oversigt over Microsoft Defender Core-tjenesten

Artikel
05/03/2024

Microsoft Defender Core-tjeneste

For at forbedre din oplevelse af slutpunktets sikkerhed frigiver Microsoft tjenesten Microsoft Defender Core for at hjælpe med stabiliteten og ydeevnen af Microsoft Defender Antivirus.

Forudsætninger

Microsoft Defender Core-tjenesten udgives med Microsoft Defender Antivirus platform version 4.18.23110.2009.
Udrulningen starter:
- november 2023 for at give kunderne en forhåndsudgivelse.
- Medio april 2024 til Enterprise-kunder, der kører Windows-klienter.
- Medio juni 2024 til amerikanske offentlige myndigheder, der kører Windows-klienter.
Hvis du bruger den Microsoft Defender for Endpoint strømlinede enhedsforbindelsesoplevelse, behøver du ikke at tilføje andre URL-adresser.
Hvis du bruger Microsoft Defender for Endpoint standardoplevelse for enhedsforbindelse:

Virksomhedskunder skal tillade følgende URL-adresser:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Hvis du ikke vil bruge jokertegnene til *.events.data.microsoft.com, kan du bruge:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Enterprise U.S. Government-kunder skal tillade følgende URL-adresser:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Hvis du bruger Programkontrol til Windows, eller hvis du kører et antivirus- eller slutpunktsregistrerings- og svarprogram, skal du sørge for at føje de processer, der er nævnt tidligere, til din allowlist.
Forbrugere behøver ikke at foretage sig noget for at forberede sig.

Microsoft Defender Antivirus-processer og -tjenester

I følgende tabel opsummeres det, hvor du kan få vist Microsoft Defender Antivirus-processer og -tjenester (MdCoreSvc) ved hjælp af Jobliste på Windows-enheder.

Proces eller tjeneste	Her kan du se dens status
`Antimalware Core Service`	Fanen Processer
`MpDefenderCoreService.exe`	Fanen Detaljer
`Microsoft Defender Core Service`	Fanen Tjenester

Du kan få mere at vide om konfigurationer og eksperimentering af Microsoft Defender Core Service (ECS) under Microsoft Defender Konfigurationer og eksperimentering af kernetjenester.

Ofte stillede spørgsmål:

Hvad er anbefalingen for Microsoft Defender Core-tjenesten?

Vi anbefaler på det kraftigste, at standardindstillingerne for Microsoft Defender Core-tjenesten kører og rapporterer.

Hvilket datalager og beskyttelse af personlige oplysninger overholder Microsoft Defender Core-tjenesten?

Gennemse Microsoft Defender for Endpoint datalager og beskyttelse af personlige oplysninger.

Kan jeg gennemtvinge, at Microsoft Defender Core-tjenesten forbliver kørende som administrator?

Du kan gennemtvinge det ved hjælp af et af disse administrationsværktøjer:

Configuration Manager medadministration
Gruppepolitik
PowerShell
Registreringsdatabasen

Brug Configuration Manager medadministration (ConfigMgr, tidligere MEMCM/SCCM) til at opdatere politikken for Microsoft Defender Core-tjenesten

Microsoft Configuration Manager har en integreret mulighed for at køre PowerShell-scripts for at opdatere politikindstillingerne for Microsoft Defender Antivirus på tværs af alle computere i netværket.

Åbn Microsoft Configuration Manager-konsollen.
Vælg Scripts til softwarebibliotek >> Create script.
Angiv scriptnavnet, f.eks. Microsoft Defender Kernetjeneste gennemtvingelse og Beskrivelse, f.eks. Demokonfiguration for at aktivere Microsoft Defender kernetjenesteindstillinger.
Angiv Sproget til PowerShell og timeoutsekunderne til 180
Indsæt følgende scripteksempel på "Microsoft Defender core service enforcement", der skal bruges som skabelon:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Når du tilføjer et nyt script, skal du vælge og godkende det. Godkendelsestilstanden ændres fra Venter på godkendelse til Godkendt. Når den er godkendt, skal du højreklikke på en enkelt enhed eller enhedsgruppe og vælge Kør script.

På scriptsiden i guiden Kør script skal du vælge scriptet på listen (Microsoft Defender Kernetjeneste i vores eksempel). Der vises kun godkendte scripts. Vælg Næste, og fuldfør guiden.

Brug Gruppepolitik Editor til at opdatere Gruppepolitik til Microsoft Defender Core-tjenesten

Download de nyeste Microsoft Defender Gruppepolitik Administrative skabeloner herfra.
Konfigurer domænecontrollerens centrale lager.

Bemærk!

Kopiér .admx og separat .adml til mappen En-US.
Start, GPMC.msc (f.eks. Domænecontroller eller ) eller GPEdit.msc
Gå til Computerkonfiguration ->Administrative skabeloner ->Windows-komponenter ->Microsoft Defender Antivirus
Slå integration af Experimentation and Configuration Service (ECS) til for Defender Core Service
- Ikke konfigureret eller aktiveret (standard): Den Microsoft Defender kernetjeneste bruger ECS til hurtigt at levere kritiske, organisationsspecifikke rettelser til Microsoft Defender Antivirus og anden Defender-software.
- Deaktiveret: Den Microsoft Defender kernetjeneste stopper med at bruge ECS til hurtigt at levere kritiske, organisationsspecifikke rettelser til Microsoft Defender Antivirus og anden Defender-software. For falske positiver leveres rettelser via "Security Intelligence-opdateringer", og for platform- og/eller programopdateringer leveres rettelser via Microsoft Update, Microsoft Update-kataloget eller WSUS.
Slå telemetri til for Defender Core Service
- Ikke konfigureret eller aktiveret (standard): Microsoft Defender Core-tjenesten indsamler telemetri fra Microsoft Defender Antivirus og anden Defender-software
- Deaktiveret: Microsoft Defender Core-tjenesten stopper med at indsamle telemetri fra Microsoft Defender Antivirus og anden Defender-software. Deaktivering af denne indstilling kan påvirke Microsofts mulighed for hurtigt at genkende og løse problemer, f.eks. langsom ydeevne og falske positiver.

Brug PowerShell til at opdatere politikkerne for Microsoft Defender Core-tjenesten.

Gå til Start, og kør PowerShell som administrator.
Brug kommandoen Set-MpPreferences -DisableCoreServiceECSIntegration $true eller $false, hvor $false = er aktiveret og $true = deaktiveret. Det kan f.eks. være:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Brug kommandoen Set-MpPreferences -DisableCoreServiceTelemetry $true eller $false, f.eks.:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Brug registreringsdatabasen til at opdatere politikkerne for Microsoft Defender Core-tjenesten.

Vælg Start, og åbn derefter Regedit.exe som administrator.
Gå til HKLM\Software\Policies\Microsoft\Windows Defender\Features
Angiv værdierne:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Ikke konfigureret, aktiveret (standard)
1 = Deaktiveret

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Ikke konfigureret, aktiveret (standard)
1 = Deaktiveret