Microsoft Defender Core 서비스 개요

아티클
05/03/2024

Microsoft Defender Core 서비스

엔드포인트 보안 환경을 개선하기 위해 Microsoft는 Microsoft Defender 바이러스 백신의 안정성과 성능을 돕기 위해 Microsoft Defender Core 서비스를 릴리스합니다.

필수 구성 요소

Microsoft Defender Core 서비스는 Microsoft Defender 바이러스 백신 플랫폼 버전 4.18.23110.2009로 릴리스됩니다.
롤아웃은 다음에서 시작됩니다.
- 2023년 11월 고객을 시험판으로 전환합니다.
- Windows 클라이언트를 실행하는 엔터프라이즈 고객에게 2024년 4월 중순.
- Windows 클라이언트를 실행하는 미국 정부 고객에게 2024년 6월 중순.
엔드포인트용 Microsoft Defender 간소화된 디바이스 연결 환경을 사용하는 경우 다른 URL을 추가할 필요가 없습니다.
엔드포인트용 Microsoft Defender 표준 디바이스 연결 환경을 사용하는 경우:

엔터프라이즈 고객은 다음 URL을 허용해야 합니다.
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
에 와일드카드 *.events.data.microsoft.com를 사용하지 않으려면 다음을 사용할 수 있습니다.
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
엔터프라이즈 미국 정부 고객은 다음 URL을 허용해야 합니다.
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Windows용 애플리케이션 제어를 사용하거나 Microsoft가 아닌 바이러스 백신 또는 엔드포인트 검색 및 응답 소프트웨어를 실행하는 경우 앞에서 언급한 프로세스를 허용 목록에 추가해야 합니다.
소비자는 준비하기 위해 어떤 조치도 취할 필요가 없습니다.

바이러스 백신 프로세스 및 서비스 Microsoft Defender

다음 표에는 Windows 디바이스에서 작업 관리자를 사용하여 Microsoft Defender 바이러스 백신 프로세스 및 서비스(MdCoreSvc)를 볼 수 있는 위치가 요약되어 있습니다.

프로세스 또는 서비스	해당 상태 볼 수 있는 위치
`Antimalware Core Service`	프로세스 탭
`MpDefenderCoreService.exe`	세부 정보 탭
`Microsoft Defender Core Service`	서비스 탭

Microsoft Defender Core 서비스 구성 및 실험(ECS)에 대한 자세한 내용은 Microsoft Defender Core 서비스 구성 및 실험을 참조하세요.

FAQ(질문과 대답):

Microsoft Defender Core 서비스에 대한 권장 사항은 무엇인가요?

Microsoft Defender Core 서비스의 기본 설정을 실행하고 보고하는 것이 좋습니다.

Microsoft Defender Core 서비스는 어떤 데이터 스토리지 및 개인 정보를 준수하나요?

엔드포인트용 Microsoft Defender 데이터 스토리지 및 개인 정보를 검토합니다.

Microsoft Defender Core 서비스가 관리자 권한으로 계속 실행되고 있는지를 적용할 수 있나요?

다음 관리 도구를 사용하여 적용할 수 있습니다.

공동 관리 Configuration Manager
그룹 정책
PowerShell
레지스트리

Configuration Manager 공동 관리(ConfigMgr 이전의 MEMCM/SCCM)를 사용하여 Microsoft Defender Core 서비스에 대한 정책을 업데이트합니다.

Microsoft Configuration Manager PowerShell 스크립트를 실행하여 네트워크의 모든 컴퓨터에서 Microsoft Defender 바이러스 백신 정책 설정을 업데이트하는 통합 기능이 있습니다.

Microsoft Configuration Manager 콘솔을 엽니다.
소프트웨어 라이브러리 > 스크립트 Create 스크립트를 >선택합니다.
스크립트 이름(예: Microsoft Defender Core 서비스 적용 및 설명)을 입력합니다(예: Microsoft Defender Core 서비스 설정을 사용하도록 설정하는 데모 구성).
언어를 PowerShell로 설정하고 제한 시간(초)을 180으로 설정합니다.
템플릿으로 사용할 다음 "Microsoft Defender Core 서비스 적용" 스크립트 예제를 붙여넣습니다.

