Omówienie usługi Microsoft Defender Core
Usługa Microsoft Defender Core
Aby ulepszyć środowisko zabezpieczeń punktu końcowego, firma Microsoft udostępnia usługę Microsoft Defender Core, aby pomóc w stabilności i wydajności programu antywirusowego Microsoft Defender.
Wymagania wstępne
Usługa Microsoft Defender Core jest udostępniana z platformą antywirusową Microsoft Defender w wersji 4.18.23110.2009.
Wdrożenie ma się rozpocząć w następujący sposób:
- od listopada 2023 r. do klientów wstępnych.
- Od połowy kwietnia 2024 r. do klientów korporacyjnych z uruchomionymi klientami systemu Windows.
- Od lipca 2024 r. do klientów rządowych STANÓW Zjednoczonych z uruchomionymi klientami systemu Windows.
Jeśli korzystasz z usprawnionego środowiska łączności urządzeń w usłudze Microsoft Defender for Endpoint, nie musisz dodawać żadnych innych adresów URL.
Jeśli używasz usługi Microsoft Defender for Endpoint standard środowiska łączności urządzenia:
Klienci korporacyjni powinni zezwalać na następujące adresy URL:
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
Jeśli nie chcesz używać symboli wieloznacznych dla
*.events.data.microsoft.com
programu , możesz użyć następujących elementów:us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
Klienci korporacyjni dla instytucji rządowych USA powinni zezwalać na następujące adresy URL:
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
Jeśli używasz kontroli aplikacji dla systemu Windows lub korzystasz z oprogramowania antywirusowego lub oprogramowania do wykrywania i reagowania punktów końcowych innych niż Microsoft, pamiętaj o dodaniu procesów wymienionych wcześniej do listy dozwolonych.
Konsumenci nie muszą podejmować żadnych działań w celu przygotowania.
Procesy i usługi programu antywirusowego Microsoft Defender
Poniższa tabela zawiera podsumowanie sytuacji, w których można wyświetlać procesy i usługi programu antywirusowego Microsoft Defender (MdCoreSvc
) przy użyciu Menedżera zadań na urządzeniach z systemem Windows.
Proces lub usługa | Gdzie wyświetlić jego stan |
---|---|
Antimalware Core Service |
Karta Procesy |
MpDefenderCoreService.exe |
Karta Szczegóły |
Microsoft Defender Core Service |
Karta Usługi |
Aby dowiedzieć się więcej na temat konfiguracji usługi Microsoft Defender Core i eksperymentowania (ECS), zobacz Konfiguracje usługi Microsoft Defender Core i eksperymenty.
Często zadawane pytania:
Jakie jest zalecenie dotyczące usługi Microsoft Defender Core?
Zdecydowanie zalecamy zachowanie ustawień domyślnych usługi Microsoft Defender Core uruchomionych i raportowania.
Jakiego magazynu danych i prywatności używa usługa Microsoft Defender Core?
Zapoznaj się z artykułem Microsoft Defender for Endpoint data storage and privacy (Przechowywanie danych i prywatność w usłudze Microsoft Defender dla punktu końcowego).
Czy mogę wymusić, że usługa Microsoft Defender Core pozostaje uruchomiona jako administrator?
Można go wymusić przy użyciu dowolnego z następujących narzędzi do zarządzania:
- Współzarządzanie programem Configuration Manager
- Zasady grupy
- PowerShell
- Rejestr
Użyj współzarządzania programu Configuration Manager (ConfigMgr, dawniej MEMCM/SCCM), aby zaktualizować zasady dla usługi Microsoft Defender Core
Program Microsoft Configuration Manager ma zintegrowaną możliwość uruchamiania skryptów programu PowerShell w celu zaktualizowania ustawień zasad programu antywirusowego Microsoft Defender na wszystkich komputerach w sieci.
- Otwórz konsolę programu Microsoft Configuration Manager.
- Wybierz pozycję Skrypty > biblioteki > oprogramowania Utwórz skrypt.
- Wprowadź nazwę skryptu, na przykład wymuszanie usługi Microsoft Defender Core i opis, na przykład Konfiguracja demonstracyjna, aby włączyć ustawienia usługi Microsoft Defender Core.
