Jaa

Microsoft Defender Core -palvelun yleiskatsaus

  • Artikkeli

Microsoft Defender Core -palvelu

Microsoft julkaisee Microsoft Defender Core -palvelun, joka auttaa Microsoft Defenderin virustentorjunnan vakauden ja suorituskyvyn parantamisessa päätepisteen suojauskokemuksen parantamiseksi.

Ennakkovaatimukset

  1. Microsoft Defender Core -palvelu julkaistaan Microsoft Defender antivirus -ympäristön versiolla 4.18.23110.2009.

  2. Käyttöönoton on tarkoitus alkaa seuraavasti:

    • Marraskuu 2023 asiakkaiden ennakkojulkaisuun.
    • Huhtikuun 2024 puolivälistä yritysasiakkaille, jotka käyttävät Windows-asiakasohjelmia.
    • Heinäkuusta 2024 alkaen Yhdysvaltain valtionhallinnon asiakkaille, jotka käyttävät Windows-asiakkaita.

  3. Jos käytät Microsoft Defender for Endpointin virtaviivaistettua laiteyhteyskokemusta, sinun ei tarvitse lisätä muita URL-osoitteita.

  4. Jos käytät Microsoft Defender for Endpointin tavallista laiteyhteyskokemusta:

    Yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Jos et halua käyttää yleismerkkejä lle *.events.data.microsoft.com, voit käyttää seuraavaa:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Yhdysvaltain valtionhallinnon yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Jos käytössäsi on Windowsin sovellusten hallinta tai jokin muu kuin Microsoftin virustentorjuntaohjelma tai päätepisteen tunnistus- ja vastausohjelmisto, muista lisätä edellä mainitut prosessit sallittujen luetteloon.

  6. Kuluttajien ei tarvitse tehdä mitään valmisteluja.

Microsoft Defenderin virustentorjuntaprosessit ja -palvelut

Seuraavassa taulukossa on yhteenveto siitä, missä voit tarkastella Microsoft Defenderin virustentorjuntaprosesseja ja -palveluita (MdCoreSvc) Windows-laitteiden Tehtävienhallinnan avulla.

Prosessi tai palvelu Missä voit tarkastella sen tilaa
Antimalware Core Service Prosessit-välilehti
MpDefenderCoreService.exe Tiedot-välilehti
Microsoft Defender Core Service Palvelut-välilehti

Lisätietoja Microsoft Defender Core -palvelun määrityksistä ja kokeiluista on artikkelissa Microsoft Defender Core -palvelun määritykset ja kokeilut.

Usein kysytyt kysymykset:

Mikä on Microsoft Defender Core -palvelun suositus?

Suosittelemme, että pidät Microsoft Defender Core -palvelun oletusasetukset käynnissä ja raportointina.

Mitä tallennustilaa ja yksityisyyttä Microsoft Defender Core -palvelu noudattaa?

Tarkista Microsoft Defenderin päätepisteen tietojen tallennustila ja tietosuoja.

Voinko pakottaa, että Microsoft Defender Core -palvelu pysyy käynnissä järjestelmänvalvojana?

Voit pakottaa sen käyttämällä mitä tahansa seuraavista hallintatyökaluista:

  • Configuration Managerin yhteishallinta
  • Ryhmäkäytäntö
  • PowerShell
  • Rekisteri

Käytä Configuration Managerin yhteishallintaa (ConfigMgr, entinen MEMCM/SCCM) Microsoft Defender Core -palvelun käytännön päivittämiseen

Microsoft Configuration Managerilla on integroitu mahdollisuus suorittaa PowerShell-komentosarjoja Microsoft Defenderin virustentorjuntakäytännön asetusten päivittämiseksi kaikissa verkon tietokoneissa.

  1. Avaa Microsoft Configuration Manager -konsoli.
  2. Valitse Ohjelmistokirjaston > komentosarjat > Luo komentosarja.
  3. Anna komentosarjan nimi, esimerkiksi Microsoft Defender Core -palvelun pakottaminen ja kuvaus, esimerkiksi Esittelymääritys Microsoft Defender Core -palvelun asetusten käyttöönottamiseksi.
  4. Määritä kieleksi PowerShell ja Aikakatkaisu-sekunnille 180
  5. Liitä seuraavaan Microsoft Defender Core -palvelun pakottamisen komentosarjaesimerkki, jota käytetään mallina:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Kun lisäät uuden komentosarjan, sinun on valittava ja hyväksyttävä se. Hyväksynnän tila muuttuu Odottaa hyväksyntää -kohdasta Hyväksytyksi. Kun hyväksyntä on hyväksytty, napsauta hiiren kakkospainikkeella yksittäistä laitetta tai laitekokoelmaa ja valitse Suorita komentosarja.

