A Microsoft Defender Core szolgáltatás áttekintése

Cikk
06/22/2024

Microsoft Defender Core szolgáltatás

A végpontbiztonsági élmény javítása érdekében a Microsoft kiadja a Microsoft Defender Core szolgáltatást a Microsoft Defender víruskereső stabilitásának és teljesítményének elősegítése érdekében.

Előfeltételek

A Microsoft Defender Core szolgáltatás a Microsoft Defender víruskereső platform 4.18.23110.2009-es verziójával érhető el.
A bevezetés a következőképpen kezdődik:
- 2023 novembere az ügyfelek előzetes kiadásához.
- 2024. április közepén a Windows-ügyfeleket futtató Nagyvállalati ügyfelek számára.
- 2024. július eleje a Windows-ügyfeleket futtató egyesült államokbeli kormányzati ügyfeleknek.
Ha a Végponthoz készült Microsoft Defender egyszerűsített eszközkapcsolati felületet használja, nem kell további URL-címeket hozzáadnia.
Ha a Végponthoz készült Microsoft Defender standard eszközkapcsolati felületet használja:

A vállalati ügyfeleknek engedélyeznie kell a következő URL-címeket:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Ha nem szeretné használni a helyettesítő karaktereit *.events.data.microsoft.com, a következőt használhatja:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
A nagyvállalati egyesült államokbeli kormányzati ügyfeleknek engedélyeznie kell a következő URL-címeket:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Ha Windows rendszerhez készült Alkalmazásvezérlést használ, vagy nem a Microsofttól beszerzett víruskeresőt vagy végpontészlelési és -válaszszoftvert futtat, mindenképpen adja hozzá a korábban említett folyamatokat az engedélyezési listához.
A fogyasztóknak nem kell lépéseket tenniük a felkészüléshez.

A Microsoft Defender víruskereső folyamatai és szolgáltatásai

Az alábbi táblázat összefoglalja, hogy hol tekintheti meg a Microsoft Defender víruskereső folyamatait és szolgáltatásait (MdCoreSvc) a Feladatkezelővel Windows-eszközökön.

Folyamat vagy szolgáltatás	Az állapot megtekintésének helye
`Antimalware Core Service`	Folyamatok lap
`MpDefenderCoreService.exe`	Részletek lap
`Microsoft Defender Core Service`	Szolgáltatások lap

A Microsoft Defender Core szolgáltatáskonfigurációiról és kísérletezéséről további információt a Microsoft Defender Core szolgáltatás konfigurációi és kísérletezése című témakörben talál.

Gyakori kérdések (GYIK):

Mi a Microsoft Defender Core szolgáltatásra vonatkozó javaslat?

Kifejezetten javasoljuk, hogy a Microsoft Defender Core szolgáltatás alapértelmezett beállításait futtassa és jelentse.

Milyen adattárolást és adatvédelmet tart be a Microsoft Defender Core szolgáltatás?

Tekintse át a Végponthoz készült Microsoft Defender adattárolását és adatvédelmét.

Kényszeríthetem, hogy a Microsoft Defender Core szolgáltatás rendszergazdaként fusson?

A kényszerítése az alábbi felügyeleti eszközök bármelyikével végrehajtható:

A Configuration Manager együttes kezelése
Csoportházirend
PowerShell-
Beállításjegyzék

A Configuration Manager együttes felügyeletének (ConfigMgr, korábbi nevén MEMCM/SCCM) használata a Microsoft Defender Core szolgáltatás szabályzatának frissítéséhez

A Microsoft Configuration Manager integrált képes PowerShell-szkriptek futtatására a Microsoft Defender víruskereső házirend-beállításainak frissítéséhez a hálózat összes számítógépén.

