Vue d’ensemble du service Microsoft Defender Core
Service Microsoft Defender Core
Pour améliorer l’expérience de sécurité de votre point de terminaison, Microsoft publie le service Microsoft Defender Core pour améliorer la stabilité et les performances de l’Antivirus Microsoft Defender.
Configuration requise
Le service Microsoft Defender Core est disponible avec la plateforme Antivirus Microsoft Defender version 4.18.23110.2009.
Le déploiement doit commencer comme suit :
- Novembre 2023 pour préversion des clients.
- Mi-avril 2024 aux clients Entreprise exécutant des clients Windows.
- À compter de juillet 2024, aux clients du secteur public des États-Unis exécutant des clients Windows.
Si vous utilisez l’expérience de connectivité simplifiée des appareils Microsoft Defender pour point de terminaison, vous n’avez pas besoin d’ajouter d’autres URL.
Si vous utilisez l’expérience de connectivité standard de l’appareil Microsoft Defender pour point de terminaison :
Les clients d’entreprise doivent autoriser les URL suivantes :
*.endpoint.security.microsoft.comecs.office.com/config/v1/MicrosoftWindowsDefenderClient*.events.data.microsoft.com
Si vous ne souhaitez pas utiliser les caractères génériques pour
*.events.data.microsoft.com, vous pouvez utiliser :us-mobile.events.data.microsoft.com/OneCollector/1.0eu-mobile.events.data.microsoft.com/OneCollector/1.0uk-mobile.events.data.microsoft.com/OneCollector/1.0au-mobile.events.data.microsoft.com/OneCollector/1.0mobile.events.data.microsoft.com/OneCollector/1.0
Les clients Enterprise U.S. Government doivent autoriser les URL suivantes :
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Si vous utilisez Le contrôle d’application pour Windows, ou si vous exécutez un antivirus ou un logiciel de détection de point de terminaison non-Microsoft, veillez à ajouter les processus mentionnés précédemment à votre liste d’autorisation.
Les consommateurs n’ont pas besoin de prendre des mesures pour se préparer.
Processus et services de l’Antivirus Microsoft Defender
Le tableau suivant récapitule où vous pouvez afficher les processus et services de l’Antivirus Microsoft Defender (MdCoreSvc) à l’aide du Gestionnaire des tâches sur les appareils Windows.
| Processus ou service | Où afficher son état |
|---|---|
Antimalware Core Service |
Onglet Processus |
MpDefenderCoreService.exe |
Onglet Détails |
Microsoft Defender Core Service |
Onglet Services |
Pour en savoir plus sur les configurations et l’expérimentation du service Microsoft Defender Core (ECS), consultez Configurations et expérimentation du service Microsoft Defender Core.
Questions fréquentes (FAQ) :
Quelle est la recommandation pour le service Microsoft Defender Core ?
Nous vous recommandons vivement de conserver les paramètres par défaut du service Microsoft Defender Core en cours d’exécution et de création de rapports.
À quelles conditions de stockage et de confidentialité les données sont-elles respectées par le service Microsoft Defender Core ?
Passez en revue le stockage et la confidentialité des données microsoft Defender pour point de terminaison.
Puis-je appliquer que le service Microsoft Defender Core reste en cours d’exécution en tant qu’administrateur ?
Vous pouvez l’appliquer à l’aide de l’un des outils de gestion suivants :
- Cogestion de Configuration Manager
- Stratégie de groupe
- PowerShell
- Registre
Utiliser la cogestion Configuration Manager (ConfigMgr, anciennement MEMCM/SCCM) pour mettre à jour la stratégie du service Microsoft Defender Core
Microsoft Configuration Manager a une capacité intégrée à exécuter des scripts PowerShell pour mettre à jour les paramètres de stratégie antivirus Microsoft Defender sur tous les ordinateurs de votre réseau.
- Ouvrez la console Microsoft Configuration Manager.
- Sélectionnez Scripts > de bibliothèque > de logiciels Créer un script.
