Delen via


Overzicht van Microsoft Defender Core-service

Microsoft Defender Core-service

Om uw ervaring met eindpuntbeveiliging te verbeteren, brengt Microsoft de Microsoft Defender Core-service uit om te helpen bij de stabiliteit en prestaties van Microsoft Defender Antivirus.

Vereisten

  1. De Microsoft Defender Core-service wordt uitgebracht met Microsoft Defender Antivirus-platform versie 4.18.23110.2009.

  2. De implementatie zal als volgt beginnen:

    • November 2023 om klanten vooraf te verrelen.
    • Medio april 2024 voor Enterprise-klanten met Windows-clients.
    • Begin juli 2024 voor klanten van de Amerikaanse overheid die Windows-clients uitvoeren.
  3. Als u de gestroomlijnde apparaatconnectiviteit van Microsoft Defender voor Eindpunt gebruikt, hoeft u geen andere URL's toe te voegen.

  4. Als u de standaardverbindingservaring voor apparaten van Microsoft Defender voor Eindpunt gebruikt:

    Enterprise-klanten moeten de volgende URL's toestaan:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Als u de jokertekens *.events.data.microsoft.comvoor niet wilt gebruiken, kunt u het volgende gebruiken:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Zakelijke klanten van de Amerikaanse overheid moeten de volgende URL's toestaan:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  5. Als u Application Control voor Windows gebruikt of als u niet-Microsoft-antivirus- of eindpuntdetectie- en responssoftware gebruikt, moet u de eerder genoemde processen toevoegen aan uw acceptatielijst.

  6. Consumenten hoeven geen acties te ondernemen om zich voor te bereiden.

Microsoft Defender Antivirus-processen en -services

De volgende tabel geeft een overzicht van waar u Microsoft Defender Antivirus-processen en -services (MdCoreSvc) kunt bekijken met taakbeheer op Windows-apparaten.

Proces of service Waar kan ik de status bekijken?
Antimalware Core Service Tabblad Processen
MpDefenderCoreService.exe Tabblad Details
Microsoft Defender Core Service Tabblad Services

Zie Microsoft Defender Core-serviceconfiguraties en -experimenten voor meer informatie over de Microsoft Defender Core-serviceconfiguraties en -experimenten (ECS).

Veelgestelde vragen (veelgestelde vragen):

Wat is de aanbeveling voor de Microsoft Defender Core-service?

We raden u ten zeerste aan om de standaardinstellingen van de Microsoft Defender Core-service actief te houden en te rapporteren.

Aan welke gegevensopslag en privacy voldoet de Microsoft Defender Core-service?

Raadpleeg Gegevensopslag en privacy van Microsoft Defender voor Eindpunt.

Kan ik afdwingen dat de Microsoft Defender Core-service actief blijft als beheerder?

U kunt dit afdwingen met behulp van een van deze beheerhulpprogramma's:

  • Co-beheer van Configuration Manager
  • Groepsbeleid
  • PowerShell
  • Register

Co-beheer van Configuration Manager gebruiken (ConfigMgr, voorheen MEMCM/SCCM) om het beleid voor de Microsoft Defender Core-service bij te werken

Microsoft Configuration Manager heeft een geïntegreerde mogelijkheid om PowerShell-scripts uit te voeren om Microsoft Defender Antivirus-beleidsinstellingen bij te werken op alle computers in uw netwerk.

  1. Open de Microsoft Configuration Manager-console.
  2. Selecteer Softwarebibliotheekscripts >> Script maken.
  3. Voer de scriptnaam in, bijvoorbeeld Microsoft Defender Core-service afdwingen en Beschrijving, bijvoorbeeld Democonfiguratie om microsoft Defender Core-service-instellingen in te schakelen.
  4. Stel de taal in op PowerShell en de time-outseconden op 180
  5. Plak het volgende scriptvoorbeeld 'Microsoft Defender Core-service afdwingen' om als sjabloon te gebruiken:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Wanneer u een nieuw script toevoegt, moet u dit selecteren en goedkeuren. De goedkeuringsstatus verandert van Wachten op goedkeuring in Goedgekeurd. Zodra dit is goedgekeurd, klikt u met de rechtermuisknop op één apparaat of apparaatverzameling en selecteert u Script uitvoeren.

Kies op de pagina script van de wizard Script uitvoeren uw script in de lijst (Microsoft Defender Core-service afdwingen in ons voorbeeld). Alleen goedgekeurde scripts worden weergegeven. Selecteer Volgende en voltooi de wizard.

Groepsbeleidseditor gebruiken om groepsbeleid bij te werken voor de Microsoft Defender Core-service

  1. Download hier de nieuwste beheersjablonen voor groepsbeleid van Microsoft Defender.

  2. Stel de centrale opslagplaats van de domeincontroller in.

    Opmerking

    Kopieer de .admx en afzonderlijk de .adml naar de map En-US.

  3. Start, GPMC.msc (bijvoorbeeld domeincontroller of ) of GPEdit.msc

  4. Ga naar Computerconfiguratie ->Beheersjablonen ->Windows-onderdelen ->Microsoft Defender Antivirus

  5. Integratie van Experimenten en configuratieservice (ECS) inschakelen voor Defender Core-service

    • Niet geconfigureerd of ingeschakeld (standaard): de Microsoft Defender Core-service gebruikt ECS om snel kritieke, organisatiespecifieke oplossingen te leveren voor Microsoft Defender Antivirus en andere Defender-software.
    • Uitgeschakeld: de Microsoft Defender Core-service stopt met het gebruik van ECS om snel kritieke, organisatiespecifieke oplossingen te leveren voor Microsoft Defender Antivirus en andere Defender-software. Voor fout-positieven worden correcties geleverd via 'Security Intelligence-updates' en voor platform- en/of engine-updates worden correcties geleverd via Microsoft Update, Microsoft Update-catalogus of WSUS.
  6. Telemetrie inschakelen voor Defender Core-service

    • Niet geconfigureerd of ingeschakeld (standaard): de Microsoft Defender Core-service verzamelt telemetrie van Microsoft Defender Antivirus en andere Defender-software
    • Uitgeschakeld: de Microsoft Defender Core-service stopt met het verzamelen van telemetriegegevens van Microsoft Defender Antivirus en andere Defender-software. Het uitschakelen van deze instelling kan van invloed zijn op het vermogen van Microsoft om snel problemen te herkennen en op te lossen, zoals trage prestaties en fout-positieven.

Gebruik PowerShell om het beleid voor de Microsoft Defender Core-service bij te werken.

  1. Ga naar Start en voer PowerShell uit als beheerder.

  2. Gebruik de Set-MpPreferences -DisableCoreServiceECSIntegration opdracht $true of $false, waarbij $false = ingeschakeld en $true = uitgeschakeld. Bijvoorbeeld:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false 
    
  3. Gebruik de Set-MpPreferences -DisableCoreServiceTelemetry opdracht $true of $false, bijvoorbeeld:

    Set-MpPreferences -DisableCoreServiceTelemetry $true
    

Gebruik het register om het beleid voor de Microsoft Defender Core-service bij te werken.

  1. Selecteer Start en open vervolgens Regedit.exe als beheerder.

  2. Ga naar HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. Stel de waarden in:

    DisableCoreService1DSTelemetry (dword) 0 (hex)
    0 = Niet geconfigureerd, ingeschakeld (standaard)
    1 = Uitgeschakeld

    DisableCoreServiceECSIntegration (dword) 0 (hex)
    0 = Niet geconfigureerd, ingeschakeld (standaard)
    1 = Uitgeschakeld