Del via

oversikt over Microsoft Defender Core-tjenesten

  • Artikkel

Microsoft Defender Core-tjenesten

Microsoft lanserer Microsoft Defender Core-tjenesten for å forbedre sikkerhetsopplevelsen for endepunkt for å hjelpe deg med stabiliteten og ytelsen til Microsoft Defender Antivirus.

Forutsetninger

  1. Microsoft Defender Core-tjenesten lanseres med Microsoft Defender Antivirus-plattform versjon 4.18.23110.2009.

  2. Utrullingen begynner:

    • November 2023 for å forhåndsutleie kunder.
    • Midten av april 2024 til Enterprise-kunder som kjører Windows-klienter.
    • Midten av juni 2024 til us Government-kunder som kjører Windows-klienter.

  3. Hvis du bruker Microsoft Defender for endepunkt strømlinjeformet enhetstilkoblingsopplevelse, trenger du ikke å legge til andre nettadresser.

  4. Hvis du bruker Microsoft Defender for endepunkt standard enhetstilkoblingsopplevelse:

    Bedriftskunder bør tillate følgende URL-adresser:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Hvis du ikke vil bruke jokertegnene for *.events.data.microsoft.com, kan du bruke:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Enterprise US Government-kunder bør tillate følgende nettadresser:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Hvis du bruker programkontroll for Windows, eller du kjører antivirus- eller endepunktgjenkjennings- og responsprogramvare fra Microsoft, må du legge til prosessene som er nevnt tidligere i tillatelseslisten.

  6. Forbrukerne trenger ikke å gjøre noe for å forberede seg.

Microsoft Defender antivirusprosesser og -tjenester

Tabellen nedenfor oppsummerer hvor du kan vise Microsoft Defender antivirusprosesser og -tjenester (MdCoreSvc) ved hjelp av Oppgavebehandling på Windows-enheter.

Prosess eller tjeneste Her kan du vise statusen
Antimalware Core Service Prosesser-fanen
MpDefenderCoreService.exe Detaljer-fanen
Microsoft Defender Core Service Tjenester-fanen

Hvis du vil finne ut mer om Microsoft Defender Core Service-konfigurasjoner og eksperimentering (ECS), kan du se Microsoft Defender Kjernetjenestekonfigurasjoner og eksperimentering.

Vanlige spørsmål:

Hva er anbefalingen for Microsoft Defender Core-tjenesten?

Vi anbefaler på det sterkeste å beholde standardinnstillingene for Microsoft Defender Core-tjenesten som kjører og rapporterer.

Hvilken datalagring og personvern overholder Microsoft Defender Core-tjenesten?

Se gjennom Microsoft Defender for endepunkt datalagring og personvern.

Kan jeg fremtvinge Microsoft Defender Core-tjenesten forblir kjører som administrator?

Du kan fremtvinge den ved hjelp av et av disse administrasjonsverktøyene:

  • Configuration Manager co-management
  • Gruppepolicy
  • PowerShell
  • Register

Bruk Configuration Manager co-management (ConfigMgr, tidligere MEMCM/SCCM) til å oppdatere policyen for Microsoft Defender Core-tjenesten

Microsoft Configuration Manager har en integrert mulighet til å kjøre PowerShell-skript for å oppdatere Microsoft Defender antiviruspolicyinnstillinger på tvers av alle datamaskiner i nettverket.

  1. Åpne Microsoft Configuration Manager-konsollen.
  2. Velg skript for programvarebibliotek > Opprett > skript.
  3. Skriv inn skriptnavnet, for eksempel Microsoft Defender Core-tjenestehåndhevelse og beskrivelse, for eksempel Demo-konfigurasjon for å aktivere Microsoft Defender Core-tjenesteinnstillinger.
  4. Angi språket til PowerShell og tidsavbruddet sekunder til 180
  5. Lim inn i følgende eksempel på "Microsoft Defender Core Service Enforcement"-skript som skal brukes som en mal:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Når du legger til et nytt skript, må du velge og godkjenne det. Godkjenningsstatusen endres fra Venter på godkjenning til Godkjent. Når det er godkjent, høyreklikker du på én enkelt enhet eller enhetssamling, og velger Kjør skript.

Velg skriptet fra listen (Microsoft Defender Kjernetjenestehåndhevelse i vårt eksempel) på skriptsiden i veiviseren Kjør skript. Bare godkjente skript vises. Velg Neste, og fullfør veiviseren.

Bruk gruppepolicy Redaktør til å oppdatere gruppepolicy for Microsoft Defender Core-tjenesten

  1. Last ned de nyeste Microsoft Defender gruppepolicy administrative maler herfra.

  2. Konfigurer sentralrepositoriet for domenekontroller.

    Obs!

    Kopier ADMX-filen, og bruk ADML-filen separat til en-US-mappen.

  3. Start, GPMC.msc (f.eks. Domenekontroller eller ) eller GPEdit.msc

  4. Gå til Datamaskinkonfigurasjon ->Administrative maler ->Windows-komponenter ->Microsoft Defender Antivirus

  5. Slå på ecs-integrering (Experimentation and Configuration Service) for Kjernetjenesten Defender

    • Ikke konfigurert eller aktivert (standard): Microsoft Defender kjernetjenesten bruker ECS til raskt å levere kritiske, organisasjonsspesifikke løsninger for Microsoft Defender Antivirus og annen Defender-programvare.
    • Deaktivert: kjernetjenesten for Microsoft Defender slutter å bruke ECS til raskt å levere kritiske, organisasjonsspesifikke løsninger for Microsoft Defender Antivirus og annen Defender-programvare. For falske positiver vil reparasjoner bli levert via «Sikkerhetsintelligensoppdateringer», og for plattform- og/eller motoroppdateringer vil reparasjoner bli levert via Microsoft Update, Microsoft Update Catalog eller WSUS.

  6. Slå på telemetri for Kjernetjeneste for Defender

    • Ikke konfigurert eller aktivert (standard): Microsoft Defender Core-tjenesten samler telemetri fra Microsoft Defender Antivirus og annen Defender-programvare
    • Deaktivert: Microsoft Defender Core-tjenesten slutter å samle telemetri fra Microsoft Defender Antivirus og annen Defender-programvare. Deaktivering av denne innstillingen kan påvirke Microsofts evne til raskt å gjenkjenne og løse problemer, for eksempel dårlig ytelse og falske positiver.

Bruk PowerShell til å oppdatere policyene for Microsoft Defender Core-tjenesten.

  1. Gå til Start, og kjør PowerShell som administrator.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration Bruk kommandoen $true eller $false, der $false = aktivert og $true = deaktivert. Eksempel:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Set-MpPreferences -DisableCoreServiceTelemetry Bruk kommandoen $true eller $false, for eksempel:

    Set-MpPreferences -DisableCoreServiceTelemetry $true

Bruk registeret til å oppdatere policyene for Microsoft Defender Core-tjenesten.

  1. Velg Start, og åpne deretter Regedit.exe som administrator.

  2. Gå til HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. Angi verdiene:

    DisableCoreService1DSTelemetry (dword) 0 (hex)
    0 = Ikke konfigurert, aktivert (standard)
    1 = Deaktivert

    DisableCoreServiceECSIntegration (dword) 0 (hex)
    0 = Ikke konfigurert, aktivert (standard)
    1 = Deaktivert