Dela via


översikt över Microsoft Defender Core-tjänsten

Microsoft Defender Core-tjänsten

För att förbättra din slutpunktssäkerhetsupplevelse släpper Microsoft Microsoft Defender Core-tjänsten för att hjälpa till med stabilitet och prestanda för Microsoft Defender Antivirus.

Förutsättningar

  1. Tjänsten Microsoft Defender Core släpps med Microsoft Defender Antivirus-plattformen version 4.18.23110.2009.

  2. Distributionen börjar:

    • November 2023 för att förhandsrelease kunder.
    • Mitten av april 2024 för Enterprise-kunder som kör Windows-klienter.
    • Mitten av juni 2024 till amerikanska myndighetskunder som kör Windows-klienter.
  3. Om du använder Microsoft Defender för Endpoint strömlinjeformad enhetsanslutningsupplevelse behöver du inte lägga till några andra URL:er.

  4. Om du använder Microsoft Defender för Endpoint standardanslutningsupplevelse för enheter:

    Företagskunder bör tillåta följande URL:er:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Om du inte vill använda jokertecken för *.events.data.microsoft.comkan du använda:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Enterprise U.S. Government-kunder bör tillåta följande URL:er:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  5. Om du använder Programkontroll för Windows, eller om du kör antivirusprogram eller program för slutpunktsidentifiering och svar som inte kommer från Microsoft, måste du lägga till de processer som nämnts tidigare i listan över tillåtna.

  6. Konsumenter behöver inte vidta några åtgärder för att förbereda sig.

Microsoft Defender antivirusprocesser och -tjänster

I följande tabell sammanfattas var du kan visa Microsoft Defender Antivirus-processer och -tjänster (MdCoreSvc) med Hjälp av Aktivitetshanteraren på Windows-enheter.

Process eller tjänst Var du kan visa dess status
Antimalware Core Service Fliken Processer
MpDefenderCoreService.exe Fliken Information
Microsoft Defender Core Service Fliken Tjänster

Mer information om Microsoft Defender Core-tjänstkonfigurationer och experimentering (ECS) finns i Microsoft Defender Core-tjänstkonfigurationer och experimentering.

Vanliga frågor och svar:

Vad är rekommendationen för Microsoft Defender Core-tjänsten?

Vi rekommenderar starkt att standardinställningarna för Microsoft Defender Core-tjänsten körs och rapporteras.

Vilken datalagring och sekretess följer Microsoft Defender Core-tjänsten?

Granska Microsoft Defender för Endpoint datalagring och sekretess.

Kan jag framtvinga att Microsoft Defender Core-tjänsten fortsätter att köras som administratör?

Du kan framtvinga det med något av följande hanteringsverktyg:

  • Configuration Manager samhantering
  • Grupprincip
  • PowerShell
  • Registret

Använd Configuration Manager samhantering (ConfigMgr, tidigare MEMCM/SCCM) för att uppdatera principen för Microsoft Defender Core-tjänsten

Microsoft Configuration Manager har en integrerad möjlighet att köra PowerShell-skript för att uppdatera Microsoft Defender Antivirus-principinställningar på alla datorer i nätverket.

  1. Öppna Microsoft Configuration Manager-konsolen.
  2. Välj Programbiblioteksskript >> Skapa Skript.
  3. Ange skriptnamnet, till exempel Microsoft Defender Core-tjänstframtvingande och Beskrivning, till exempel Demokonfiguration för att aktivera Microsoft Defender Core-tjänstinställningar.
  4. Ange Språket till PowerShell och tidsgränsens sekunder till 180
  5. Klistra in följande skriptexempel "Microsoft Defender Core Service Enforcement" som ska användas som mall:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

När du lägger till ett nytt skript måste du välja och godkänna det. Godkännandetillståndet ändras från Väntar på godkännande till Godkänd. När du har godkänt det högerklickar du på en enskild enhet eller enhetssamling och väljer Kör skript.

På skriptsidan i guiden Kör skript väljer du ditt skript i listan (Microsoft Defender Core-tjänstframtvingande i vårt exempel). Endast godkända skript visas. Välj Nästa och slutför guiden.

Använd grupprincip Editor för att uppdatera grupprincip för Microsoft Defender Core-tjänsten

  1. Ladda ned de senaste Microsoft Defender grupprincip administrativa mallarna härifrån.

  2. Konfigurera den centrala lagringsplatsen för domänkontrollanten.

    Obs!

    Kopiera .admx och separat .adml till mappen En-US.

  3. Start, GPMC.msc (t.ex. domänkontrollant eller ) eller GPEdit.msc

  4. Gå till Datorkonfiguration –>Administrativa mallarWindows-komponenter> –>Microsoft Defender Antivirus

  5. Aktivera experimenterings- och konfigurationstjänstintegrering (ECS) för Defender Core-tjänsten

    • Inte konfigurerad eller aktiverad (standard): Microsoft Defender kärntjänst använder ECS för att snabbt leverera kritiska, organisationsspecifika korrigeringar för Microsoft Defender Antivirus och annan Defender-programvara.
    • Inaktiverad: den Microsoft Defender kärntjänsten slutar använda ECS för att snabbt leverera kritiska, organisationsspecifika korrigeringar för Microsoft Defender Antivirus och annan Defender-programvara. För falska positiva identifieringar levereras korrigeringar via "Security Intelligence-uppdateringar", och för uppdateringar av plattform och/eller motor levereras korrigeringar via Microsoft Update, Microsoft Update Catalog eller WSUS.
  6. Aktivera telemetri för Defender Core-tjänsten

    • Inte konfigurerad eller aktiverad (standard): Microsoft Defender Core-tjänsten samlar in telemetri från Microsoft Defender Antivirus och annan Defender-programvara
    • Inaktiverad: Microsoft Defender Core-tjänsten slutar samla in telemetri från Microsoft Defender Antivirus och annan Defender-programvara. Om du inaktiverar den här inställningen kan det påverka Microsofts förmåga att snabbt identifiera och åtgärda problem, till exempel långsamma prestanda och falska positiva identifieringar.

Använd PowerShell för att uppdatera principerna för Microsoft Defender Core-tjänsten.

  1. Gå till Start och kör PowerShell som administratör.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration Använd kommandot $true eller $false, där $false = aktiverad och $true = inaktiverad. Till exempel:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false 
    
  3. Set-MpPreferences -DisableCoreServiceTelemetry Använd kommandot $true eller $false, till exempel:

    Set-MpPreferences -DisableCoreServiceTelemetry $true
    

Använd registret för att uppdatera principerna för Microsoft Defender Core-tjänsten.

  1. Välj Start och öppna sedan Regedit.exe som administratör.

  2. Gå till HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. Ange värdena:

    DisableCoreService1DSTelemetry (dword) 0 (hex)
    0 = Inte konfigurerad, aktiverad (standard)
    1 = Inaktiverad

    DisableCoreServiceECSIntegration (dword) 0 (hex)
    0 = Inte konfigurerad, aktiverad (standard)
    1 = Inaktiverad