Oversikt over Microsoft Defender Core-tjenesten

Artikkel
06/22/2024

Microsoft Defender Core-tjeneste

Microsoft lanserer Microsoft Defender Core-tjenesten for å forbedre sikkerhetsopplevelsen for endepunktet for å hjelpe deg med stabiliteten og ytelsen til Microsoft Defender Antivirus.

Forutsetninger

Microsoft Defender Core-tjenesten lanseres med Microsoft Defender Antivirus-plattformen versjon 4.18.23110.2009.
Utrullingen er planlagt å starte som følger:
- November 2023 for å forhåndsutleie kunder.
- Midten av april 2024 til Enterprise-kunder som kjører Windows-klienter.
- Fra og med juli 2024 til us Government-kunder som kjører Windows-klienter.
Hvis du bruker Microsoft Defender for Endpoint strømlinjeformet enhetstilkoblingsopplevelse, trenger du ikke å legge til andre nettadresser.
Hvis du bruker Microsoft Defender for endpoint standard enhetstilkoblingsopplevelse:

Bedriftskunder bør tillate følgende URL-adresser:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Hvis du ikke vil bruke jokertegnene for *.events.data.microsoft.com, kan du bruke:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Enterprise US Government-kunder bør tillate følgende nettadresser:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Hvis du bruker programkontroll for Windows, eller du kjører antivirus- eller endepunktgjenkjennings- og responsprogramvare fra Microsoft, må du legge til prosessene som er nevnt tidligere i tillatelseslisten.
Forbrukerne trenger ikke å gjøre noe for å forberede seg.

Microsoft Defender Antivirus-prosesser og -tjenester

Tabellen nedenfor oppsummerer hvor du kan vise Microsoft Defender Antivirus-prosesser og -tjenester (MdCoreSvc) ved hjelp av Oppgavebehandling på Windows-enheter.

Prosess eller tjeneste	Her kan du vise statusen
`Antimalware Core Service`	Prosesser-fanen
`MpDefenderCoreService.exe`	Detaljer-fanen
`Microsoft Defender Core Service`	Tjenester-fanen

Hvis du vil lære mer om Microsoft Defender Core-tjenestekonfigurasjoner og eksperimentering (ECS), kan du se Microsoft Defender Core-tjenestekonfigurasjoner og eksperimentering.

Vanlige spørsmål:

Hva er anbefalingen for Microsoft Defender Core-tjenesten?

Vi anbefaler på det sterkeste å holde standardinnstillingene for Microsoft Defender Core-tjenesten i gang og rapportere.

Hvilken datalagring og personvern overholder Microsoft Defender Core-tjenesten?

Se gjennom Microsoft Defender for datalagring og personvern for endepunkt.

Kan jeg fremtvinge at Microsoft Defender Core-tjenesten fortsetter å kjøre som administrator?

Du kan fremtvinge den ved hjelp av et av disse administrasjonsverktøyene:

Behandling av konfigurasjonsbehandling
Gruppepolicy
PowerShell
Register

Bruk konfigurasjonsbehandling for samtidig administrasjon (ConfigMgr, tidligere MEMCM/SCCM) til å oppdatere policyen for Microsoft Defender Core-tjenesten

Microsoft Configuration Manager har en integrert mulighet til å kjøre PowerShell-skript for å oppdatere innstillinger for Microsoft Defender Antivirus-policyer på tvers av alle datamaskiner i nettverket.

Åpne Microsoft Configuration Manager-konsollen.
Velg Skript for programvarebibliotek >> for oppretting av skript.
Skriv inn skriptnavnet, for eksempel Microsoft Defender Core-tjenestehåndhevelse og beskrivelse, for eksempel Demo-konfigurasjon for å aktivere tjenesteinnstillinger for Microsoft Defender Core.
Angi språket til PowerShell og tidsavbruddet sekunder til 180
Lim inn følgende skripteksempel for Microsoft Defender Core-tjenestehåndhevelse som skal brukes som en mal:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Når du legger til et nytt skript, må du velge og godkjenne det. Godkjenningsstatusen endres fra Venter på godkjenning til Godkjent. Når det er godkjent, høyreklikker du på én enkelt enhet eller enhetssamling, og velger Kjør skript.

Velg skriptet fra listen (Microsoft Defender Core-tjenestehåndhevelse i vårt eksempel) på skriptsiden i veiviseren Kjør skript. Bare godkjente skript vises. Velg Neste, og fullfør veiviseren.

Bruk redigeringsprogrammet for gruppepolicy til å oppdatere gruppepolicy for Microsoft Defender Core-tjenesten

Last ned de nyeste administrative malene for Microsoft Defender-gruppepolicy herfra.
Konfigurer sentralrepositoriet for domenekontroller.

Obs!

Kopier ADMX-filen, og bruk ADML-filen separat til en-US-mappen.
Start, GPMC.msc (f.eks. Domenekontroller eller ) eller GPEdit.msc
Gå til Datamaskinkonfigurasjon ->Administrative maler ->Windows-komponenter ->Microsoft Defender Antivirus
Slå på ecs-integrering (Experimentation and Configuration Service) for Kjernetjenesten Defender
- Ikke konfigurert eller aktivert (standard): Microsoft Defender-kjernetjenesten bruker ECS til raskt å levere kritiske, organisasjonsspesifikke løsninger for Microsoft Defender Antivirus og annen Defender-programvare.
- Deaktivert: Microsoft Defender-kjernetjenesten slutter å bruke ECS til raskt å levere kritiske, organisasjonsspesifikke løsninger for Microsoft Defender Antivirus og annen Defender-programvare. For falske positiver vil reparasjoner bli levert via «Sikkerhetsintelligensoppdateringer», og for plattform- og/eller motoroppdateringer vil reparasjoner bli levert via Microsoft Update, Microsoft Update Catalog eller WSUS.
Slå på telemetri for Kjernetjeneste for Defender
- Ikke konfigurert eller aktivert (standard): Microsoft Defender Core-tjenesten samler telemetri fra Microsoft Defender Antivirus og annen Defender-programvare
- Deaktivert: Microsoft Defender Core-tjenesten slutter å samle telemetri fra Microsoft Defender Antivirus og annen Defender-programvare. Deaktivering av denne innstillingen kan påvirke Microsofts evne til raskt å gjenkjenne og løse problemer, for eksempel dårlig ytelse og falske positiver.

Bruk PowerShell til å oppdatere policyene for Microsoft Defender Core-tjenesten.

Gå til Start, og kjør PowerShell som administrator.
Set-MpPreferences -DisableCoreServiceECSIntegration Bruk kommandoen $true eller $false, der $false = aktivert og $true = deaktivert. Eksempel:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Set-MpPreferences -DisableCoreServiceTelemetry Bruk kommandoen $true eller $false, for eksempel:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Bruk registeret til å oppdatere policyene for Microsoft Defender Core-tjenesten.

Velg Start, og åpne deretter Regedit.exe som administrator.
Gå til HKLM\Software\Policies\Microsoft\Windows Defender\Features
Angi verdiene:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Ikke konfigurert, aktivert (standard)
1 = Deaktivert

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Ikke konfigurert, aktivert (standard)
1 = Deaktivert

Del via