Visão geral do serviço do Microsoft Defender Core

Artigo
05/03/2024

serviço Microsoft Defender Core

Para aprimorar sua experiência de segurança do ponto de extremidade, a Microsoft está lançando o serviço Microsoft Defender Core para ajudar com a estabilidade e o desempenho do Microsoft Defender Antivírus.

Pré-requisitos

O serviço Microsoft Defender Core está sendo lançado com Microsoft Defender plataforma Antivírus versão 4.18.23110.2009.
A distribuição começa em:
- Novembro de 2023 para pré-lançamento de clientes.
- Meados de abril de 2024 para clientes Enterprise que executam clientes Windows.
- Meados de junho de 2024 para clientes do governo dos EUA que executam clientes Windows.
Se você estiver usando a Microsoft Defender para Ponto de Extremidade experiência simplificada de conectividade de dispositivo, não precisará adicionar nenhuma outra URL.
Se você estiver usando a Microsoft Defender para Ponto de Extremidade experiência padrão de conectividade de dispositivo:

Os clientes corporativos devem permitir as seguintes URLs:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Se você não quiser usar os curingas para *.events.data.microsoft.com, poderá usar:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Os clientes corporativos do governo dos EUA devem permitir as seguintes URLs:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Se você estiver usando o Controle de Aplicativo para Windows ou estiver executando softwares de detecção e resposta não microsoft antivírus ou ponto de extremidade, adicione os processos mencionados anteriormente à sua lista de permissões.
Os consumidores não precisam tomar nenhuma ação para se preparar.

Microsoft Defender processos e serviços antivírus

A tabela a seguir resume onde você pode exibir Microsoft Defender processos e serviços antivírus (MdCoreSvc) usando o Gerenciador de Tarefas em dispositivos Windows.

Processo ou serviço	Onde exibir seu status
`Antimalware Core Service`	Guia Processos
`MpDefenderCoreService.exe`	Guia Detalhes
`Microsoft Defender Core Service`	Guia Serviços

Para saber mais sobre as configurações e experimentos de serviço do Microsoft Defender Core (ECS), consulte Microsoft Defender Configurações e experimentações de serviço core.

Perguntas frequentes (perguntas frequentes):

Qual é a recomendação para o serviço Microsoft Defender Core?

É altamente recomendável manter as configurações padrão do serviço Microsoft Defender Core em execução e relatórios.

A qual armazenamento e privacidade de dados o serviço Microsoft Defender Core adere?

Examine Microsoft Defender para Ponto de Extremidade armazenamento de dados e privacidade.

Posso impor que o serviço Microsoft Defender Core permaneça em execução como administrador?

Você pode aplicá-la usando qualquer uma dessas ferramentas de gerenciamento:

Configuration Manager cogerenciamento
Política de Grupo
Windows PowerShell
Registro

Use Configuration Manager cogerenciamento (ConfigMgr, anteriormente MEMCM/SCCM) para atualizar a política para Microsoft Defender serviço Core

O Microsoft Configuration Manager tem uma capacidade integrada de executar scripts do PowerShell para atualizar Microsoft Defender configurações de política antivírus em todos os computadores da rede.

Abra o console Microsoft Configuration Manager.
Selecione Scripts > da Biblioteca > de Software Create Script.
Insira o nome do script, por exemplo, Microsoft Defender imposição do serviço Core e Descrição, por exemplo, configuração de demonstração para habilitar Microsoft Defender Configurações de serviço core.
Defina o idioma como PowerShell e os segundos de tempo limite como 180
Cole o seguinte exemplo de script "Microsoft Defender Core service enforcement" a ser usado como modelo:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Ao adicionar um novo script, você deve selecioná-lo e aprová-lo. O estado de aprovação muda de Aguardando aprovação paraAprovado. Depois de aprovado, clique com o botão direito do mouse em um único dispositivo ou coleção de dispositivos e selecione Executar script.

Na página de script do assistente Executar Script, escolha seu script na lista (Microsoft Defender aplicação do serviço Core em nosso exemplo). Somente scripts aprovados são exibidos. Selecione Próximo e conclua o assistente.

Usar Política de Grupo Editor para atualizar Política de Grupo para o serviço Microsoft Defender Core

Baixe os modelos administrativos Microsoft Defender Política de Grupo mais recentes daqui.
Configure o Repositório Central do Controlador de Domínio.

Observação

Copie o .admx e, separadamente, o .adml para a pasta En-US.
Iniciar, GPMC.msc (por exemplo, Controlador de Domínio ou ) ou GPEdit.msc
Acesse Configuração do Computador ->Modelos Administrativos ->Componentes do Windows ->Microsoft Defender Antivírus
Ativar a integração do ECS (Serviço de Experimentação e Configuração) para o serviço principal do Defender
- Não configurado ou habilitado (padrão): o serviço Microsoft Defender principal usará o ECS para fornecer rapidamente correções críticas e específicas da organização para Microsoft Defender Antivírus e outros softwares do Defender.
- Desabilitado: o serviço Microsoft Defender principal deixará de usar o ECS para fornecer rapidamente correções críticas e específicas da organização para Microsoft Defender Antivírus e outros softwares do Defender. Para falsos positivos, as correções serão entregues por meio de "atualizações de Inteligência de Segurança" e, para atualizações de plataforma e/ou mecanismo, as correções serão entregues por meio do Microsoft Update, Catálogo de Atualizações da Microsoft ou WSUS.
Ativar a telemetria para o serviço de núcleo do Defender
- Não configurado ou habilitado (padrão): o serviço Microsoft Defender Core coletará telemetria de Microsoft Defender Antivírus e outros softwares do Defender
- Desabilitado: o serviço Microsoft Defender Core deixará de coletar telemetria de Microsoft Defender Antivírus e outros softwares do Defender. Desabilitar essa configuração pode afetar a capacidade da Microsoft de reconhecer e resolver problemas rapidamente, como desempenho lento e falsos positivos.

Use o PowerShell para atualizar as políticas para Microsoft Defender serviço Core.

Vá para Iniciar e execute o PowerShell como administrador.
Use o Set-MpPreferences -DisableCoreServiceECSIntegration comando $true ou $false, em que $false = habilitado e $true = desabilitado. Por exemplo:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Use o Set-MpPreferences -DisableCoreServiceTelemetry comando $true ou $false, por exemplo:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Use o Registro para atualizar as políticas do serviço Microsoft Defender Core.

Selecione Iniciar e abra Regedit.exe como administrador.
Acesse HKLM\Software\Policies\Microsoft\Windows Defender\Features
Defina os valores:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Não configurado, habilitado (padrão)
1 = Desabilitado

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Não configurado, habilitado (padrão)
1 = Desabilitado