Descrição geral do serviço Microsoft Defender Core

Artigo
06/22/2024

Serviço Microsoft Defender Core

Para melhorar a sua experiência de segurança de ponto final, a Microsoft está a lançar o serviço Microsoft Defender Core para ajudar na estabilidade e no desempenho do Antivírus do Microsoft Defender.

Pré-requisitos

O serviço Microsoft Defender Core está a ser lançado com a versão 4.18.23110.2009 da plataforma antivírus do Microsoft Defender.
A implementação está planeada para começar da seguinte forma:
- Novembro de 2023 para pré-lançamento de clientes.
- Meados de abril de 2024 para clientes Enterprise com clientes Windows.
- A partir de julho de 2024, para clientes do Governo dos E.U.A. com clientes Windows.
Se estiver a utilizar a experiência de conectividade do dispositivo simplificada do Microsoft Defender para Endpoint, não precisa de adicionar outros URLs.
Se estiver a utilizar a experiência de conectividade de dispositivo padrão do Microsoft Defender para Endpoint:

Os clientes empresariais devem permitir os seguintes URLs:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Se não quiser utilizar os carateres universais para *.events.data.microsoft.com, pode utilizar:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Os clientes do Enterprise U.S. Government devem permitir os seguintes URLs:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Se estiver a utilizar o Controlo de Aplicações para Windows ou estiver a executar software antivírus ou de deteção e resposta de pontos finais não Microsoft, certifique-se de que adiciona os processos mencionados anteriormente à lista de permissões.
Os consumidores não precisam de tomar medidas para se prepararem.

Processos e serviços do Antivírus do Microsoft Defender

A tabela seguinte resume onde pode ver os processos e serviços do Antivírus do Microsoft Defender (MdCoreSvc) através do Gestor de Tarefas em dispositivos Windows.

Processo ou serviço	Onde ver o respetivo estado
`Antimalware Core Service`	Separador Processos
`MpDefenderCoreService.exe`	Separador Detalhes
`Microsoft Defender Core Service`	Separador Serviços

Para saber mais sobre as configurações e experimentação do serviço Microsoft Defender Core (ECS), veja Configurações e experimentação do serviço Microsoft Defender Core.

Perguntas Mais Frequentes (FAQ):

Qual é a recomendação para o serviço Microsoft Defender Core?

Recomendamos vivamente que mantenha as predefinições do serviço Microsoft Defender Core em execução e relatórios.

A que armazenamento de dados e privacidade o serviço Microsoft Defender Core cumpre?

Reveja o armazenamento de dados e a privacidade do Microsoft Defender para Endpoint.

Posso impor que o serviço Microsoft Defender Core permaneça em execução como Administrador?

Pode aplicá-la com qualquer uma destas ferramentas de gestão:

Cogestão do Configuration Manager
Política de Grupo
Windows PowerShell
Registro

Utilize a cogestão do Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM) para atualizar a política do serviço Microsoft Defender Core

O Microsoft Configuration Manager tem uma capacidade integrada de executar scripts do PowerShell para atualizar as definições de política do Antivírus do Microsoft Defender em todos os computadores na sua rede.

Abra a consola do Microsoft Configuration Manager.
Selecione Scripts de Biblioteca > de > Software Criar Script.
Introduza o Nome do script, por exemplo, imposição do serviço Microsoft Defender Core e Descrição, por exemplo, Configuração de demonstração para ativar as definições de serviço do Microsoft Defender Core.
Defina o Idioma para o PowerShell e os segundos de Tempo Limite para 180
Cole o seguinte exemplo de script "Imposição de serviço do Microsoft Defender Core" para utilizar como modelo:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Ao adicionar um novo script, tem de selecioná-lo e aprová-lo. O estado de aprovação muda de A aguardar aprovação paraAprovado. Depois de aprovado, clique com o botão direito do rato numa única coleção de dispositivos ou dispositivos e selecione Executar script.

Na página script do assistente Executar Script, selecione o script na lista (imposição do serviço Microsoft Defender Core no nosso exemplo). Só são apresentados scripts aprovados. Selecione Próximo e conclua o assistente.

Utilizar o Editor de Políticas de Grupo para atualizar a Política de Grupo para o serviço Microsoft Defender Core

Transfira os Modelos Administrativos da Política de Grupo do Microsoft Defender mais recentes a partir daqui.
Configure o Repositório Central do Controlador de Domínio.

Observação

Copie o .admx e, separadamente, o .adml para a pasta En-US.
Iniciar, GPMC.msc (por exemplo, Controlador de Domínio ou ) ou GPEdit.msc
Aceda a Configuração do Computador ->Modelos Administrativos ->Componentes do Windows ->Antivírus do Microsoft Defender
Ativar a integração do Serviço de Experimentação e Configuração (ECS) para o serviço de núcleo do Defender
- Não configurado ou ativado (predefinição): o serviço principal do Microsoft Defender utilizará o ECS para fornecer rapidamente correções críticas e específicas da organização para o Antivírus do Microsoft Defender e outro software defender.
- Desativado: o serviço principal do Microsoft Defender deixará de utilizar o ECS para fornecer rapidamente correções críticas e específicas da organização para o Antivírus do Microsoft Defender e outro software defender. Para falsos positivos, as correções serão fornecidas através de "Atualizações de Informações de Segurança" e, para atualizações da Plataforma e/ou do Motor, as correções serão fornecidas através do Microsoft Update, Catálogo Microsoft Update ou WSUS.
Ativar a telemetria para o serviço Defender Core
- Não configurado ou ativado (predefinição): o serviço Microsoft Defender Core recolherá telemetria do Antivírus do Microsoft Defender e de outro software defender
- Desativado: o serviço Microsoft Defender Core deixará de recolher telemetria do Antivírus do Microsoft Defender e de outro software defender. Desativar esta definição pode afetar a capacidade da Microsoft de reconhecer e resolver rapidamente problemas, como desempenho lento e falsos positivos.

Utilize o PowerShell para atualizar as políticas do serviço Microsoft Defender Core.

Aceda a Iniciar e execute o PowerShell como administrador.
Utilize o Set-MpPreferences -DisableCoreServiceECSIntegration comando $true ou $false, em que $false = ativado e $true = desativado. Por exemplo:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Utilize o Set-MpPreferences -DisableCoreServiceTelemetry comando $true ou $false, por exemplo:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Utilize o Registo para atualizar as políticas do serviço Microsoft Defender Core.

Selecione Iniciar e, em seguida, abra Regedit.exe como administrador.
Acesse HKLM\Software\Policies\Microsoft\Windows Defender\Features
Defina os valores:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Não configurado, ativado (predefinição)
1 = Desativado

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Não configurado, ativado (predefinição)
1 = Desativado

Compartilhar via