Panoramica del servizio Microsoft Defender Core

Articolo
06/22/2024

Servizio Microsoft Defender Core

Per migliorare l'esperienza di sicurezza degli endpoint, Microsoft rilascia il servizio Microsoft Defender Core per contribuire alla stabilità e alle prestazioni di Microsoft Defender Antivirus.

Prerequisiti

Il servizio Microsoft Defender Core viene rilasciato con la piattaforma Microsoft Defender Antivirus versione 4.18.23110.2009.
L'implementazione è pianificata per iniziare come segue:
- novembre 2023 per rendere disponibili i clienti.
- Da metà aprile 2024 ai clienti Enterprise che eseguono client Windows.
- A partire da luglio 2024 per i clienti del governo degli Stati Uniti che eseguono client Windows.
Se si usa l'esperienza di connettività dei dispositivi semplificata di Microsoft Defender per endpoint, non è necessario aggiungere altri URL.
Se si usa l'esperienza di connettività del dispositivo standard di Microsoft Defender per endpoint:

I clienti aziendali devono consentire gli URL seguenti:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Se non si vogliono usare i caratteri jolly per *.events.data.microsoft.com, è possibile usare:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
I clienti enterprise del governo degli Stati Uniti devono consentire gli URL seguenti:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Se si usa il controllo delle applicazioni per Windows o si esegue software antivirus o di risposta di endpoint non Microsoft, assicurarsi di aggiungere i processi menzionati in precedenza all'elenco di utenti consentiti.
I consumer non devono intraprendere alcuna azione per prepararsi.

Processi e servizi di Microsoft Defender Antivirus

La tabella seguente riepiloga la posizione in cui è possibile visualizzare i processi e i servizi di Microsoft Defender Antivirus (MdCoreSvc) usando Gestione attività nei dispositivi Windows.

Processo o servizio	Dove visualizzarne lo stato
`Antimalware Core Service`	Scheda Processi
`MpDefenderCoreService.exe`	Scheda Dettagli
`Microsoft Defender Core Service`	Scheda Servizi

Per altre informazioni sulle configurazioni e la sperimentazione del servizio Microsoft Defender Core (ECS), vedere Configurazioni e sperimentazione del servizio Microsoft Defender Core.

Domande frequenti:Frequently Asked Questions (FAQs):

Qual è la raccomandazione per il servizio Microsoft Defender Core?

È consigliabile mantenere in esecuzione e creare report le impostazioni predefinite del servizio Microsoft Defender Core.

A quali risorse di archiviazione e privacy sono conformi il servizio Microsoft Defender Core?

Esaminare l'archiviazione e la privacy dei dati di Microsoft Defender per endpoint.

È possibile applicare il servizio Microsoft Defender Core come amministratore?

È possibile applicarlo usando uno di questi strumenti di gestione:

Co-gestione di Configuration Manager
Criteri di gruppo
PowerShell
Registro di sistema

Usare la co-gestione di Configuration Manager (ConfigMgr, in precedenza MEMCM/SCCM) per aggiornare i criteri per il servizio Microsoft Defender Core

Microsoft Configuration Manager offre la possibilità integrata di eseguire script di PowerShell per aggiornare le impostazioni dei criteri di Microsoft Defender Antivirus in tutti i computer della rete.

Aprire la console di Microsoft Configuration Manager.
Selezionare Script > della libreria > software Crea script.
Immettere il nome dello script, ad esempio l'imposizione del servizio Microsoft Defender Core e la descrizione, ad esempio Configurazione demo per abilitare le impostazioni del servizio Microsoft Defender Core.
Impostare la lingua su PowerShell e i secondi di timeout su 180
Incollare l'esempio di script "Applicazione del servizio Microsoft Defender Core" seguente da usare come modello:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Quando si aggiunge un nuovo script, è necessario selezionarlo e approvarlo. Lo stato di approvazione passa da In attesa di approvazione a Approvato. Dopo l'approvazione, fare clic con il pulsante destro del mouse su un singolo dispositivo o raccolta di dispositivi e scegliere Esegui script.

Nella pagina script della procedura guidata Esegui script scegliere lo script dall'elenco (applicazione del servizio Microsoft Defender Core nell'esempio). Vengono visualizzati solo gli script approvati. Selezionare Avanti e completare la procedura guidata.

Usare Editor Criteri di gruppo per aggiornare Criteri di gruppo per il servizio Microsoft Defender Core

Scaricare i modelli amministrativi più recenti di Criteri di gruppo di Microsoft Defender da qui.
Configurare il repository centrale del controller di dominio.

Nota

Copiare il file con estensione admx e separatamente il file con estensione adml nella cartella En-US.
Start, GPMC.msc (ad esempio Controller di dominio o ) o GPEdit.msc
Passare a Configurazione computer ->Modelli amministrativi ->Componenti di Windows ->Microsoft Defender Antivirus
Attivare l'integrazione del servizio di sperimentazione e configurazione (ECS) per il servizio core di Defender
- Non configurato o abilitato (impostazione predefinita): il servizio principale di Microsoft Defender userà ECS per distribuire rapidamente correzioni critiche specifiche dell'organizzazione per Microsoft Defender Antivirus e altri software Defender.
- Disabilitato: il servizio principale di Microsoft Defender smetterà di usare ECS per fornire rapidamente correzioni critiche specifiche dell'organizzazione per Microsoft Defender Antivirus e altri software Defender. Per i falsi positivi, le correzioni verranno recapitate tramite "Aggiornamenti di Security Intelligence" e per gli aggiornamenti della piattaforma e/o del motore, le correzioni verranno recapitate tramite Microsoft Update, Microsoft Update Catalog o WSUS.
Attivare i dati di telemetria per il servizio core di Defender
- Non configurato o abilitato (impostazione predefinita): il servizio Microsoft Defender Core raccoglierà i dati di telemetria da Microsoft Defender Antivirus e da altri software Defender
- Disabilitato: il servizio Microsoft Defender Core smetterà di raccogliere dati di telemetria da Microsoft Defender Antivirus e da altri software Defender. La disabilitazione di questa impostazione può influire sulla capacità di Microsoft di riconoscere e risolvere rapidamente i problemi, ad esempio prestazioni lente e falsi positivi.

Usare PowerShell per aggiornare i criteri per il servizio Microsoft Defender Core.

Passare a Start ed eseguire PowerShell come amministratore.
Usare il Set-MpPreferences -DisableCoreServiceECSIntegration comando $true o $false, dove $false = abilitato e $true = disabilitato. Ad esempio:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Usare il Set-MpPreferences -DisableCoreServiceTelemetry comando $true o $false, ad esempio:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Usare il Registro di sistema per aggiornare i criteri per il servizio Microsoft Defender Core.

Selezionare Start e quindi aprire Regedit.exe come amministratore.
Passare a HKLM\Software\Policies\Microsoft\Windows Defender\Features.
Impostare i valori:

DisableCoreService1DSTelemetry (dword) 0 (esadecimale)
0 = Non configurato, abilitato (impostazione predefinita)
1 = Disabilitato

DisableCoreServiceECSIntegration (dword) 0 (esadecimale)
0 = Non configurato, abilitato (impostazione predefinita)
1 = Disabilitato

Condividi tramite