A Microsoft Defender Core szolgáltatás áttekintése
Microsoft Defender Core szolgáltatás
A végpontbiztonsági élmény javítása érdekében a Microsoft kiadja a Microsoft Defender Core szolgáltatást a Microsoft Defender víruskereső stabilitásának és teljesítményének elősegítése érdekében.
Előfeltételek
A Microsoft Defender Core szolgáltatás a Microsoft Defender víruskereső platform 4.18.23110.2009-es verziójával érhető el.
A bevezetés a következőképpen kezdődik:
- 2023 novembere az ügyfelek előzetes kiadásához.
- 2024. április közepén a Windows-ügyfeleket futtató Nagyvállalati ügyfelek számára.
- 2024. július eleje a Windows-ügyfeleket futtató egyesült államokbeli kormányzati ügyfeleknek.
Ha a Végponthoz készült Microsoft Defender egyszerűsített eszközkapcsolati felületet használja, nem kell további URL-címeket hozzáadnia.
Ha a Végponthoz készült Microsoft Defender standard eszközkapcsolati felületet használja:
A vállalati ügyfeleknek engedélyeznie kell a következő URL-címeket:
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
Ha nem szeretné használni a helyettesítő karaktereit
*.events.data.microsoft.com
, a következőt használhatja:us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
A nagyvállalati egyesült államokbeli kormányzati ügyfeleknek engedélyeznie kell a következő URL-címeket:
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
Ha Windows rendszerhez készült Alkalmazásvezérlést használ, vagy nem a Microsofttól beszerzett víruskeresőt vagy végpontészlelési és -válaszszoftvert futtat, mindenképpen adja hozzá a korábban említett folyamatokat az engedélyezési listához.
A fogyasztóknak nem kell lépéseket tenniük a felkészüléshez.
A Microsoft Defender víruskereső folyamatai és szolgáltatásai
Az alábbi táblázat összefoglalja, hogy hol tekintheti meg a Microsoft Defender víruskereső folyamatait és szolgáltatásait (MdCoreSvc
) a Feladatkezelővel Windows-eszközökön.
Folyamat vagy szolgáltatás | Az állapot megtekintésének helye |
---|---|
Antimalware Core Service |
Folyamatok lap |
MpDefenderCoreService.exe |
Részletek lap |
Microsoft Defender Core Service |
Szolgáltatások lap |
A Microsoft Defender Core szolgáltatáskonfigurációiról és kísérletezéséről további információt a Microsoft Defender Core szolgáltatás konfigurációi és kísérletezése című témakörben talál.
Gyakori kérdések (GYIK):
Mi a Microsoft Defender Core szolgáltatásra vonatkozó javaslat?
Kifejezetten javasoljuk, hogy a Microsoft Defender Core szolgáltatás alapértelmezett beállításait futtassa és jelentse.
Milyen adattárolást és adatvédelmet tart be a Microsoft Defender Core szolgáltatás?
Tekintse át a Végponthoz készült Microsoft Defender adattárolását és adatvédelmét.
Kényszeríthetem, hogy a Microsoft Defender Core szolgáltatás rendszergazdaként fusson?
A kényszerítése az alábbi felügyeleti eszközök bármelyikével végrehajtható:
- A Configuration Manager együttes kezelése
- Csoportházirend
- PowerShell-
- Beállításjegyzék
A Configuration Manager együttes felügyeletének (ConfigMgr, korábbi nevén MEMCM/SCCM) használata a Microsoft Defender Core szolgáltatás szabályzatának frissítéséhez
A Microsoft Configuration Manager integrált képes PowerShell-szkriptek futtatására a Microsoft Defender víruskereső házirend-beállításainak frissítéséhez a hálózat összes számítógépén.
- Nyissa meg a Microsoft Configuration Manager konzolt.
- Válassza a Szoftverkönyvtár-szkriptek >> Szkript létrehozása lehetőséget.
- A Microsoft Defender Core szolgáltatás beállításainak engedélyezéséhez adja meg a szkript nevét, például a Microsoft Defender Core szolgáltatás kényszerítése és a Leírás, például a Bemutató konfigurációt.
