Обзор основной службы Microsoft Defender
Основная служба Microsoft Defender
Чтобы улучшить безопасность конечной точки, корпорация Майкрософт выпускает службу Microsoft Defender Core, чтобы обеспечить стабильность и производительность антивирусной программы в Microsoft Defender.
Предварительные условия
Служба Microsoft Defender Core выпускается с антивирусной платформой Microsoft Defender версии 4.18.23110.2009.
Развертывание планируется начать следующим образом:
- Ноябрь 2023 г. для предварительного выпуска клиентов.
- Середина апреля 2024 г. для корпоративных клиентов, работающих под управлением клиентов Windows.
- Начиная с июля 2024 г. для государственных организаций США, работающих под управлением клиентов Windows.
Если вы используете упрощенный интерфейс подключения устройства в Microsoft Defender для конечной точки, добавлять другие URL-адреса не нужно.
Если вы используете стандартный интерфейс подключения к устройству в Microsoft Defender для конечной точки:
Корпоративные клиенты должны разрешить следующие URL-адреса:
*.endpoint.security.microsoft.comecs.office.com/config/v1/MicrosoftWindowsDefenderClient*.events.data.microsoft.com
Если вы не хотите использовать подстановочные знаки для
*.events.data.microsoft.com, можно использовать:us-mobile.events.data.microsoft.com/OneCollector/1.0eu-mobile.events.data.microsoft.com/OneCollector/1.0uk-mobile.events.data.microsoft.com/OneCollector/1.0au-mobile.events.data.microsoft.com/OneCollector/1.0mobile.events.data.microsoft.com/OneCollector/1.0
Корпоративные клиенты для государственных организаций США должны разрешить следующие URL-адреса:
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Если вы используете элемент управления приложениями для Windows или используете антивирусную программу сторонних разработчиков или программное обеспечение для обнаружения и реагирования конечных точек, обязательно добавьте описанные ранее процессы в список разрешений.
Потребителям не нужно предпринимать никаких действий для подготовки.
Процессы и службы антивирусной программы в Microsoft Defender
В следующей таблице приведена сводка, в которой можно просмотреть процессы и службы антивирусной программы Microsoft Defender (MdCoreSvc) с помощью диспетчера задач на устройствах Windows.
| Процесс или служба | Где просмотреть его состояние |
|---|---|
Antimalware Core Service |
Вкладка "Процессы" |
MpDefenderCoreService.exe |
Вкладка "Сведения " |
Microsoft Defender Core Service |
Вкладка "Службы" |
Дополнительные сведения о конфигурациях и экспериментах службы Microsoft Defender Core (ECS) см. в статье Конфигурации и эксперименты службы Microsoft Defender Core.
Часто задаваемые вопросы(часто задаваемые вопросы):
Какова рекомендация для основной службы Microsoft Defender?
Настоятельно рекомендуется сохранить параметры по умолчанию для основной службы Microsoft Defender и создания отчетов.
Какого хранилища и конфиденциальности данных придерживается служба Microsoft Defender Core?
Ознакомьтесь с разделом Хранение и конфиденциальность данных в Microsoft Defender для конечной точки.
Можно ли принудительно использовать службу Microsoft Defender Core от имени администратора?
Его можно применить с помощью любого из следующих средств управления:
- Совместное управление Configuration Manager
- Групповая политика
- PowerShell
- Реестр
Использование совместного управления Configuration Manager (ConfigMgr, ранее MEMCM/SCCM) для обновления политики для основной службы Microsoft Defender
Microsoft Configuration Manager имеет встроенную возможность запуска сценариев PowerShell для обновления параметров политики антивирусной программы в Microsoft Defender на всех компьютерах в сети.
- Откройте консоль Microsoft Configuration Manager.
- Выберите Скрипты библиотеки >> программного обеспечения Создать скрипт.
- Введите имя скрипта, например принудительное применение службы Microsoft Defender Core и Описание, например демонстрационную конфигурацию, чтобы включить параметры службы Microsoft Defender Core.
- Задайте для языка значение PowerShell, а время ожидания — 180 секунд.
- Вставьте следующий пример скрипта "Принудительное применение службы Microsoft Defender Core", чтобы использовать в качестве шаблона:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
При добавлении нового скрипта необходимо выбрать и утвердить его. Состояние утверждения изменится с Ожидание утверждения на Утверждено. После утверждения щелкните правой кнопкой мыши одно устройство или коллекцию устройств и выберите Команду Запустить скрипт.
На странице скриптов мастера запуска скриптов выберите скрипт из списка (в нашем примере принудительное применение службы Microsoft Defender Core). Отображаются только утвержденные скрипты. Нажмите Далее и завершите работу мастера.
Использование редактора групповой политики для обновления групповой политики для основной службы Microsoft Defender
Скачайте последние административные шаблоны групповой политики в Microsoft Defender здесь.
Настройте центральный репозиторий контроллера домена.
Примечание.
Скопируйте ADMX-файл и отдельно ADML-файл в папку En-US.
Start, GPMC.msc (например, контроллер домена или ) или GPEdit.msc
Перейдите в раздел Конфигурация компьютера ->Административные шаблоны ->Компоненты Windows ->Антивирусная программа Microsoft Defender
Включение интеграции службы экспериментирования и конфигурации (ECS) для основной службы Defender
- Не настроено или не включено (по умолчанию): основная служба Microsoft Defender будет использовать ECS для быстрой доставки критически важных исправлений для конкретной организации для антивирусной программы Microsoft Defender и другого программного обеспечения Defender.
- Отключено: основная служба Microsoft Defender перестанет использовать ECS для быстрой доставки критически важных исправлений для конкретной организации для антивирусной программы Microsoft Defender и другого программного обеспечения Defender. Для ложноположительных срабатываний исправления будут доставляться через "Обновления аналитики безопасности", а для обновлений платформы и (или) обработчика исправления будут доставляться через Центр обновления Майкрософт, каталог Центра обновления Майкрософт или WSUS.
Включение телеметрии для основной службы Defender
- Не настроено или не включено (по умолчанию): служба Microsoft Defender Core будет собирать данные телеметрии из антивирусной программы Microsoft Defender и другого программного обеспечения Defender.
- Отключено: служба Microsoft Defender Core перестанет собирать данные телеметрии из антивирусной программы Microsoft Defender и другого программного обеспечения Defender. Отключение этого параметра может повлиять на способность корпорации Майкрософт быстро распознавать и устранять проблемы, такие как низкая производительность и ложноположительные результаты.
Используйте PowerShell для обновления политик для основной службы Microsoft Defender.
Перейдите в меню Пуск и запустите PowerShell от имени администратора.
Set-MpPreferences -DisableCoreServiceECSIntegrationИспользуйте команду $true или $false, где$false= включено и$true= отключено. Например:Set-MpPreferences -DisableCoreServiceECSIntegration $falseSet-MpPreferences -DisableCoreServiceTelemetryИспользуйте команду $true или $false, например:Set-MpPreferences -DisableCoreServiceTelemetry $true
Используйте реестр для обновления политик для основной службы Microsoft Defender.
Нажмите кнопку Пуск, а затем откройте Regedit.exe от имени администратора.
Перейдите по ссылке
HKLM\Software\Policies\Microsoft\Windows Defender\Features.Задайте значения:
DisableCoreService1DSTelemetry(dword) 0 (шестнадцатеричный)
0= Не настроено, включено (по умолчанию)
1= ОтключеноDisableCoreServiceECSIntegration(dword) 0 (шестнадцатеричный)
0= Не настроено, включено (по умолчанию)
1= Отключено