Microsoft Defender Core hizmetine genel bakış

  • Makale

Microsoft Defender Core hizmeti

Microsoft, uç nokta güvenlik deneyiminizi geliştirmek için Microsoft Defender Virüsten Koruma'nın kararlılığı ve performansına yardımcı olmak için Microsoft Defender Core hizmetini yayınlar.

Önkoşullar

  1. Microsoft Defender Core hizmeti, Microsoft Defender Virüsten Koruma platformu sürüm 4.18.23110.2009 ile yayınlanır.

  2. Dağıtım şu şekilde başlar:

    • Kasım 2023'e kadar müşterileri önceden yayınlar.
    • Windows istemcilerini çalıştıran Kurumsal müşterilere Nisan 2024 ortası.
    • Haziran 2024 ortalarında, Windows istemcilerini çalıştıran ABD Kamu müşterilerine.

  3. Uç Nokta için Microsoft Defender kolaylaştırılmış cihaz bağlantı deneyimini kullanıyorsanız, başka URL eklemeniz gerekmez.

  4. Uç Nokta için Microsoft Defender standart cihaz bağlantı deneyimini kullanıyorsanız:

    Kurumsal müşteriler aşağıdaki URL'lere izin vermelidir:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    joker *.events.data.microsoft.comkarakterlerini kullanmak istemiyorsanız şunları kullanabilirsiniz:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Kurumsal ABD Kamu müşterileri aşağıdaki URL'lere izin vermelidir:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Windows için Uygulama Denetimi kullanıyorsanız veya Microsoft dışı virüsten koruma veya uç nokta algılama ve yanıt yazılımı çalıştırıyorsanız, daha önce bahsedilen işlemleri izin verilenler listenize eklediğinizden emin olun.

  6. Tüketicilerin hazırlanmak için herhangi bir işlem yapmalarına gerek yoktur.

Microsoft Defender Virüsten Koruma işlemleri ve hizmetleri

Aşağıdaki tabloda, Windows cihazlarında Görev Yöneticisi'ni kullanarak Microsoft Defender Virüsten Koruma işlemlerini ve hizmetlerini (MdCoreSvc) görüntüleyebileceğiniz yerler özetlenmektedir.

İşlem veya hizmet Durumunun nerede görüntülendiği
Antimalware Core Service İşlemler sekmesi
MpDefenderCoreService.exe Ayrıntılar sekmesi
Microsoft Defender Core Service Hizmetler sekmesi

Microsoft Defender Core hizmet yapılandırmaları ve denemeleri (ECS) hakkında daha fazla bilgi edinmek için bkz. Microsoft Defender Temel hizmet yapılandırmaları ve denemeleri.

Sık Sorulan Sorular (SSS):

Microsoft Defender Core hizmeti için öneri nedir?

Microsoft Defender Core hizmetinin varsayılan ayarlarını çalışır ve raporlamada tutmanızı kesinlikle öneririz.

Microsoft Defender Core hizmeti hangi veri depolama ve gizlilik bilgilerine bağlıdır?

Veri depolama ve gizlilik Uç Nokta için Microsoft Defender gözden geçirin.

Microsoft Defender Core hizmetinin Yönetici olarak çalışmaya devamsını zorunlu kılabilir miyim?

Bu yönetim araçlarından herhangi birini kullanarak bunu zorunlu kılabilirsiniz:

  • ortak yönetimi Configuration Manager
  • Grup İlkesi
  • PowerShell
  • Kayıt Defteri

Microsoft Defender Core hizmeti ilkesini güncelleştirmek için Configuration Manager ortak yönetimi (ConfigMgr, eski adıYLA MEMCM/SCCM) kullanın

Microsoft Configuration Manager, ağınızdaki tüm bilgisayarlarda Microsoft Defender Virüsten Koruma ilkesi ayarlarını güncelleştirmek için PowerShell betiklerini çalıştırma özelliğine sahiptir.

