Udostępnij za pośrednictwem

Omówienie usługi Microsoft Defender Core

  • Artykuł

Usługa Microsoft Defender Core

Aby ulepszyć środowisko zabezpieczeń punktu końcowego, firma Microsoft udostępnia usługę Microsoft Defender Core, aby pomóc w stabilności i wydajności programu antywirusowego Microsoft Defender.

Wymagania wstępne

  1. Usługa Microsoft Defender Core jest udostępniana z platformą antywirusową Microsoft Defender w wersji 4.18.23110.2009.

  2. Wdrożenie ma się rozpocząć w następujący sposób:

    • od listopada 2023 r. do klientów wstępnych.
    • Od połowy kwietnia 2024 r. do klientów korporacyjnych z uruchomionymi klientami systemu Windows.
    • Od lipca 2024 r. do klientów rządowych STANÓW Zjednoczonych z uruchomionymi klientami systemu Windows.

  3. Jeśli korzystasz z usprawnionego środowiska łączności urządzeń w usłudze Microsoft Defender for Endpoint, nie musisz dodawać żadnych innych adresów URL.

  4. Jeśli używasz usługi Microsoft Defender for Endpoint standard środowiska łączności urządzenia:

    Klienci korporacyjni powinni zezwalać na następujące adresy URL:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Jeśli nie chcesz używać symboli wieloznacznych dla *.events.data.microsoft.comprogramu , możesz użyć następujących elementów:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Klienci korporacyjni dla instytucji rządowych USA powinni zezwalać na następujące adresy URL:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Jeśli używasz kontroli aplikacji dla systemu Windows lub korzystasz z oprogramowania antywirusowego lub oprogramowania do wykrywania i reagowania punktów końcowych innych niż Microsoft, pamiętaj o dodaniu procesów wymienionych wcześniej do listy dozwolonych.

  6. Konsumenci nie muszą podejmować żadnych działań w celu przygotowania.

Procesy i usługi programu antywirusowego Microsoft Defender

Poniższa tabela zawiera podsumowanie sytuacji, w których można wyświetlać procesy i usługi programu antywirusowego Microsoft Defender (MdCoreSvc) przy użyciu Menedżera zadań na urządzeniach z systemem Windows.

Proces lub usługa Gdzie wyświetlić jego stan
Antimalware Core Service Karta Procesy
MpDefenderCoreService.exe Karta Szczegóły
Microsoft Defender Core Service Karta Usługi

Aby dowiedzieć się więcej na temat konfiguracji usługi Microsoft Defender Core i eksperymentowania (ECS), zobacz Konfiguracje usługi Microsoft Defender Core i eksperymenty.

Często zadawane pytania:

Jakie jest zalecenie dotyczące usługi Microsoft Defender Core?

Zdecydowanie zalecamy zachowanie ustawień domyślnych usługi Microsoft Defender Core uruchomionych i raportowania.

Jakiego magazynu danych i prywatności używa usługa Microsoft Defender Core?

Zapoznaj się z artykułem Microsoft Defender for Endpoint data storage and privacy (Przechowywanie danych i prywatność w usłudze Microsoft Defender dla punktu końcowego).

Czy mogę wymusić, że usługa Microsoft Defender Core pozostaje uruchomiona jako administrator?

Można go wymusić przy użyciu dowolnego z następujących narzędzi do zarządzania:

  • Współzarządzanie programem Configuration Manager
  • Zasady grupy
  • PowerShell
  • Rejestr

Użyj współzarządzania programu Configuration Manager (ConfigMgr, dawniej MEMCM/SCCM), aby zaktualizować zasady dla usługi Microsoft Defender Core

Program Microsoft Configuration Manager ma zintegrowaną możliwość uruchamiania skryptów programu PowerShell w celu zaktualizowania ustawień zasad programu antywirusowego Microsoft Defender na wszystkich komputerach w sieci.

  1. Otwórz konsolę programu Microsoft Configuration Manager.
  2. Wybierz pozycję Skrypty > biblioteki > oprogramowania Utwórz skrypt.
  3. Wprowadź nazwę skryptu, na przykład wymuszanie usługi Microsoft Defender Core i opis, na przykład Konfiguracja demonstracyjna, aby włączyć ustawienia usługi Microsoft Defender Core.
  4. Ustaw wartość Language na PowerShell, a w sekundach limit czasu na 180
  5. Wklej następujący przykład skryptu "Wymuszanie usługi Microsoft Defender Core", aby użyć go jako szablonu:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Podczas dodawania nowego skryptu należy go wybrać i zatwierdzić. Stan zatwierdzenia zmienia się z Oczekiwanie na zatwierdzenie na Zatwierdzone. Po zatwierdzeniu kliknij prawym przyciskiem myszy pojedyncze urządzenie lub kolekcję urządzeń, a następnie wybierz pozycję Uruchom skrypt.

Na stronie skryptu kreatora Uruchamianie skryptu wybierz skrypt z listy (w naszym przykładzie wymuszanie usługi Microsoft Defender Core). Wyświetlane są tylko zatwierdzone skrypty. Wybierz pozycję Dalej i ukończ pracę kreatora.

Aktualizowanie zasad grupy dla usługi Microsoft Defender Core przy użyciu Edytora zasad grupy

  1. Pobierz tutaj najnowsze szablony administracyjne zasad grupy usługi Microsoft Defender.

  2. Skonfiguruj centralne repozytorium kontrolera domeny.

    Uwaga

    Skopiuj plik admx i oddzielnie plik adml do folderu En-US.

  3. Start, GPMC.msc (np. Kontroler domeny lub ) lub GPEdit.msc

  4. Przejdź do pozycji Konfiguracja komputera —>Szablony administracyjne —>Składniki systemu Windows —>Program antywirusowy Microsoft Defender

  5. Włączanie integracji usługi Experimentation and Configuration Service (ECS) dla usługi Defender Core

    • Nieskonfigurowane lub włączone (ustawienie domyślne): podstawowa usługa Microsoft Defender będzie używać usługi ECS do szybkiego dostarczania krytycznych poprawek specyficznych dla organizacji dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender.
    • Wyłączone: podstawowa usługa Microsoft Defender przestanie używać usługi ECS do szybkiego dostarczania krytycznych poprawek specyficznych dla organizacji dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender. W przypadku wyników fałszywie dodatnich poprawki zostaną dostarczone za pośrednictwem "aktualizacji analizy zabezpieczeń", a w przypadku aktualizacji platformy i/lub aparatu poprawki będą dostarczane za pośrednictwem usługi Microsoft Update, katalogu microsoft update lub programu WSUS.

  6. Włączanie telemetrii dla podstawowej usługi Defender

    • Nieskonfigurowane lub włączone (ustawienie domyślne): usługa Microsoft Defender Core będzie zbierać dane telemetryczne z programu antywirusowego Microsoft Defender i innego oprogramowania Defender
    • Wyłączone: usługa Microsoft Defender Core przestanie zbierać dane telemetryczne z programu antywirusowego Microsoft Defender i innego oprogramowania usługi Defender. Wyłączenie tego ustawienia może mieć wpływ na zdolność firmy Microsoft do szybkiego rozpoznawania i rozwiązywania problemów, takich jak niska wydajność i wyniki fałszywie dodatnie.

Za pomocą programu PowerShell zaktualizuj zasady dla usługi Microsoft Defender Core.

  1. Przejdź do pozycji Start i uruchom program PowerShell jako administrator.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration Użyj polecenia $true lub $false, gdzie $false = włączone i $true = wyłączone. Przykład:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Set-MpPreferences -DisableCoreServiceTelemetry Użyj polecenia $true lub $false, na przykład:

    Set-MpPreferences -DisableCoreServiceTelemetry $true

Użyj rejestru, aby zaktualizować zasady dla usługi Microsoft Defender Core.

  1. Wybierz pozycję Start, a następnie otwórz Regedit.exe jako administrator.

  2. Przejdź do HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. Ustaw wartości:

    DisableCoreService1DSTelemetry (dword) 0 (szesnastkowa)
    0 = Nie skonfigurowano, włączono (ustawienie domyślne)
    1 = Wyłączone

    DisableCoreServiceECSIntegration (dword) 0 (szesnastkowa)
    0 = Nie skonfigurowano, włączono (ustawienie domyślne)
    1 = Wyłączone