Valitse ohjatun komentosarjan suorittamisen komentosarjasivulla komentosarjasi luettelosta (esimerkissä microsoft Defender Core -palvelun pakottaminen). Vain hyväksytyt komentosarjat näytetään. Valitse Seuraava ja suorita ohjattu toiminto loppuun.

Microsoft Defender Core -palvelun ryhmäkäytännön päivittäminen ryhmäkäytäntöeditorin avulla

  1. Lataa uusimmat Microsoft Defenderin ryhmäkäytännön hallintamallit täältä.

  2. Määritä toimialueen ohjauskoneen keskitetty säilö.

    Huomautus

    Kopioi .admx ja .adml erikseen En-US-kansioon.

  3. Start, GPMC.msc (esim. toimialueen ohjauskone tai ) tai GPEdit.msc

  4. Siirry kohtaan Tietokoneasetukset ->Hallintamallit ->Windowsin osat ->Microsoft Defenderin virustentorjunta

  5. Ota käyttöön Experimentation and Configuration Service (ECS) -integrointi Defenderin ydinpalvelussa

    • Ei määritetty tai käytössä (oletus): Microsoft Defenderin ydinpalvelu käyttää ECS:ä toimittaakseen nopeasti kriittisiä, organisaatiokohtaisia korjauksia Microsoft Defenderin virustentorjuntaan ja muihin Defender-ohjelmistoihin.
    • Poistettu käytöstä: Microsoft Defenderin ydinpalvelu lopettaa ECS:n käytön tarjotakseen nopeasti kriittisiä, organisaatiokohtaisia korjauksia Microsoft Defenderin virustentorjuntaohjelmalle ja muille Defender-ohjelmistoille. Epätosi-positiivisten tietojen kohdalla korjaukset toimitetaan "Suojaustiedot-päivityksillä" ja käyttöympäristön ja/tai moduulin päivityksissä korjaukset toimitetaan Microsoft Updaten, Microsoft Update Catalogn tai WSUS:n kautta.

  6. Ota telemetriatiedot käyttöön Defenderin ydinpalvelussa

    • Ei määritetty tai käytössä (oletus): Microsoft Defender Core -palvelu kerää telemetriatietoja Microsoft Defenderin virustentorjuntaohjelmasta ja muista Defenderin ohjelmistoista
    • Poistettu käytöstä: Microsoft Defender Core -palvelu lopettaa telemetrian keräämisen Microsoft Defenderin virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista. Tämän asetuksen poistaminen käytöstä voi vaikuttaa Microsoftin kykyyn tunnistaa ja korjata nopeasti ongelmia, kuten hidas suorituskyky ja false-positiiviset.

Päivitä Microsoft Defender Core -palvelun käytännöt PowerShellin avulla.

  1. Siirry Käynnistä-kohtaan ja suorita PowerShell järjestelmänvalvojana.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration Käytä $true- tai $false-komentoa, jossa $false = käytössä ja $true = poistettu käytöstä. Esimerkki:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Käytä $true- Set-MpPreferences -DisableCoreServiceTelemetry tai $false-komentoa, esimerkiksi:

    Set-MpPreferences -DisableCoreServiceTelemetry $true

Päivitä Microsoft Defender Core -palvelun käytännöt rekisterin avulla.

  1. Valitse Käynnistä ja avaa sitten Regedit.exe järjestelmänvalvojana.

  2. Mennä HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. Määritä arvot:

    DisableCoreService1DSTelemetry (dword) 0 (heksa)
    0 = Ei määritetty, käytössä (oletus)
    1 = ei käytössä

    DisableCoreServiceECSIntegration (dword) 0 (heksa)
    0 = Ei määritetty, käytössä (oletus)
    1 = ei käytössä