- Ustaw wartość Language na PowerShell, a w sekundach limit czasu na 180
- Wklej następujący przykład skryptu "Wymuszanie usługi Microsoft Defender Core", aby użyć go jako szablonu:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
Podczas dodawania nowego skryptu należy go wybrać i zatwierdzić. Stan zatwierdzenia zmienia się z Oczekiwanie na zatwierdzenie na Zatwierdzone. Po zatwierdzeniu kliknij prawym przyciskiem myszy pojedyncze urządzenie lub kolekcję urządzeń, a następnie wybierz pozycję Uruchom skrypt.
Na stronie skryptu kreatora Uruchamianie skryptu wybierz skrypt z listy (w naszym przykładzie wymuszanie usługi Microsoft Defender Core). Wyświetlane są tylko zatwierdzone skrypty. Wybierz pozycję Dalej i ukończ pracę kreatora.
Aktualizowanie zasad grupy dla usługi Microsoft Defender Core przy użyciu Edytora zasad grupy
Pobierz tutaj najnowsze szablony administracyjne zasad grupy usługi Microsoft Defender.
Skonfiguruj centralne repozytorium kontrolera domeny.
Uwaga
Skopiuj plik admx i oddzielnie plik adml do folderu En-US.
Start, GPMC.msc (np. Kontroler domeny lub ) lub GPEdit.msc
Przejdź do pozycji Konfiguracja komputera —>Szablony administracyjne —>Składniki systemu Windows —>Program antywirusowy Microsoft Defender
Włączanie integracji usługi Experimentation and Configuration Service (ECS) dla usługi Defender Core
- Nieskonfigurowane lub włączone (ustawienie domyślne): podstawowa usługa Microsoft Defender będzie używać usługi ECS do szybkiego dostarczania krytycznych poprawek specyficznych dla organizacji dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender.
- Wyłączone: podstawowa usługa Microsoft Defender przestanie używać usługi ECS do szybkiego dostarczania krytycznych poprawek specyficznych dla organizacji dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender. W przypadku wyników fałszywie dodatnich poprawki zostaną dostarczone za pośrednictwem "aktualizacji analizy zabezpieczeń", a w przypadku aktualizacji platformy i/lub aparatu poprawki będą dostarczane za pośrednictwem usługi Microsoft Update, katalogu microsoft update lub programu WSUS.
Włączanie telemetrii dla podstawowej usługi Defender
- Nieskonfigurowane lub włączone (ustawienie domyślne): usługa Microsoft Defender Core będzie zbierać dane telemetryczne z programu antywirusowego Microsoft Defender i innego oprogramowania Defender
- Wyłączone: usługa Microsoft Defender Core przestanie zbierać dane telemetryczne z programu antywirusowego Microsoft Defender i innego oprogramowania usługi Defender. Wyłączenie tego ustawienia może mieć wpływ na zdolność firmy Microsoft do szybkiego rozpoznawania i rozwiązywania problemów, takich jak niska wydajność i wyniki fałszywie dodatnie.
Za pomocą programu PowerShell zaktualizuj zasady dla usługi Microsoft Defender Core.
Przejdź do pozycji Start i uruchom program PowerShell jako administrator.
Set-MpPreferences -DisableCoreServiceECSIntegration
Użyj polecenia $true lub $false, gdzie$false
= włączone i$true
= wyłączone. Przykład:Set-MpPreferences -DisableCoreServiceECSIntegration $false
Set-MpPreferences -DisableCoreServiceTelemetry
Użyj polecenia $true lub $false, na przykład:Set-MpPreferences -DisableCoreServiceTelemetry $true
Użyj rejestru, aby zaktualizować zasady dla usługi Microsoft Defender Core.
Wybierz pozycję Start, a następnie otwórz Regedit.exe jako administrator.
Przejdź do
HKLM\Software\Policies\Microsoft\Windows Defender\Features
Ustaw wartości:
DisableCoreService1DSTelemetry
(dword) 0 (szesnastkowa)
0
= Nie skonfigurowano, włączono (ustawienie domyślne)
1
= WyłączoneDisableCoreServiceECSIntegration
(dword) 0 (szesnastkowa)
0
= Nie skonfigurowano, włączono (ustawienie domyślne)
1
= Wyłączone
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla