Omówienie usługi Microsoft Defender Core

Artykuł
05/03/2024

usługa Microsoft Defender Core

Aby ulepszyć środowisko zabezpieczeń punktu końcowego, firma Microsoft udostępnia usługę Microsoft Defender Core, aby ułatwić stabilność i wydajność programu antywirusowego Microsoft Defender.

Wymagania wstępne

Usługa Microsoft Defender Core jest udostępniana z platformą antywirusową Microsoft Defender w wersji 4.18.23110.2009.
Wdrażanie rozpoczyna się od:
- od listopada 2023 r. do klientów wstępnych.
- Od połowy kwietnia 2024 r. do klientów korporacyjnych z uruchomionymi klientami systemu Windows.
- Od połowy czerwca 2024 r. do klientów rządowych STANÓW Zjednoczonych z uruchomionymi klientami systemu Windows.
Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender usprawnione środowisko łączności urządzeń, nie musisz dodawać żadnych innych adresów URL.
Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender standardowego środowiska łączności urządzenia:

Klienci korporacyjni powinni zezwalać na następujące adresy URL:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Jeśli nie chcesz używać symboli wieloznacznych dla *.events.data.microsoft.comprogramu , możesz użyć następujących elementów:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Klienci korporacyjni dla instytucji rządowych USA powinni zezwalać na następujące adresy URL:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Jeśli używasz kontroli aplikacji dla systemu Windows lub korzystasz z oprogramowania antywirusowego lub oprogramowania do wykrywania i reagowania punktów końcowych innych niż Microsoft, pamiętaj o dodaniu procesów wymienionych wcześniej do listy dozwolonych.
Konsumenci nie muszą podejmować żadnych działań w celu przygotowania.

Microsoft Defender procesy i usługi antywirusowe

Poniższa tabela zawiera podsumowanie, gdzie można wyświetlać Microsoft Defender procesy i usługi antywirusowe (MdCoreSvc) przy użyciu Menedżera zadań na urządzeniach z systemem Windows.

Proces lub usługa	Gdzie wyświetlić jego stan
`Antimalware Core Service`	Karta Procesy
`MpDefenderCoreService.exe`	Karta Szczegóły
`Microsoft Defender Core Service`	Karta Usługi

Aby dowiedzieć się więcej na temat konfiguracji usługi Microsoft Defender Core i eksperymentowania (ECS), zobacz konfiguracje usług Microsoft Defender Core i eksperymenty.

Często zadawane pytania:

Jakie jest zalecenie dotyczące usługi Microsoft Defender Core?

Zdecydowanie zalecamy zachowanie ustawień domyślnych usługi Microsoft Defender Core w celu uruchamiania i raportowania.

Jakiego magazynu danych i prywatności używa usługa Microsoft Defender Core?

Przejrzyj Ochrona punktu końcowego w usłudze Microsoft Defender magazyn danych i prywatność.

Czy mogę wymusić, że usługa Microsoft Defender Core pozostaje uruchomiona jako administrator?

Można go wymusić przy użyciu dowolnego z następujących narzędzi do zarządzania:

współzarządzanie Configuration Manager
Zasady grupy
PowerShell
Rejestr

Użyj Configuration Manager współzarządzania (ConfigMgr, dawniej MEMCM/SCCM), aby zaktualizować zasady dla usługi Microsoft Defender Core

Firma Microsoft Configuration Manager ma zintegrowaną możliwość uruchamiania skryptów programu PowerShell w celu aktualizowania ustawień zasad programu antywirusowego Microsoft Defender na wszystkich komputerach w sieci.

Otwórz konsolę Microsoft Configuration Manager.
Wybierz pozycję Skrypty > biblioteki > oprogramowania Twórca Skrypt.
Wprowadź nazwę skryptu, na przykład Microsoft Defender Wymuszanie usługi Core i Opis, na przykład Konfiguracja demonstracyjna, aby włączyć ustawienia usługi Microsoft Defender Core.
Ustaw wartość Language na PowerShell, a w sekundach limit czasu na 180
Wklej następujący przykład skryptu "Microsoft Defender Core service enforcement", aby użyć go jako szablonu:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Podczas dodawania nowego skryptu należy go wybrać i zatwierdzić. Stan zatwierdzenia zmienia się z Oczekiwanie na zatwierdzenie na Zatwierdzone. Po zatwierdzeniu kliknij prawym przyciskiem myszy pojedyncze urządzenie lub kolekcję urządzeń, a następnie wybierz pozycję Uruchom skrypt.

Na stronie skryptu kreatora Uruchamianie skryptu wybierz skrypt z listy (w naszym przykładzie Microsoft Defender Wymuszanie usługi Core). Wyświetlane są tylko zatwierdzone skrypty. Wybierz pozycję Dalej i ukończ pracę kreatora.

Aktualizowanie zasady grupy dla usługi Microsoft Defender Core przy użyciu zasady grupy Redaktor

Pobierz najnowsze szablony administracyjne Microsoft Defender zasady grupy tutaj.
Skonfiguruj centralne repozytorium kontrolera domeny.

Uwaga

Skopiuj plik admx i oddzielnie plik adml do folderu En-US.
Start, GPMC.msc (np. Kontroler domeny lub ) lub GPEdit.msc
Przejdź do pozycji Konfiguracja komputera —>Szablony administracyjne —>Składniki systemu Windows —>Microsoft Defender antywirusowe
Włączanie integracji usługi Experimentation and Configuration Service (ECS) dla usługi Defender Core
- Nieskonfigurowane lub włączone (ustawienie domyślne): usługa Microsoft Defender Core będzie używać usługi ECS do szybkiego dostarczania krytycznych poprawek specyficznych dla organizacji dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender.
- Wyłączone: podstawowa usługa Microsoft Defender przestanie używać usługi ECS do szybkiego dostarczania krytycznych poprawek specyficznych dla organizacji dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender. W przypadku wyników fałszywie dodatnich poprawki zostaną dostarczone za pośrednictwem "aktualizacji analizy zabezpieczeń", a w przypadku aktualizacji platformy i/lub aparatu poprawki będą dostarczane za pośrednictwem usługi Microsoft Update, katalogu microsoft update lub programu WSUS.
Włączanie telemetrii dla podstawowej usługi Defender
- Nieskonfigurowane lub włączone (ustawienie domyślne): usługa Microsoft Defender Core będzie zbierać dane telemetryczne z programu antywirusowego Microsoft Defender i innego oprogramowania Defender
- Wyłączone: usługa Microsoft Defender Core przestanie zbierać dane telemetryczne z programu antywirusowego Microsoft Defender i innego oprogramowania defender. Wyłączenie tego ustawienia może mieć wpływ na zdolność firmy Microsoft do szybkiego rozpoznawania i rozwiązywania problemów, takich jak niska wydajność i wyniki fałszywie dodatnie.

Za pomocą programu PowerShell zaktualizuj zasady dla usługi Microsoft Defender Core.

Przejdź do pozycji Start i uruchom program PowerShell jako administrator.
Set-MpPreferences -DisableCoreServiceECSIntegration Użyj polecenia $true lub $false, gdzie $false = włączone i $true = wyłączone. Przykład:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Set-MpPreferences -DisableCoreServiceTelemetry Użyj polecenia $true lub $false, na przykład:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Użyj rejestru, aby zaktualizować zasady dla usługi Microsoft Defender Core.

Wybierz pozycję Start, a następnie otwórz Regedit.exe jako administrator.
Przejdź do HKLM\Software\Policies\Microsoft\Windows Defender\Features
Ustaw wartości:

DisableCoreService1DSTelemetry (dword) 0 (szesnastkowa)
0 = Nie skonfigurowano, włączono (ustawienie domyślne)
1 = Wyłączone

DisableCoreServiceECSIntegration (dword) 0 (szesnastkowa)
0 = Nie skonfigurowano, włączono (ustawienie domyślne)
1 = Wyłączone

Share via