Microsoft Defender Core 服务概述

项目
06/22/2024

Microsoft Defender Core 服务

为了增强终结点安全体验，Microsoft发布了 Microsoft Defender Core 服务，以帮助提高 Microsoft Defender 防病毒的稳定性和性能。

先决条件

Microsoft Defender Core 服务随 Microsoft Defender 防病毒平台版本 4.18.23110.2009 一起发布。
计划按如下所示开始推出：
- 2023 年 11 月预发布客户。
- 2024 年 4 月中旬，适用于运行 Windows 客户端的企业客户。
- 2024 年 7 月开始，适用于运行 Windows 客户端的美国政府客户。
如果使用 Microsoft Defender for Endpoint 简化的设备连接体验，则无需添加任何其他 URL。
如果使用 Microsoft Defender for Endpoint 标准设备连接体验：

企业客户应允许以下 URL：
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
如果不想将通配符用于 *.events.data.microsoft.com，可以使用：
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
美国政府企业客户应允许以下 URL：
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
如果使用适用于 Windows 的应用程序控制，或者正在运行非Microsoft防病毒或终结点检测和响应软件，请确保将前面提到的进程添加到允许列表中。
使用者无需执行任何操作即可进行准备。

Microsoft Defender 防病毒进程和服务

下表总结了在 Windows 设备上使用任务管理器查看Microsoft Defender 防病毒进程和服务 (MdCoreSvc) 的位置。

进程或服务	查看其状态的位置
`Antimalware Core Service`	“进程 ”选项卡
`MpDefenderCoreService.exe`	“详细信息 ”选项卡
`Microsoft Defender Core Service`	“服务”选项卡

若要详细了解 Microsoft Defender Core 服务配置和 ECS) (试验，请参阅 Microsoft Defender Core 服务配置和试验。

常见问题解答 (常见问题解答) ：

Microsoft Defender Core 服务的建议是什么？

强烈建议保持 Microsoft Defender Core 服务的默认设置运行和报告。

Microsoft Defender Core 服务遵循哪些数据存储和隐私？

查看 Microsoft Defender for Endpoint 数据存储和隐私。

是否可以强制Microsoft Defender Core 服务以管理员身份保持运行？

可以使用以下任一管理工具强制实施：

Configuration Manager 共同管理
组策略
PowerShell
注册表

使用 Configuration Manager 共同管理 (ConfigMgr（以前为 MEMCM/SCCM) ）更新 Microsoft Defender Core 服务的策略

Microsoft Configuration Manager 具有运行 PowerShell 脚本的集成功能，可跨网络中的所有计算机更新 Microsoft Defender 防病毒策略设置。

打开 Microsoft Configuration Manager 控制台。
选择“ 软件库 > 脚本” > “创建脚本”。
输入 脚本名称，例如，Microsoft Defender Core 服务强制实施和说明，例如“演示配置”以启用 Microsoft Defender Core 服务设置。
将 “语言 ”设置为 PowerShell，将 “超时秒” 设置为 180
粘贴以下“Microsoft Defender Core 服务强制实施”脚本示例以用作模板：

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

添加新脚本时，必须选择并批准它。审批状态从 “正在等待审批” 更改为 “已批准”。批准后，右键单击单个设备或设备集合，然后选择“ 运行脚本”。

在“运行脚本”向导的“脚本”页上，从示例中 (Microsoft Defender Core 服务强制实施列表中选择脚本) 。仅显示已批准的脚本。选择“下一步”并完成向导。

使用组策略编辑器更新 Microsoft Defender Core 服务的组策略

从此处下载最新的 Microsoft Defender 组策略管理模板。
设置域控制器中央存储库。

注意

将 .admx 和 .adml 分别复制到 En-US 文件夹。
启动、GPMC.msc (例如域控制器或 ) 或 GPEdit.msc
转到 计算机配置 ->管理模板 ->Windows 组件 ->Microsoft Defender 防病毒
启用 Defender 核心服务的试验和配置服务 (ECS) 集成
- 未配置或启用 (默认) ：Microsoft Defender 核心服务将使用 ECS 为Microsoft Defender 防病毒和其他 Defender 软件快速提供特定于组织的关键修补程序。
- 已禁用：Microsoft Defender 核心服务将停止使用 ECS，以便快速为 Microsoft Defender 防病毒和其他 Defender 软件提供特定于组织的关键修补程序。对于误报，修补程序将通过“安全智能更新”传递，对于平台和/或引擎更新，修复将通过Microsoft更新、Microsoft更新目录或 WSUS 提供。
为 Defender 核心服务启用遥测
- 未配置或启用 (默认) ：Microsoft Defender 核心服务将从 Microsoft Defender 防病毒和其他 Defender 软件收集遥测数据
- 已禁用：Microsoft Defender Core 服务将停止从 Microsoft Defender 防病毒和其他 Defender 软件收集遥测数据。禁用此设置可能会影响Microsoft快速识别和解决问题的能力，例如性能缓慢和误报。

使用 PowerShell 更新 Microsoft Defender Core 服务的策略。

转到 “开始”，然后以管理员身份运行 PowerShell。
Set-MpPreferences -DisableCoreServiceECSIntegration 使用 $true 或 $false 命令，其中 $false = enabled 和 $true = disabled。例如：
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Set-MpPreferences -DisableCoreServiceTelemetry 使用 $true 或 $false 命令，例如：
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

使用注册表更新 Microsoft Defender Core 服务的策略。

选择“ 开始”，然后以管理员身份打开 Regedit.exe。
转到 HKLM\Software\Policies\Microsoft\Windows Defender\Features
设置值：

DisableCoreService1DSTelemetry (dword) 0 (十六进制)
0 = 未配置，已启用 (默认)
1 = 已禁用

DisableCoreServiceECSIntegration (dword) 0 (十六进制)
0 = 未配置，已启用 (默认)
1 = 已禁用

通过