- Állítsa a Nyelvet PowerShellre, az időtúllépési másodpercet pedig 180-ra
- Illessze be a következő "Microsoft Defender Core szolgáltatás kényszerítése" példaszkriptet sablonként való használatra:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
Új szkript hozzáadásakor ki kell választania és jóvá kell hagynia azt. A jóváhagyási állapot Jóváhagyásra vár állapotról Jóváhagyásra értékre változik. A jóváhagyás után kattintson a jobb gombbal egyetlen eszközre vagy eszközgyűjteményre, és válassza a Szkript futtatása lehetőséget.
A Szkript futtatása varázsló szkriptoldalán válassza ki a szkriptet a listából (példánkban a Microsoft Defender Core szolgáltatás kényszerítése). Csak jóváhagyott szkriptek jelennek meg. Válassza a Tovább gombot, és fejezze be a varázslót.
Csoportházirend-szerkesztő használata a Microsoft Defender Core szolgáltatás csoportházirendjének frissítéséhez
Töltse le a legújabb Microsoft Defender csoportházirend felügyeleti sablonokat innen.
Állítsa be a tartományvezérlő központi adattárát.
Megjegyzés:
Másolja az .admx fájlt, és külön az .adml fájlt az En-US mappába.
Start, GPMC.msc (pl. tartományvezérlő vagy ) vagy GPEdit.msc
Lépjen a Számítógép konfigurációja –>Felügyeleti sablonok –>Windows-összetevők –>Microsoft Defender víruskereső lapra.
A Kísérletezési és konfigurációs szolgáltatás (ECS) integrációjának bekapcsolása a Defender core szolgáltatáshoz
- Nincs konfigurálva vagy engedélyezve (alapértelmezett): a Microsoft Defender core szolgáltatás az ECS-t fogja használni a Microsoft Defender víruskereső és más Defender-szoftverek kritikus, szervezetspecifikus javításainak gyors biztosításához.
- Letiltva: a Microsoft Defender core szolgáltatás nem használja az ECS-t a Microsoft Defender víruskereső és más Defender-szoftverek kritikus, szervezetspecifikus javításainak gyors biztosításához. A téves riasztások esetén a javítások a "Biztonságiintelligencia-frissítéseken" keresztül, a platform- és/vagy motorfrissítések esetében pedig a Microsoft Update, a Microsoft Update Catalog vagy a WSUS segítségével lesznek kézbesítve.
A telemetria bekapcsolása a Defender core szolgáltatáshoz
- Nincs konfigurálva vagy engedélyezve (alapértelmezett): a Microsoft Defender Core szolgáltatás telemetriai adatokat gyűjt a Microsoft Defender víruskeresőből és más Defender-szoftverekből
- Letiltva: a Microsoft Defender Core szolgáltatás leállítja a Telemetriai adatok gyűjtését a Microsoft Defender víruskeresőből és más Defender-szoftverekből. A beállítás letiltása hatással lehet a Microsoft azon képességére, hogy gyorsan felismerje és kezelje a problémákat, például a lassú teljesítményt és a téves riasztásokat.
A PowerShell használatával frissítheti a Microsoft Defender Core szolgáltatás szabályzatát.
Nyissa meg a Start menüt, és futtassa rendszergazdaként a PowerShellt.
Használja a
Set-MpPreferences -DisableCoreServiceECSIntegration
$true vagy $false parancsot, ahol$false
az = engedélyezve és$true
= le van tiltva. Például:Set-MpPreferences -DisableCoreServiceECSIntegration $false
Használja a
Set-MpPreferences -DisableCoreServiceTelemetry
$true vagy $false parancsot, például:Set-MpPreferences -DisableCoreServiceTelemetry $true
A Beállításjegyzék használatával frissítse a Microsoft Defender Core szolgáltatás szabályzatát.
Válassza a Start gombot, majd nyissa meg a Regedit.exe rendszergazdaként.
Odamegy
HKLM\Software\Policies\Microsoft\Windows Defender\Features
Állítsa be az értékeket:
DisableCoreService1DSTelemetry
(dword) 0 (hexadecimális)
0
= Nincs konfigurálva, engedélyezve (alapértelmezett)
1
= LetiltvaDisableCoreServiceECSIntegration
(dword) 0 (hexadecimális)
0
= Nincs konfigurálva, engedélyezve (alapértelmezett)
1
= Letiltva
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: