Microsoft Defender Core -palvelun yleiskatsaus

Microsoft Defender Core -palvelu

Microsoft julkaisee Microsoft Defender Core -palvelun Microsoft Defender virustentorjunnan vakauden ja suorituskyvyn parantamiseksi.

Ennakkovaatimukset

1. Microsoft Defender Core -palvelu julkaistaan Microsoft Defender virustentorjuntaympäristön versiolla 4.18.23110.2009.

2. Käyttöönotto alkaa:

   • Marraskuu 2023 asiakkaiden ennakkojulkaisuun.
   • Huhtikuun 2024 puolivälistä yritysasiakkaille, jotka käyttävät Windows-asiakasohjelmia.
   • Kesäkuun 2024 puolivälistä Yhdysvaltain valtionhallinnon asiakkaille, jotka käyttävät Windows-asiakkaita.

3. Jos käytät virtaviivaistettua laiteyhteyskokemusta Microsoft Defender for Endpoint, sinun ei tarvitse lisätä muita URL-osoitteita.

4. Jos käytät Microsoft Defender for Endpoint tavallista laiteyhteyttä:

   Yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:

   • *.endpoint.security.microsoft.com
   • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
   • *.events.data.microsoft.com

   Jos et halua käyttää yleismerkkejä lle *.events.data.microsoft.com, voit käyttää seuraavaa:

   • us-mobile.events.data.microsoft.com/OneCollector/1.0
   • eu-mobile.events.data.microsoft.com/OneCollector/1.0
   • uk-mobile.events.data.microsoft.com/OneCollector/1.0
   • au-mobile.events.data.microsoft.com/OneCollector/1.0
   • mobile.events.data.microsoft.com/OneCollector/1.0

   Yhdysvaltain valtionhallinnon yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:

   • *.events.data.microsoft.com
   • *.endpoint.security.microsoft.us (GCC-H & DoD)
   • *.gccmod.ecs.office.com (GCC-M)
   • *.config.ecs.gov.teams.microsoft.us (GCC-H)
   • *.config.ecs.dod.teams.microsoft.us (DoD)

5. Jos käytössäsi on Windowsin sovellusten hallinta tai jokin muu kuin Microsoftin virustentorjuntaohjelma tai päätepisteen tunnistus- ja vastausohjelmisto, muista lisätä edellä mainitut prosessit sallittujen luetteloon.

6. Kuluttajien ei tarvitse tehdä mitään valmisteluja.

Microsoft Defender virustentorjuntaprosessit ja -palvelut

Seuraavassa taulukossa on yhteenveto siitä, missä voit tarkastella Microsoft Defender virustentorjuntaprosesseja ja -palveluita (MdCoreSvc) Windows-laitteiden Tehtävienhallinnan avulla.

Prosessi tai palvelu	Missä voit tarkastella sen tilaa
Antimalware Core Service	Prosessit-välilehti
MpDefenderCoreService.exe	Tiedot-välilehti
Microsoft Defender Core Service	Palvelut-välilehti

Lisätietoja Microsoft Defender Core -palvelun kokoonpanoista ja kokeiluista on kohdassa Microsoft Defender Ydinpalvelun kokoonpanot ja kokeilut.

Usein kysytyt kysymykset:

Mikä on Microsoft Defender Core -palvelun suositus?

On erittäin suositeltavaa pitää Microsoft Defender Core -palvelun oletusasetukset käynnissä ja raportoinnissa.

Mitä tallennustilaa ja yksityisyyttä Microsoft Defender Core -palvelu noudattaa?

Tarkista Microsoft Defender for Endpoint tietojen tallennustila ja tietosuoja.

Voinko pakottaa, että Microsoft Defender Core -palvelu pysyy käynnissä järjestelmänvalvojana?

Voit pakottaa sen käyttämällä mitä tahansa seuraavista hallintatyökaluista:

• Configuration Manager yhteishallintaa
• Ryhmäkäytäntö
• PowerShell
• Rekisteri

Microsoft Defender Core -palvelun käytännön päivittäminen Configuration Manager yhteishallinnan (ConfigMgr, aiempi MEMCM/SCCM) avulla

Microsoft Configuration Manager on integroitu kyky suorittaa PowerShell-komentosarjoja Microsoft Defender virustentorjuntakäytännön asetusten päivittämiseksi kaikissa verkon tietokoneissa.

1. Avaa Microsoft Configuration Manager konsoli.
2. Valitse Ohjelmistokirjaston > komentosarjat > Create Komentosarja.
3. Anna komentosarjan nimi, esimerkiksi Microsoft Defender Ydinpalvelun pakottaminen ja Kuvaus, esimerkiksi Esittelymääritys, jotta Microsoft Defender Core -palvelun asetukset otetaan käyttöön.
4. Määritä kieleksi PowerShell ja Aikakatkaisu-sekunnille 180
5. Liitä seuraava "Microsoft Defender Core Service Enforcement" -komentosarjaesimerkki malliksi käytettäväksi:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Kun lisäät uuden komentosarjan, sinun on valittava ja hyväksyttävä se. Hyväksynnän tila muuttuu Odottaa hyväksyntää -kohdasta Hyväksytyksi. Kun hyväksyntä on hyväksytty, napsauta hiiren kakkospainikkeella yksittäistä laitetta tai laitekokoelmaa ja valitse Suorita komentosarja.

Valitse ohjatun komentosarjan suorittamisen komentosarjasivulla komentosarjasi luettelosta (esimerkissä Microsoft Defender Ydinpalvelun pakottaminen). Vain hyväksytyt komentosarjat näytetään. Valitse Seuraava ja suorita ohjattu toiminto loppuun.

Microsoft Defender Core -palvelun ryhmäkäytäntö päivittäminen ryhmäkäytäntö Kirjoitusavustaja avulla

1. Lataa uusimmat Microsoft Defender ryhmäkäytäntö hallintamallit täältä.

2. Määritä toimialueen ohjauskoneen keskitetty säilö.

   Huomautus

   Kopioi .admx ja .adml erikseen En-US-kansioon.

3. Start, GPMC.msc (esim. toimialueen ohjauskone tai ) tai GPEdit.msc

4. Siirry kohtaan Tietokoneasetukset ->Hallintamallit ->Windowsin osat ->Microsoft Defender virustentorjunta

5. Ota käyttöön Experimentation and Configuration Service (ECS) -integrointi Defenderin ydinpalvelussa

   • Ei määritetty tai käytössä (oletus): Microsoft Defender ydinpalvelu käyttää ECS:ä tarjotakseen nopeasti kriittisiä organisaatiokohtaisia korjauksia Microsoft Defender virustentorjuntaan ja muihin Defender-ohjelmistoihin.
   • Poistettu käytöstä: Microsoft Defender ydinpalvelu lopettaa ECS:n käytön tarjotakseen nopeasti kriittisiä organisaatiokohtaisia korjauksia Microsoft Defender virustentorjuntaohjelmaan ja muihin Defender-ohjelmistoihin. Epätosi-positiivisten tietojen kohdalla korjaukset toimitetaan "Suojaustiedot-päivityksillä" ja käyttöympäristön ja/tai moduulin päivityksissä korjaukset toimitetaan Microsoft Updaten, Microsoft Update Catalogn tai WSUS:n kautta.

6. Ota telemetriatiedot käyttöön Defenderin ydinpalvelussa

   • Ei määritetty tai käytössä (oletus): Microsoft Defender Core -palvelu kerää telemetriatietoja Microsoft Defender virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista
   • Poistettu käytöstä: Microsoft Defender Core -palvelu lopettaa telemetriatietojen keräämisen Microsoft Defender virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista. Tämän asetuksen poistaminen käytöstä voi vaikuttaa Microsoftin kykyyn tunnistaa ja korjata nopeasti ongelmia, kuten hidas suorituskyky ja false-positiiviset.

PowerShellin avulla voit päivittää Microsoft Defender Core -palvelun käytännöt.

1. Siirry Käynnistä-kohtaan ja suorita PowerShell järjestelmänvalvojana.

2. Set-MpPreferences -DisableCoreServiceECSIntegration Käytä $true- tai $false-komentoa, jossa $false = käytössä ja $true = poistettu käytöstä. Esimerkki:

   Set-MpPreferences -DisableCoreServiceECSIntegration $false 
   

3. Käytä $true- Set-MpPreferences -DisableCoreServiceTelemetry tai $false-komentoa, esimerkiksi:

   Set-MpPreferences -DisableCoreServiceTelemetry $true
   

Käytä rekisteriä Microsoft Defender Core -palvelun käytäntöjen päivittämiseen.

1. Valitse Käynnistä ja avaa sitten Regedit.exe järjestelmänvalvojana.

2. Mennä HKLM\Software\Policies\Microsoft\Windows Defender\Features

3. Määritä arvot:

   DisableCoreService1DSTelemetry (dword) 0 (heksa)
   0 = Ei määritetty, käytössä (oletus)
   1 = ei käytössä

   DisableCoreServiceECSIntegration (dword) 0 (heksa)
   0 = Ei määritetty, käytössä (oletus)
   1 = ei käytössä