Microsoft Defender Core 服务概述
Microsoft Defender Core 服务
为了增强终结点安全体验,Microsoft发布了 Microsoft Defender Core 服务,以帮助提高 Microsoft Defender 防病毒的稳定性和性能。
先决条件
Microsoft Defender Core 服务随 Microsoft Defender 防病毒平台版本 4.18.23110.2009 一起发布。
计划按如下所示开始推出:
- 2023 年 11 月预发布客户。
- 2024 年 4 月中旬,适用于运行 Windows 客户端的企业客户。
- 2024 年 7 月开始,适用于运行 Windows 客户端的美国政府客户。
如果使用 Microsoft Defender for Endpoint 简化 的设备连接体验,则无需添加任何其他 URL。
如果使用 Microsoft Defender for Endpoint 标准 设备连接体验:
企业客户应允许以下 URL:
*.endpoint.security.microsoft.comecs.office.com/config/v1/MicrosoftWindowsDefenderClient*.events.data.microsoft.com
如果不想将 通配符用于
*.events.data.microsoft.com,可以使用:us-mobile.events.data.microsoft.com/OneCollector/1.0eu-mobile.events.data.microsoft.com/OneCollector/1.0uk-mobile.events.data.microsoft.com/OneCollector/1.0au-mobile.events.data.microsoft.com/OneCollector/1.0mobile.events.data.microsoft.com/OneCollector/1.0
美国政府企业客户应允许以下 URL:
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
如果使用 适用于 Windows 的应用程序控制,或者正在运行非Microsoft防病毒或终结点检测和响应软件,请确保将前面提到的进程添加到允许列表中。
使用者无需执行任何操作即可进行准备。
Microsoft Defender 防病毒进程和服务
下表总结了在 Windows 设备上使用任务管理器查看Microsoft Defender 防病毒进程和服务 (MdCoreSvc) 的位置。
| 进程或服务 | 查看其状态的位置 |
|---|---|
Antimalware Core Service |
“进程 ”选项卡 |
MpDefenderCoreService.exe |
“详细信息 ”选项卡 |
Microsoft Defender Core Service |
“服务”选项卡 |
若要详细了解 Microsoft Defender Core 服务配置和 ECS) (试验,请参阅 Microsoft Defender Core 服务配置和试验。
常见问题解答 (常见问题解答) :
Microsoft Defender Core 服务的建议是什么?
强烈建议保持 Microsoft Defender Core 服务的默认设置运行和报告。
Microsoft Defender Core 服务遵循哪些数据存储和隐私?
查看 Microsoft Defender for Endpoint 数据存储和隐私。
是否可以强制Microsoft Defender Core 服务以管理员身份保持运行?
可以使用以下任一管理工具强制实施:
- Configuration Manager 共同管理
- 组策略
- PowerShell
- 注册表
使用 Configuration Manager 共同管理 (ConfigMgr(以前为 MEMCM/SCCM) )更新 Microsoft Defender Core 服务的策略
Microsoft Configuration Manager 具有运行 PowerShell 脚本的集成功能,可跨网络中的所有计算机更新 Microsoft Defender 防病毒策略设置。
- 打开 Microsoft Configuration Manager 控制台。
- 选择“ 软件库 > 脚本” > “创建脚本”。
- 输入 脚本名称,例如,Microsoft Defender Core 服务强制实施和 说明,例如“演示配置”以启用 Microsoft Defender Core 服务设置。
- 将 “语言 ”设置为 PowerShell,将 “超时秒” 设置为 180
- 粘贴以下“Microsoft Defender Core 服务强制实施”脚本示例以用作模板:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
添加新脚本时,必须选择并批准它。 审批状态从 “正在等待审批” 更改为 “已批准”。 批准后,右键单击单个设备或设备集合,然后选择“ 运行脚本”。
在“运行脚本”向导的“脚本”页上,从示例中 (Microsoft Defender Core 服务强制实施列表中选择脚本) 。 仅显示已批准的脚本。 选择“下一步”并完成向导。
使用组策略编辑器更新 Microsoft Defender Core 服务的组策略
从 此处下载最新的 Microsoft Defender 组策略管理模板。
设置域控制器 中央存储库。
注意
将 .admx 和 .adml 分别复制到 En-US 文件夹。
启动、GPMC.msc (例如域控制器或 ) 或 GPEdit.msc
转到 计算机配置 ->管理模板 ->Windows 组件 ->Microsoft Defender 防病毒
启用 Defender 核心服务的试验和配置服务 (ECS) 集成
- 未配置或启用 (默认) :Microsoft Defender 核心服务将使用 ECS 为Microsoft Defender 防病毒和其他 Defender 软件快速提供特定于组织的关键修补程序。
- 已禁用:Microsoft Defender 核心服务将停止使用 ECS,以便快速为 Microsoft Defender 防病毒和其他 Defender 软件提供特定于组织的关键修补程序。 对于误报,修补程序将通过“安全智能更新”传递,对于平台和/或引擎更新,修复将通过Microsoft更新、Microsoft更新目录或 WSUS 提供。
为 Defender 核心服务启用遥测
- 未配置或启用 (默认) :Microsoft Defender 核心服务将从 Microsoft Defender 防病毒和其他 Defender 软件收集遥测数据
- 已禁用:Microsoft Defender Core 服务将停止从 Microsoft Defender 防病毒和其他 Defender 软件收集遥测数据。 禁用此设置可能会影响Microsoft快速识别和解决问题的能力,例如性能缓慢和误报。
使用 PowerShell 更新 Microsoft Defender Core 服务的策略。
转到 “开始”,然后以管理员身份运行 PowerShell。
Set-MpPreferences -DisableCoreServiceECSIntegration使用 $true 或 $false 命令,其中$false= enabled 和$true= disabled。 例如:Set-MpPreferences -DisableCoreServiceECSIntegration $falseSet-MpPreferences -DisableCoreServiceTelemetry使用 $true 或 $false 命令,例如:Set-MpPreferences -DisableCoreServiceTelemetry $true
使用注册表更新 Microsoft Defender Core 服务的策略。
选择“ 开始”,然后以管理员身份打开 Regedit.exe。
转到
HKLM\Software\Policies\Microsoft\Windows Defender\Features设置值:
DisableCoreService1DSTelemetry(dword) 0 (十六进制)
0= 未配置,已启用 (默认)
1= 已禁用DisableCoreServiceECSIntegration(dword) 0 (十六进制)
0= 未配置,已启用 (默认)
1= 已禁用