Descrição geral do serviço Microsoft Defender Core

Artigo
05/03/2024

serviço Microsoft Defender Core

Para melhorar a sua experiência de segurança de ponto final, a Microsoft está a lançar o serviço Microsoft Defender Core para ajudar na estabilidade e no desempenho do Antivírus Microsoft Defender.

Pré-requisitos

O serviço Microsoft Defender Core está a ser lançado com Microsoft Defender versão 4.18.23110.2009 da plataforma Antivírus.
A implementação começa em:
- Novembro de 2023 para pré-lançamento de clientes.
- Meados de abril de 2024 para clientes Enterprise com clientes Windows.
- Meados de junho de 2024 para clientes do Governo dos E.U.A. com clientes Windows.
Se estiver a utilizar o Microsoft Defender para Endpoint experiência de conectividade simplificada do dispositivo, não precisa de adicionar outros URLs.
Se estiver a utilizar o Microsoft Defender para Endpoint experiência padrão de conectividade do dispositivo:

Os clientes empresariais devem permitir os seguintes URLs:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Se não quiser utilizar os carateres universais para *.events.data.microsoft.com, pode utilizar:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Os clientes do Enterprise U.S. Government devem permitir os seguintes URLs:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Se estiver a utilizar o Controlo de Aplicações para Windows ou estiver a executar software antivírus ou de deteção e resposta de pontos finais não Microsoft, certifique-se de que adiciona os processos mencionados anteriormente à lista de permissões.
Os consumidores não precisam de tomar medidas para se prepararem.

Microsoft Defender processos e serviços antivírus

A tabela seguinte resume onde pode ver Microsoft Defender processos e serviços antivírus (MdCoreSvc) através do Gestor de Tarefas em dispositivos Windows.

Processo ou serviço	Onde ver o respetivo estado
`Antimalware Core Service`	Separador Processos
`MpDefenderCoreService.exe`	Separador Detalhes
`Microsoft Defender Core Service`	Separador Serviços

Para saber mais sobre as configurações e experimentação do serviço Microsoft Defender Core (ECS), veja configurações e experimentação do serviço Microsoft Defender Core.

Perguntas Mais Frequentes (FAQ):

Qual é a recomendação para o serviço Microsoft Defender Core?

Recomendamos vivamente que mantenha as predefinições do serviço Microsoft Defender Core em execução e relatórios.

A que armazenamento de dados e privacidade o serviço Microsoft Defender Core cumpre?

Reveja Microsoft Defender para Endpoint armazenamento de dados e privacidade.

Posso impor que o serviço Microsoft Defender Core permaneça em execução como Administrador?

Pode aplicá-la com qualquer uma destas ferramentas de gestão:

cogestão de Configuration Manager
Política de Grupo
PowerShell
Registo

Utilize a cogestão Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM) para atualizar a política do serviço Microsoft Defender Core

O Microsoft Configuration Manager tem uma capacidade integrada de executar scripts do PowerShell para atualizar Microsoft Defender definições de política antivírus em todos os computadores na sua rede.

Abra a consola Microsoft Configuration Manager.
Selecione Scripts de Biblioteca > de > Software Create Script.
Introduza o Nome do script, por exemplo, Microsoft Defender Core service enforcement (Descrição) e Description (Descrição), por exemplo, Demo configuration (Configuração de demonstração) para ativar as definições do serviço Microsoft Defender Core.
Defina o Idioma para o PowerShell e os segundos de Tempo Limite para 180
Cole o seguinte exemplo de script "Microsoft Defender Core service enforcement" para utilizar como modelo:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Ao adicionar um novo script, tem de selecioná-lo e aprová-lo. O estado de aprovação muda de A aguardar aprovação paraAprovado. Depois de aprovado, clique com o botão direito do rato numa única coleção de dispositivos ou dispositivos e selecione Executar script.

Na página script do assistente Executar Script, selecione o script na lista (Microsoft Defender imposição do serviço Core no nosso exemplo). Só são apresentados scripts aprovados. Selecione Seguinte e conclua o assistente.

Utilizar Política de Grupo Revisor para atualizar Política de Grupo para o serviço Microsoft Defender Core

Transfira a Microsoft Defender Política de Grupo Modelos Administrativos mais recente a partir daqui.
Configure o Repositório Central do Controlador de Domínio.

Nota

Copie o .admx e, separadamente, o .adml para a pasta En-US.
Iniciar, GPMC.msc (por exemplo, Controlador de Domínio ou ) ou GPEdit.msc
Aceda a Configuração do Computador ->Modelos Administrativos ->Componentes do Windows ->Microsoft Defender Antivírus
Ativar a integração do Serviço de Experimentação e Configuração (ECS) para o serviço de núcleo do Defender
- Não configurado ou ativado (predefinição): o Microsoft Defender serviço principal utilizará o ECS para fornecer rapidamente correções críticas e específicas da organização para Microsoft Defender Antivírus e outro software Defender.
- Desativado: o Microsoft Defender serviço principal deixará de utilizar o ECS para fornecer rapidamente correções críticas e específicas da organização para Microsoft Defender Antivírus e outro software Defender. Para falsos positivos, as correções serão fornecidas através de "Atualizações de Informações de Segurança" e, para atualizações da Plataforma e/ou do Motor, as correções serão fornecidas através do Microsoft Update, Catálogo Microsoft Update ou WSUS.
Ativar a telemetria para o serviço Defender Core
- Não configurado ou ativado (predefinição): o serviço Microsoft Defender Core recolherá telemetria do Antivírus Microsoft Defender e de outro software Defender
- Desativado: o serviço Microsoft Defender Core deixará de recolher telemetria de Microsoft Defender Antivírus e outro software Defender. Desativar esta definição pode afetar a capacidade da Microsoft de reconhecer e resolver rapidamente problemas, como desempenho lento e falsos positivos.

Utilize o PowerShell para atualizar as políticas do serviço Microsoft Defender Core.

Aceda a Iniciar e execute o PowerShell como administrador.
Utilize o Set-MpPreferences -DisableCoreServiceECSIntegration comando $true ou $false, em que $false = ativado e $true = desativado. Por exemplo:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Utilize o Set-MpPreferences -DisableCoreServiceTelemetry comando $true ou $false, por exemplo:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Utilize o Registo para atualizar as políticas do serviço Microsoft Defender Core.

Selecione Iniciar e, em seguida, abra Regedit.exe como administrador.
Aceda a HKLM\Software\Policies\Microsoft\Windows Defender\Features
Defina os valores:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Não configurado, ativado (predefinição)
1 = Desativado

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Não configurado, ativado (predefinição)
1 = Desativado

Partilhar via