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

새 스크립트를 추가할 때 해당 스크립트를 선택하고 승인해야 합니다. 승인 상태가 승인 대기 중에서 승인됨으로 변경됩니다. 승인되면 단일 디바이스 또는 디바이스 컬렉션을 마우스 오른쪽 단추로 클릭하고 스크립트 실행을 선택합니다.

스크립트 실행 마법사의 스크립트 페이지에서 목록에서 스크립트를 선택합니다(예제의 핵심 서비스 적용 Microsoft Defender). 승인된 스크립트만 표시됩니다. 다음을 선택하고 마법사를 완료합니다.

그룹 정책 편집기 사용하여 Microsoft Defender Core 서비스에 대한 그룹 정책 업데이트

여기에서 최신 Microsoft Defender 그룹 정책 관리 템플릿을 다운로드합니다.
도메인 컨트롤러 중앙 리포지토리를 설정합니다.

참고

.admx를 복사하고 .adml을 En-US 폴더에 별도로 복사합니다.
시작, GPMC.msc(예: 도메인 컨트롤러 또는 ) 또는 GPEdit.msc
컴퓨터 구성 ->관리 템플릿 ->Windows 구성 요소 ->Microsoft Defender 바이러스 백신으로 이동
Defender 핵심 서비스에 대한 ECS(실험 및 구성 서비스) 통합 켜기
- 구성되거나 사용하도록 설정되지 않음(기본값): Microsoft Defender 핵심 서비스는 ECS를 사용하여 Microsoft Defender 바이러스 백신 및 기타 Defender 소프트웨어에 대한 중요한 조직별 수정 사항을 신속하게 제공합니다.
- 사용 안 함: Microsoft Defender 핵심 서비스는 ECS 사용을 중지하여 Microsoft Defender 바이러스 백신 및 기타 Defender 소프트웨어에 대한 중요한 조직별 수정 사항을 신속하게 제공합니다. 가양성인 경우 수정 사항은 "보안 인텔리전스 업데이트"를 통해 전달되며, 플랫폼 및/또는 엔진 업데이트의 경우 수정 사항은 Microsoft 업데이트, Microsoft 업데이트 카탈로그 또는 WSUS를 통해 제공됩니다.
Defender 핵심 서비스에 대한 원격 분석 켜기
- 구성되거나 사용하도록 설정되지 않음(기본값) : Microsoft Defender Core 서비스는 Microsoft Defender 바이러스 백신 및 기타 Defender 소프트웨어에서 원격 분석을 수집합니다.
- 사용 안 함: Microsoft Defender Core 서비스는 Microsoft Defender 바이러스 백신 및 기타 Defender 소프트웨어에서 원격 분석 수집을 중지합니다. 이 설정을 사용하지 않도록 설정하면 성능 저하 및 가양성과 같은 문제를 신속하게 인식하고 해결하는 Microsoft의 기능에 영향을 미칠 수 있습니다.

PowerShell을 사용하여 Microsoft Defender Core 서비스에 대한 정책을 업데이트합니다.

시작으로 이동하여 관리자 권한으로 PowerShell을 실행합니다.
Set-MpPreferences -DisableCoreServiceECSIntegration $true 또는 $false 명령을 사용합니다. 여기서 $false = enabled 및 $true = disabled입니다. 예시:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Set-MpPreferences -DisableCoreServiceTelemetry $true 또는 $false 명령을 사용합니다. 예를 들면 다음과 같습니다.
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

레지스트리를 사용하여 Microsoft Defender Core 서비스에 대한 정책을 업데이트합니다.

시작을 선택한 다음 관리자 권한으로 Regedit.exe 엽니다.
HKLM\Software\Policies\Microsoft\Windows Defender\Features으로 이동합니다.
값을 설정합니다.

DisableCoreService1DSTelemetry (dword) 0(16진수)
0 = 구성되지 않음, 사용(기본값)
1 = 사용 안 함

DisableCoreServiceECSIntegration (dword) 0(16진수)
0 = 구성되지 않음, 사용(기본값)
1 = 사용 안 함

Microsoft Defender Core 서비스 개요