Microsoft Defender Core サービスの概要
Microsoft Defender Core サービス
エンドポイントのセキュリティ エクスペリエンスを強化するために、Microsoft は Microsoft Defender ウイルス対策の安定性とパフォーマンスに役立つ Microsoft Defender Core サービスをリリースしています。
前提条件
Microsoft Defender Core サービスは、 Microsoft Defender ウイルス対策プラットフォーム バージョン 4.18.23110.2009 でリリースされています。
ロールアウトは次のように開始する予定です。
- 2023 年 11 月にお客様をプレリリースしました。
- 2024 年 4 月中旬、Windows クライアントを実行している Enterprise のお客様へ。
- 2024 年 7 月初めから、Windows クライアントを実行している米国政府のお客様へ。
Microsoft Defender for Endpoint の 合理化された デバイス接続エクスペリエンスを使用している場合は、他の URL を追加する必要はありません。
Microsoft Defender for Endpoint 標準 デバイス接続エクスペリエンスを使用している場合:
エンタープライズのお客様は、次の URL を許可する必要があります。
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
*.events.data.microsoft.com
にワイルドカードを使用しない場合は、次を使用できます。us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
米国政府機関のお客様は、次の URL を許可する必要があります。
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
Windows 用アプリケーションコントロールを使用している場合、または Microsoft 以外のウイルス対策またはエンドポイント検出および応答ソフトウェアを実行している場合は、前に説明したプロセスを許可リストに追加してください。
コンシューマーが準備を行う必要はありません。
Microsoft Defender ウイルス対策のプロセスとサービス
次の表は、Windows デバイスでタスク マネージャーを使用して Microsoft Defender ウイルス対策プロセスとサービス (MdCoreSvc
) を表示できる場所をまとめたものです。
プロセスまたはサービス | 状態を表示する場所 |
---|---|
Antimalware Core Service |
[プロセス ] タブ |
MpDefenderCoreService.exe |
[詳細 ] タブ |
Microsoft Defender Core Service |
[サービス ] タブ |
Microsoft Defender Core サービスの構成と実験 (ECS) の詳細については、「 Microsoft Defender Core サービスの構成と実験」を参照してください。
よく寄せられる質問 (FAQ):
Microsoft Defender Core サービスの推奨事項は何ですか?
Microsoft Defender Core サービスの既定の設定を実行してレポートしておくことを強くお勧めします。
Microsoft Defender Core サービスはどのようなデータ ストレージとプライバシーに準拠していますか?
Microsoft Defender for Endpoint のデータ ストレージとプライバシーを確認します。
Microsoft Defender Core サービスを管理者として実行したままにすることはできますか?
次のいずれかの管理ツールを使用して適用できます。
- Configuration Manager 共同管理
- グループ ポリシー
- PowerShell
- レジストリ
Configuration Manager 共同管理 (ConfigMgr、旧称 MEMCM/SCCM) を使用して、Microsoft Defender Core サービスのポリシーを更新する
Microsoft Configuration Manager には、PowerShell スクリプトを実行して、ネットワーク内のすべてのコンピューターで Microsoft Defender ウイルス対策ポリシー設定を更新する統合機能があります。
- Microsoft Configuration Manager コンソールを開きます。
- [ ソフトウェア ライブラリ] > [スクリプト] > [スクリプトの作成] を選択します。
- スクリプト名 (Microsoft Defender Core サービスの適用や説明など) を入力します。たとえば、デモ構成を使用して Microsoft Defender Core サービス設定を有効にします。
- 言語を PowerShell に設定し、タイムアウト秒を 180 に設定します
- テンプレートとして使用するには、次の "Microsoft Defender Core サービスの適用" スクリプトの例を貼り付けます。
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
新しいスクリプトを追加するときは、それを選択して承認する必要があります。 承認の状態が [ 承認待ち] から [承認済み] に変わります。 承認されたら、1 つのデバイスまたはデバイス コレクションを右クリックし、[スクリプトの 実行] を選択します。
スクリプトの実行ウィザードのスクリプト ページで、一覧からスクリプトを選択します (この例では Microsoft Defender Core サービスの適用)。 承認済みのスクリプトのみが表示されます。 [次へ] を選択してウィザードを完了します。
グループ ポリシー エディターを使用して Microsoft Defender Core サービスのグループ ポリシーを更新する
最新の Microsoft Defender グループ ポリシー管理用テンプレートを ここからダウンロードします。
ドメイン コントローラー の中央リポジトリを設定します。
注:
.admx をコピーし、.adml を En-US フォルダーに個別にコピーします。
開始、GPMC.msc (ドメイン コントローラーや など) または GPEdit.msc
[コンピューターの構成] ->[管理用テンプレート] ->Windows コンポーネント ->Microsoft Defender ウイルス対策に移動します
Defender Core サービスの実験および構成サービス (ECS) 統合を有効にする
- 未構成または有効 (既定値): Microsoft Defender コア サービスは ECS を使用して、Microsoft Defender ウイルス対策やその他の Defender ソフトウェアの重要な組織固有の修正プログラムを迅速に提供します。
- 無効: Microsoft Defender コア サービスは、ECS の使用を停止して、Microsoft Defender ウイルス対策やその他の Defender ソフトウェアの重要な組織固有の修正プログラムを迅速に提供します。 誤検知の場合、修正プログラムは "セキュリティ インテリジェンスの更新プログラム" を介して配信され、プラットフォームまたはエンジンの更新プログラムの場合は、Microsoft Update、Microsoft Update Catalog、または WSUS を通じて修正プログラムが配信されます。
Defender Core サービスのテレメトリを有効にする
- 未構成または有効 (既定値): Microsoft Defender Core サービスは、Microsoft Defender ウイルス対策やその他の Defender ソフトウェアからテレメトリを収集します
- 無効: Microsoft Defender Core サービスは、Microsoft Defender ウイルス対策やその他の Defender ソフトウェアからのテレメトリの収集を停止します。 この設定を無効にすると、パフォーマンスの低下や誤検知などの問題をすばやく認識して対処できる Microsoft の機能に影響する可能性があります。
PowerShell を使用して、Microsoft Defender Core サービスのポリシーを更新します。
[スタート] に移動し、管理者として PowerShell を実行します。
$false
= が有効で、$true
= が無効になっている場合は、Set-MpPreferences -DisableCoreServiceECSIntegration
$true または $false コマンドを使用します。 例:Set-MpPreferences -DisableCoreServiceECSIntegration $false
Set-MpPreferences -DisableCoreServiceTelemetry
$true または $false コマンドを使用します。次に例を示します。Set-MpPreferences -DisableCoreServiceTelemetry $true
レジストリを使用して、Microsoft Defender Core サービスのポリシーを更新します。
[ スタート] を選択し、管理者として Regedit.exe を開きます。
HKLM\Software\Policies\Microsoft\Windows Defender\Features
に移動します。値を設定します。
DisableCoreService1DSTelemetry
(dword) 0 (16 進数)
0
= 未構成、有効 (既定値)
1
= 無効DisableCoreServiceECSIntegration
(dword) 0 (16 進数)
0
= 未構成、有効 (既定値)
1
= 無効