- Entrez le nom du script, par exemple, Application du service Microsoft Defender Core et Description, par exemple Configuration de démonstration pour activer les paramètres du service Microsoft Defender Core.
- Définissez la langue sur PowerShell et le délai d’expiration sur 180 secondes
- Collez l’exemple de script « Application du service Microsoft Defender Core » suivant à utiliser comme modèle :
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
Lorsque vous ajoutez un nouveau script, vous devez le sélectionner et l’approuver. L’état d’approbation passe de En attente d’approbation à Approuvé. Une fois approuvé, cliquez avec le bouton droit sur un seul appareil ou un regroupement d’appareils, puis sélectionnez Exécuter le script.
Dans la page script de l’Assistant Exécuter le script, choisissez votre script dans la liste (application du service Microsoft Defender Core dans notre exemple). Seuls les scripts approuvés sont affichés. Sélectionnez Suivant et terminez l’Assistant.
Utiliser l’Éditeur de stratégie de groupe pour mettre à jour la stratégie de groupe pour le service Microsoft Defender Core
Téléchargez les derniers modèles d’administration de stratégie de groupe Microsoft Defender ici.
Configurez le référentiel central du contrôleur de domaine.
Remarque
Copiez le fichier .admx et séparément le fichier .adml dans le dossier En-US.
Start, GPMC.msc (par exemple, Contrôleur de domaine ou ) ou GPEdit.msc
Accédez à Configuration ordinateur ->Modèles d’administration ->Composants Windows ->Antivirus Microsoft Defender
Activer l’intégration du service d’expérimentation et de configuration (ECS) pour le service principal Defender
- Non configuré ou activé (par défaut) : le service principal Microsoft Defender utilise ECS pour fournir rapidement des correctifs critiques spécifiques à l’organisation pour l’Antivirus Microsoft Defender et d’autres logiciels Defender.
- Désactivé : le service principal Microsoft Defender cessera d’utiliser ECS pour fournir rapidement des correctifs critiques spécifiques à l’organisation pour l’Antivirus Microsoft Defender et d’autres logiciels Defender. Pour les faux positifs, les correctifs sont fournis via les « mises à jour security intelligence », et pour les mises à jour de plateforme et/ou de moteur, les correctifs sont fournis via Microsoft Update, Le catalogue Microsoft Update ou WSUS.
Activer la télémétrie pour le service principal Defender
- Non configuré ou activé (par défaut) : le service Microsoft Defender Core collecte les données de télémétrie à partir de l’Antivirus Microsoft Defender et d’autres logiciels Defender
- Désactivé : le service Microsoft Defender Core cesse de collecter les données de télémétrie à partir de l’Antivirus Microsoft Defender et d’autres logiciels Defender. La désactivation de ce paramètre peut avoir un impact sur la capacité de Microsoft à reconnaître et à résoudre rapidement les problèmes, tels que les performances lentes et les faux positifs.
Utilisez PowerShell pour mettre à jour les stratégies du service Microsoft Defender Core.
Accédez à Démarrer et exécutez PowerShell en tant qu’administrateur.
Utilisez la
Set-MpPreferences -DisableCoreServiceECSIntegrationcommande $true ou $false, où$false= activé et$true= désactivé. Par exemple :Set-MpPreferences -DisableCoreServiceECSIntegration $falseUtilisez la
Set-MpPreferences -DisableCoreServiceTelemetrycommande $true ou $false, par exemple :Set-MpPreferences -DisableCoreServiceTelemetry $true
Utilisez le Registre pour mettre à jour les stratégies du service Microsoft Defender Core.
Sélectionnez Démarrer, puis ouvrez Regedit.exe en tant qu’administrateur.
Allez à
HKLM\Software\Policies\Microsoft\Windows Defender\Features.Définissez les valeurs :
DisableCoreService1DSTelemetry(dword) 0 (hexadécimal)
0= Non configuré, activé (par défaut)
1= DésactivéDisableCoreServiceECSIntegration(dword) 0 (hexadécimal)
0= Non configuré, activé (par défaut)
1= Désactivé