Nyissa meg a Microsoft Configuration Manager konzolt.
Válassza a Szoftverkönyvtár-szkriptek >> Szkript létrehozása lehetőséget.
A Microsoft Defender Core szolgáltatás beállításainak engedélyezéséhez adja meg a szkript nevét, például a Microsoft Defender Core szolgáltatás kényszerítése és a Leírás, például a Bemutató konfigurációt.
Állítsa a Nyelvet PowerShellre, az időtúllépési másodpercet pedig 180-ra
Illessze be a következő "Microsoft Defender Core szolgáltatás kényszerítése" példaszkriptet sablonként való használatra:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Új szkript hozzáadásakor ki kell választania és jóvá kell hagynia azt. A jóváhagyási állapot Jóváhagyásra vár állapotról Jóváhagyásra értékre változik. A jóváhagyás után kattintson a jobb gombbal egyetlen eszközre vagy eszközgyűjteményre, és válassza a Szkript futtatása lehetőséget.

A Szkript futtatása varázsló szkriptoldalán válassza ki a szkriptet a listából (példánkban a Microsoft Defender Core szolgáltatás kényszerítése). Csak jóváhagyott szkriptek jelennek meg. Válassza a Tovább gombot, és fejezze be a varázslót.

Csoportházirend-szerkesztő használata a Microsoft Defender Core szolgáltatás csoportházirendjének frissítéséhez

Töltse le a legújabb Microsoft Defender csoportházirend felügyeleti sablonokat innen.
Állítsa be a tartományvezérlő központi adattárát.

Megjegyzés:

Másolja az .admx fájlt, és külön az .adml fájlt az En-US mappába.
Start, GPMC.msc (pl. tartományvezérlő vagy ) vagy GPEdit.msc
Lépjen a Számítógép konfigurációja –>Felügyeleti sablonok –>Windows-összetevők –>Microsoft Defender víruskereső lapra.
A Kísérletezési és konfigurációs szolgáltatás (ECS) integrációjának bekapcsolása a Defender core szolgáltatáshoz
- Nincs konfigurálva vagy engedélyezve (alapértelmezett): a Microsoft Defender core szolgáltatás az ECS-t fogja használni a Microsoft Defender víruskereső és más Defender-szoftverek kritikus, szervezetspecifikus javításainak gyors biztosításához.
- Letiltva: a Microsoft Defender core szolgáltatás nem használja az ECS-t a Microsoft Defender víruskereső és más Defender-szoftverek kritikus, szervezetspecifikus javításainak gyors biztosításához. A téves riasztások esetén a javítások a "Biztonságiintelligencia-frissítéseken" keresztül, a platform- és/vagy motorfrissítések esetében pedig a Microsoft Update, a Microsoft Update Catalog vagy a WSUS segítségével lesznek kézbesítve.
A telemetria bekapcsolása a Defender core szolgáltatáshoz
- Nincs konfigurálva vagy engedélyezve (alapértelmezett): a Microsoft Defender Core szolgáltatás telemetriai adatokat gyűjt a Microsoft Defender víruskeresőből és más Defender-szoftverekből
- Letiltva: a Microsoft Defender Core szolgáltatás leállítja a Telemetriai adatok gyűjtését a Microsoft Defender víruskeresőből és más Defender-szoftverekből. A beállítás letiltása hatással lehet a Microsoft azon képességére, hogy gyorsan felismerje és kezelje a problémákat, például a lassú teljesítményt és a téves riasztásokat.

A PowerShell használatával frissítheti a Microsoft Defender Core szolgáltatás szabályzatát.

Nyissa meg a Start menüt, és futtassa rendszergazdaként a PowerShellt.
Használja a Set-MpPreferences -DisableCoreServiceECSIntegration $true vagy $false parancsot, ahol $false az = engedélyezve és $true = le van tiltva. Például:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Használja a Set-MpPreferences -DisableCoreServiceTelemetry $true vagy $false parancsot, például:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

A Beállításjegyzék használatával frissítse a Microsoft Defender Core szolgáltatás szabályzatát.

Válassza a Start gombot, majd nyissa meg a Regedit.exe rendszergazdaként.
Odamegy HKLM\Software\Policies\Microsoft\Windows Defender\Features
Állítsa be az értékeket:

DisableCoreService1DSTelemetry (dword) 0 (hexadecimális)
0 = Nincs konfigurálva, engedélyezve (alapértelmezett)
1 = Letiltva

DisableCoreServiceECSIntegration (dword) 0 (hexadecimális)
0 = Nincs konfigurálva, engedélyezve (alapértelmezett)
1 = Letiltva

Megosztás a következőn keresztül: