Vue d’ensemble du service Microsoft Defender Core

Article
05/03/2024

service Microsoft Defender Core

Pour améliorer l’expérience de sécurité de votre point de terminaison, Microsoft publie le service Microsoft Defender Core pour améliorer la stabilité et les performances de Microsoft Defender Antivirus.

Configuration requise

Le service Microsoft Defender Core est publié avec Microsoft Defender plateforme antivirus version 4.18.23110.2009.
Le déploiement commence le :
- Novembre 2023 pour préversion des clients.
- Mi-avril 2024 aux clients Entreprise exécutant des clients Windows.
- Mi-juin 2024 aux clients du gouvernement des États-Unis exécutant des clients Windows.
Si vous utilisez l’expérience de connectivité d’appareil Microsoft Defender pour point de terminaison simplifiée, vous n’avez pas besoin d’ajouter d’autres URL.
Si vous utilisez la Microsoft Defender pour point de terminaison expérience de connectivité d’appareil standard :

Les clients d’entreprise doivent autoriser les URL suivantes :
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Si vous ne souhaitez pas utiliser les caractères génériques pour *.events.data.microsoft.com, vous pouvez utiliser :
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Les clients Enterprise U.S. Government doivent autoriser les URL suivantes :
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Si vous utilisez Le contrôle d’application pour Windows, ou si vous exécutez un antivirus ou un logiciel de détection de point de terminaison non-Microsoft, veillez à ajouter les processus mentionnés précédemment à votre liste d’autorisation.
Les consommateurs n’ont pas besoin de prendre des mesures pour se préparer.

processus et services antivirus Microsoft Defender

Le tableau suivant récapitule où vous pouvez afficher Microsoft Defender processus et services antivirus (MdCoreSvc) à l’aide du Gestionnaire des tâches sur les appareils Windows.

Processus ou service	Où afficher son status
`Antimalware Core Service`	Onglet Processus
`MpDefenderCoreService.exe`	Onglet Détails
`Microsoft Defender Core Service`	Onglet Services

Pour en savoir plus sur les configurations et l’expérimentation du service Microsoft Defender Core (ECS), consultez configurations et expérimentations de service Microsoft Defender Core.

Questions fréquentes (FAQ) :

Quelle est la recommandation pour le service Microsoft Defender Core ?

Nous vous recommandons vivement de conserver les paramètres par défaut du service Microsoft Defender Core en cours d’exécution et de création de rapports.

Quels sont le stockage et la confidentialité des données que le service Microsoft Defender Core respecte-t-il ?

Passez en revue Microsoft Defender pour point de terminaison stockage et confidentialité des données.

Puis-je appliquer que le service Microsoft Defender Core reste en cours d’exécution en tant qu’administrateur ?

Vous pouvez l’appliquer à l’aide de l’un des outils de gestion suivants :

cogestion Configuration Manager
Stratégie de groupe
PowerShell
Registre

Utiliser Configuration Manager cogestion (ConfigMgr, anciennement MEMCM/SCCM) pour mettre à jour la stratégie pour le service Microsoft Defender Core

Microsoft Configuration Manager dispose d’une capacité intégrée pour exécuter des scripts PowerShell afin de mettre à jour Microsoft Defender paramètres de stratégie antivirus sur tous les ordinateurs de votre réseau.

Ouvrez la console Microsoft Configuration Manager.
Sélectionnez Scripts > de bibliothèque > de logiciels Create Script.
Entrez le nom du script, par exemple, Microsoft Defender application du service principal et description, par exemple, Configuration de démonstration pour activer les paramètres du service Microsoft Defender Core.
Définissez la langue sur PowerShell et le délai d’expiration sur 180 secondes
Collez l’exemple de script « Microsoft Defender Core service enforcement » suivant à utiliser comme modèle :

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Lorsque vous ajoutez un nouveau script, vous devez le sélectionner et l’approuver. L’état d’approbation passe de En attente d’approbation à Approuvé. Une fois approuvé, cliquez avec le bouton droit sur un seul appareil ou un regroupement d’appareils, puis sélectionnez Exécuter le script.

Dans la page script de l’Assistant Exécution du script, choisissez votre script dans la liste (Microsoft Defender Application du service principal dans notre exemple). Seuls les scripts approuvés sont affichés. Sélectionnez Suivant et terminez l’Assistant.

Utiliser stratégie de groupe Rédacteur pour mettre à jour les stratégie de groupe du service Microsoft Defender Core

Téléchargez les derniers modèles d’administration Microsoft Defender stratégie de groupe ici.
Configurez le référentiel central du contrôleur de domaine.

Remarque

Copiez le fichier .admx et séparément le fichier .adml dans le dossier En-US.
Start, GPMC.msc (par exemple, Contrôleur de domaine ou ) ou GPEdit.msc
Accédez à Configuration ordinateur ->Modèles d’administration ->Composants Windows ->antivirus Microsoft Defender
Activer l’intégration du service d’expérimentation et de configuration (ECS) pour le service principal Defender
- Non configuré ou activé (par défaut) : le service principal Microsoft Defender utilise ECS pour fournir rapidement des correctifs critiques spécifiques à l’organisation pour Microsoft Defender Antivirus et d’autres logiciels Defender.
- Désactivé : le service principal Microsoft Defender cessera d’utiliser ECS pour fournir rapidement des correctifs critiques spécifiques à l’organisation pour Microsoft Defender Antivirus et d’autres logiciels Defender. Pour les faux positifs, les correctifs sont fournis via les « mises à jour security intelligence », et pour les mises à jour de plateforme et/ou de moteur, les correctifs sont fournis via Microsoft Update, Le catalogue Microsoft Update ou WSUS.
Activer la télémétrie pour le service principal Defender
- Non configuré ou activé (par défaut) : le service Microsoft Defender Core collecte les données de télémétrie de Microsoft Defender Antivirus et d’autres logiciels Defender
- Désactivé : le service Microsoft Defender Core arrête la collecte des données de télémétrie à partir de Microsoft Defender Antivirus et d’autres logiciels Defender. La désactivation de ce paramètre peut avoir un impact sur la capacité de Microsoft à reconnaître et à résoudre rapidement les problèmes, tels que les performances lentes et les faux positifs.

Utilisez PowerShell pour mettre à jour les stratégies pour Microsoft Defender service Core.

Accédez à Démarrer et exécutez PowerShell en tant qu’administrateur.
Utilisez la Set-MpPreferences -DisableCoreServiceECSIntegration commande $true ou $false, où $false = activé et $true = désactivé. Par exemple :
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Utilisez la Set-MpPreferences -DisableCoreServiceTelemetry commande $true ou $false, par exemple :
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Utilisez le Registre pour mettre à jour les stratégies pour Microsoft Defender service Principal.

Sélectionnez Démarrer, puis ouvrez Regedit.exe en tant qu’administrateur.
Allez à HKLM\Software\Policies\Microsoft\Windows Defender\Features.
Définissez les valeurs :

DisableCoreService1DSTelemetry (dword) 0 (hexadécimal)
0 = Non configuré, activé (par défaut)
1 = Désactivé

DisableCoreServiceECSIntegration (dword) 0 (hexadécimal)
0 = Non configuré, activé (par défaut)
1 = Désactivé

Share via