Overzicht van Microsoft Defender Core-service

Artikel
05/03/2024

Microsoft Defender Core-service

Om uw ervaring met eindpuntbeveiliging te verbeteren, brengt Microsoft de Microsoft Defender Core-service uit om te helpen bij de stabiliteit en prestaties van Microsoft Defender Antivirus.

Vereisten

De Microsoft Defender Core-service wordt uitgebracht met Microsoft Defender Antivirus-platform versie 4.18.23110.2009.
De implementatie begint op:
- November 2023 om klanten vooraf te verrelen.
- Medio april 2024 voor Enterprise-klanten met Windows-clients.
- Half juni 2024 aan amerikaanse overheidsklanten met Windows-clients.
Als u de Microsoft Defender voor Eindpunt gestroomlijnde apparaatconnectiviteit gebruikt, hoeft u geen andere URL's toe te voegen.
Als u de Microsoft Defender voor Eindpunt standaardapparaatconnectiviteit gebruikt:

Enterprise-klanten moeten de volgende URL's toestaan:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Als u de jokertekens *.events.data.microsoft.comvoor niet wilt gebruiken, kunt u het volgende gebruiken:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Zakelijke klanten van de Amerikaanse overheid moeten de volgende URL's toestaan:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Als u Application Control voor Windows gebruikt of als u niet-Microsoft-antivirus- of eindpuntdetectie- en responssoftware gebruikt, moet u de eerder genoemde processen toevoegen aan uw acceptatielijst.
Consumenten hoeven geen acties te ondernemen om zich voor te bereiden.

Microsoft Defender Antivirus-processen en -services

De volgende tabel geeft een overzicht van waar u Microsoft Defender Antivirus-processen en -services (MdCoreSvc) kunt bekijken met behulp van Taakbeheer op Windows-apparaten.

Proces of service	Waar kan ik de status bekijken?
`Antimalware Core Service`	Tabblad Processen
`MpDefenderCoreService.exe`	Tabblad Details
`Microsoft Defender Core Service`	Tabblad Services

Zie configuraties en experimenten van Microsoft Defender Core-service voor meer informatie over de Microsoft Defender Core-serviceconfiguraties en -experimenten (ECS).

Veelgestelde vragen (veelgestelde vragen):

Wat is de aanbeveling voor Microsoft Defender Core-service?

We raden u ten zeerste aan om de standaardinstellingen van de Microsoft Defender Core-service actief te houden en te rapporteren.

Aan welke gegevensopslag en privacy voldoet de Microsoft Defender Core-service?

Bekijk Microsoft Defender voor Eindpunt gegevensopslag en privacy.

Kan ik afdwingen dat de Microsoft Defender Core-service actief blijft als beheerder?

U kunt dit afdwingen met behulp van een van deze beheerhulpprogramma's:

Configuration Manager co-beheer
Groepsbeleid
PowerShell
Register

Gebruik Configuration Manager co-beheer (ConfigMgr, voorheen MEMCM/SCCM) om het beleid voor Microsoft Defender Core-service bij te werken

Microsoft Configuration Manager heeft een geïntegreerde mogelijkheid om PowerShell-scripts uit te voeren om Microsoft Defender antivirusbeleidsinstellingen op alle computers in uw netwerk bij te werken.

Open de Microsoft Configuration Manager-console.
Selecteer Softwarebibliotheekscripts >> Creatie Script.
Voer de scriptnaam in, bijvoorbeeld Microsoft Defender Core-service afdwingen en Beschrijving, bijvoorbeeld Demo-configuratie om Microsoft Defender Core-service-instellingen in te schakelen.
Stel de taal in op PowerShell en de time-outseconden op 180
Plak het volgende scriptvoorbeeld 'Microsoft Defender Core-service afdwingen' om als sjabloon te gebruiken:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Wanneer u een nieuw script toevoegt, moet u dit selecteren en goedkeuren. De goedkeuringsstatus verandert van Wachten op goedkeuring in Goedgekeurd. Zodra dit is goedgekeurd, klikt u met de rechtermuisknop op één apparaat of apparaatverzameling en selecteert u Script uitvoeren.

Kies op de scriptpagina van de wizard Script uitvoeren uw script in de lijst (Microsoft Defender Core-service afdwingen in ons voorbeeld). Alleen goedgekeurde scripts worden weergegeven. Selecteer Volgende en voltooi de wizard.

Gebruik groepsbeleid Editor om groepsbeleid voor Microsoft Defender Core-service bij te werken

Download hier de meest recente Microsoft Defender groepsbeleid Beheersjablonen.
Stel de centrale opslagplaats van de domeincontroller in.

Opmerking

Kopieer de .admx en afzonderlijk de .adml naar de map En-US.
Start, GPMC.msc (bijvoorbeeld domeincontroller of ) of GPEdit.msc
Ga naar Computerconfiguratie ->Beheersjablonen ->Windows-onderdelen ->Microsoft Defender Antivirus
Integratie van Experimenten en configuratieservice (ECS) inschakelen voor Defender Core-service
- Niet geconfigureerd of ingeschakeld (standaard): de Microsoft Defender kernservice gebruikt ECS om snel kritieke, organisatiespecifieke oplossingen te leveren voor Microsoft Defender Antivirus en andere Defender-software.
- Uitgeschakeld: de Microsoft Defender kernservice stopt met het gebruik van ECS om snel kritieke, organisatiespecifieke oplossingen te leveren voor Microsoft Defender Antivirus en andere Defender-software. Voor fout-positieven worden correcties geleverd via 'Security Intelligence-updates' en voor platform- en/of engine-updates worden correcties geleverd via Microsoft Update, Microsoft Update-catalogus of WSUS.
Telemetrie inschakelen voor Defender Core-service
- Niet geconfigureerd of ingeschakeld (standaard): de Microsoft Defender Core-service verzamelt telemetrie van Microsoft Defender Antivirus en andere Defender-software
- Uitgeschakeld: de Microsoft Defender Core-service stopt met het verzamelen van telemetriegegevens van Microsoft Defender Antivirus en andere Defender-software. Het uitschakelen van deze instelling kan van invloed zijn op het vermogen van Microsoft om snel problemen te herkennen en op te lossen, zoals trage prestaties en fout-positieven.

Gebruik PowerShell om het beleid voor Microsoft Defender Core-service bij te werken.

Ga naar Start en voer PowerShell uit als beheerder.
Gebruik de Set-MpPreferences -DisableCoreServiceECSIntegration opdracht $true of $false, waarbij $false = ingeschakeld en $true = uitgeschakeld. Bijvoorbeeld:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Gebruik de Set-MpPreferences -DisableCoreServiceTelemetry opdracht $true of $false, bijvoorbeeld:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Gebruik het register om het beleid voor Microsoft Defender Core-service bij te werken.

Selecteer Start en open vervolgens Regedit.exe als beheerder.
Ga naar HKLM\Software\Policies\Microsoft\Windows Defender\Features
Stel de waarden in:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Niet geconfigureerd, ingeschakeld (standaard)
1 = Uitgeschakeld

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Niet geconfigureerd, ingeschakeld (standaard)
1 = Uitgeschakeld

Delen via