  1. Microsoft Configuration Manager konsolunu açın.
  2. Yazılım Kitaplığı > Betikleri > İçerik Oluşturucu Betik'i seçin.
  3. Betik adını girin; örneğin, Microsoft Defender Core hizmet zorlaması ve Açıklama gibi, örneğin, Microsoft Defender Core hizmet ayarlarını etkinleştirmek için Tanıtım yapılandırması.
  4. Dili PowerShell ve Zaman Aşımı saniyesini 180 olarak ayarlayın
  5. Şablon olarak kullanmak için aşağıdaki "Microsoft Defender Core hizmet zorlaması" betiği örneğini yapıştırın:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Yeni bir betik eklerken bunu seçip onaylamanız gerekir. Onay durumu Onay bekleniyor durumundan Onaylandı olarak değişir. Onaylandıktan sonra tek bir cihaza veya cihaz koleksiyonuna sağ tıklayın ve Betiği çalıştır'ı seçin.

Betik Çalıştırma sihirbazının betik sayfasında, listeden betiğinizi seçin (örneğimizde Temel hizmet zorlama Microsoft Defender). Yalnızca onaylanan betikler görüntülenir. İleri'yi seçin ve sihirbazı tamamlayın.

Microsoft Defender Core hizmeti için grup ilkesi güncelleştirmek için grup ilkesi Düzenleyici kullanma

  1. En son Microsoft Defender grup ilkesi Yönetim Şablonlarını buradan indirin.

  2. Etki Alanı Denetleyicisi Merkezi Deposunu ayarlayın.

    Not

    .admx dosyasını kopyalayın ve .adml dosyasını ayrı olarak En-US klasörüne kopyalayın.

  3. Başlangıç, GPMC.msc (örneğin Etki Alanı Denetleyicisi veya ) veya GPEdit.msc

  4. Bilgisayar Yapılandırması ->Yönetim Şablonları ->Windows Bileşenleri ->Microsoft Defender Virüsten Koruma'ya gidin

  5. Defender çekirdek hizmeti için Deneme ve Yapılandırma Hizmeti (ECS) tümleştirmesini açma

    • Yapılandırılmadı veya etkinleştirilmedi (varsayılan): Microsoft Defender çekirdek hizmeti, Microsoft Defender Virüsten Koruma ve diğer Defender yazılımları için kritik, kuruluşa özgü düzeltmeleri hızla sunmak için ECS'yi kullanır.
    • Devre dışı: Microsoft Defender çekirdek hizmeti, Microsoft Defender Virüsten Koruma ve diğer Defender yazılımları için kritik, kuruluşa özgü düzeltmeleri hızla sunmak üzere ECS'yi kullanmayı durdurur. Hatalı pozitifler için düzeltmeler "Güvenlik Bilgileri güncelleştirmeleri" aracılığıyla ve Platform ve/veya Altyapı güncelleştirmeleri için düzeltmeler Microsoft Update, Microsoft Update Kataloğu veya WSUS aracılığıyla teslim edilecek.

  6. Defender çekirdek hizmeti için telemetriyi açma

    • Yapılandırılmadı veya etkinleştirilmedi (varsayılan): Microsoft Defender Core hizmeti Microsoft Defender Virüsten Koruma ve diğer Defender yazılımlarından telemetri toplar
    • Devre dışı: Microsoft Defender Core hizmeti, Microsoft Defender Virüsten Koruma ve diğer Defender yazılımlarından telemetri toplamayı durdurur. Bu ayarın devre dışı bırakılması, Microsoft'un yavaş performans ve hatalı pozitifler gibi sorunları hızla tanıma ve çözme becerisini etkileyebilir.

Microsoft Defender Core hizmetinin ilkelerini güncelleştirmek için PowerShell'i kullanın.

  1. Başlat'a gidin ve PowerShell'i yönetici olarak çalıştırın.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration $true veya $false komutunu kullanın; burada $false = etkin ve $true = devre dışı. Örneğin:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Set-MpPreferences -DisableCoreServiceTelemetry $true veya $false komutunu kullanın, örneğin:

    Set-MpPreferences -DisableCoreServiceTelemetry $true

Microsoft Defender Core hizmetinin ilkelerini güncelleştirmek için Kayıt Defteri'ni kullanın.

  1. Başlat'ı seçin ve Regedit.exe yönetici olarak açın.

  2. HKLM\Software\Policies\Microsoft\Windows Defender\Features'e Gidin

  3. Değerleri ayarlayın:

    DisableCoreService1DSTelemetry (dword) 0 (onaltılık)
    0 = Yapılandırılmadı, etkin (varsayılan)
    1 = Devre Dışı

    DisableCoreServiceECSIntegration (dword) 0 (onaltılık)
    0 = Yapılandırılmadı, etkin (varsayılan)
    1 = Devre Dışı