valitse Suorita komentosarja.

Valitse ohjatun komentosarjan suorittamisen komentosarjasivulla komentosarjasi luettelosta (esimerkissä Microsoft Defender Ydinpalvelun pakottaminen). Vain hyväksytyt komentosarjat näytetään. Valitse Seuraava ja suorita ohjattu toiminto loppuun.

Microsoft Defender Core -palvelun ryhmäkäytäntö päivittäminen ryhmäkäytäntö-editorin avulla

1. Lataa uusimmat Microsoft Defender ryhmäkäytäntö hallintamallit täältä.

2. Määritä toimialueen ohjauskoneen keskitetty säilö.

   Huomautus

   Kopioi .admx ja .adml erikseen En-US-kansioon.

3. Start, GPMC.msc (esim. toimialueen ohjauskone tai) tai GPEdit.msc

4. Siirry kohtaan Tietokoneasetukset ->Hallintamallit ->Windowsin osat ->Microsoft Defender virustentorjunta

5. Ota käyttöön Experimentation and Configuration Service (ECS) -integrointi Defenderin ydinpalvelussa

   • Ei määritetty tai käytössä (oletus): Microsoft Defender ydinpalvelu käyttää ECS:ä tarjotakseen nopeasti kriittisiä organisaatiokohtaisia korjauksia Microsoft Defender virustentorjuntaan ja muihin Defender-ohjelmistoihin.
   • Poistettu käytöstä: Microsoft Defender ydinpalvelu ei käytä ECS:n avulla korjauksia Microsoft Defender virustentorjuntaan ja muihin Defender-ohjelmistoihin.
     • Epätosi-positiivisille päivityksille korjaukset toimitetaan tietoturvatietopäivitysten kautta.
     • Käyttöympäristön ja/tai moduulin päivityksissä korjaukset toimitetaan Microsoft Updaten, Microsoft Update Catalogn tai WSUS:n kautta.

6. Ota telemetriatiedot käyttöön Defenderin ydinpalvelussa

   • Ei määritetty tai käytössä (oletus): Microsoft Defender Core -palvelu kerää telemetriatietoja Microsoft Defender virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista.
   • Poistettu käytöstä: Microsoft Defender Core -palvelu ei kerää telemetriatietoja Microsoft Defender virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista. Tämän asetuksen poistaminen käytöstä voi vaikuttaa Microsoftin kykyyn tunnistaa ja korjata nopeasti ongelmia, kuten hidas suorituskyky ja false-positiiviset.

Microsoft Defender Core -palvelun käytäntöjen päivittäminen PowerShellin avulla

Käytä seuraavaa syntaksia laajennetussa PowerShell-ikkunassa (PowerShell-ikkuna, jonka avasit valitsemalla Suorita järjestelmänvalvojana):

Set-MpPreference -DisableCoreServiceECSIntegration <$true | $false> -DisableCoreServiceTelemetry <$true | $false>

• DisableCoreServiceECSIntegration:

  • $false(oletus): Microsoft Defender ydinpalvelu käyttää ECS:n avulla kriittisiä, organisaatiokohtaisia korjauksia Microsoft Defender virustentorjuntaan ja muihin Defender-ohjelmistoihin.
  • $true: Microsoft Defender ydinpalvelu ei käytä ECS:n avulla korjauksia Microsoft Defender virustentorjuntaan ja muihin Defender-ohjelmistoihin.
    • Epätosi-positiivisille päivityksille korjaukset toimitetaan tietoturvatietopäivitysten kautta.
    • Käyttöympäristön ja/tai moduulin päivityksissä korjaukset toimitetaan Microsoft Updaten, Microsoft Update Catalogn tai WSUS:n kautta.

• DisableCoreServiceTelemetry:

  • $false(oletus): Microsoft Defender Core -palvelu kerää telemetriatietoja Microsoft Defender virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista.
  • $true: Microsoft Defender Core -palvelu ei kerää telemetriatietoja Microsoft Defender virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista. Tämän asetuksen poistaminen käytöstä voi vaikuttaa Microsoftin kykyyn tunnistaa ja korjata nopeasti ongelmia, kuten hidas suorituskyky ja false-positiiviset.

Esimerkki:

Set-MpPreference -DisableCoreServiceECSIntegration` $false -DisableCoreServiceTelemetry $true

Tarkat syntaksi- ja parametritiedot ovat kohdassa Set-MpPreference.

Microsoft Defender Core -palvelun käytäntöjen päivittäminen rekisterin avulla

1. Valitse Käynnistä ja avaa sitten Regedit.exe järjestelmänvalvojana.
2. Mennä HKLM\Software\Policies\Microsoft\Windows Defender\Features
3. Määritä arvot:
   • DisableCoreService1DSTelemetry (dword) 0 (heksa)
     • 0 = Ei määritetty, käytössä (oletus)
     • 1 = ei käytössä
   • DisableCoreServiceECSIntegration (dword) 0 (heksa)
     • 0 = Ei määritetty, käytössä (oletus)
     • 1 = ei käytössä