Microsoft Defender核心服务概述

Microsoft Defender核心服务

为了增强终结点安全体验，Microsoft 发布了 Microsoft Defender Core 服务，以帮助提高 Microsoft Defender 防病毒的稳定性和性能。

先决条件

1. Microsoft Defender核心服务随 Microsoft Defender 防病毒平台版本 4.18.23110.2009 一起发布。

2. 推出开始于：

   • 2023 年 11 月预发布客户。
   • 2024 年 4 月中旬，适用于运行 Windows 客户端的企业客户。
   • 2024 年 6 月中旬，适用于运行 Windows 客户端的美国政府客户。

3. 如果使用Microsoft Defender for Endpoint简化的设备连接体验，则无需添加任何其他 URL。

4. 如果使用Microsoft Defender for Endpoint标准设备连接体验：

   企业客户应允许以下 URL：

   • *.endpoint.security.microsoft.com
   • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
   • *.events.data.microsoft.com

   如果不想将 通配符用于 *.events.data.microsoft.com，可以使用：

   • us-mobile.events.data.microsoft.com/OneCollector/1.0
   • eu-mobile.events.data.microsoft.com/OneCollector/1.0
   • uk-mobile.events.data.microsoft.com/OneCollector/1.0
   • au-mobile.events.data.microsoft.com/OneCollector/1.0
   • mobile.events.data.microsoft.com/OneCollector/1.0

   美国政府企业客户应允许以下 URL：

   • *.events.data.microsoft.com
   • *.endpoint.security.microsoft.us (GCC-H & DoD)
   • *.gccmod.ecs.office.com (GCC-M)
   • *.config.ecs.gov.teams.microsoft.us (GCC-H)
   • *.config.ecs.dod.teams.microsoft.us (DoD)

5. 如果使用 适用于 Windows 的应用程序控制，或者正在运行非 Microsoft 防病毒或终结点检测和响应软件，请确保将前面提到的进程添加到允许列表中。

6. 使用者无需执行任何操作即可进行准备。

Microsoft Defender防病毒过程和服务

下表汇总了在 Windows 设备上使用任务管理器查看Microsoft Defender防病毒进程和服务 (MdCoreSvc) 的位置。

进程或服务	查看其状态的位置
Antimalware Core Service	“进程 ”选项卡
MpDefenderCoreService.exe	“详细信息 ”选项卡
Microsoft Defender Core Service	“服务”选项卡

若要详细了解 ECS) (Microsoft Defender核心服务配置和试验，请参阅Microsoft Defender核心服务配置和试验。

常见问题解答 (常见问题解答) ：

Microsoft Defender核心服务的建议是什么？

强烈建议保持Microsoft Defender核心服务的默认设置运行和报告。

Microsoft Defender核心服务遵循哪些数据存储和隐私？

查看Microsoft Defender for Endpoint数据存储和隐私。

是否可以强制Microsoft Defender核心服务以管理员身份保持运行？

可以使用以下任一管理工具强制实施：

• Configuration Manager共同管理
• 组策略
• PowerShell
• 注册表

使用Configuration Manager共同管理 (ConfigMgr（以前为 MEMCM/SCCM) ）更新Microsoft Defender核心服务的策略

Microsoft Configuration Manager具有运行 PowerShell 脚本的集成功能，可跨网络中的所有计算机更新Microsoft Defender防病毒策略设置。

1. 打开Microsoft Configuration Manager控制台。
2. 选择“软件库>脚本”>Create“脚本”。
3. 输入脚本名称，例如，Microsoft Defender核心服务强制实施和说明，例如“演示配置”以启用Microsoft Defender核心服务设置。
4. 将 “语言 ”设置为 PowerShell，将 “超时秒” 设置为 180
5. 粘贴以下“Microsoft Defender核心服务强制实施”脚本示例以用作模板：

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

添加新脚本时，必须选择并批准它。 审批状态从 “正在等待审批” 更改为 “已批准”。 批准后，右键单击单个设备或设备集合，然后选择“ 运行脚本”。

在“运行脚本”向导的脚本页上，从示例) (Microsoft Defender 核心服务强制实施列表中选择脚本。 仅显示已批准的脚本。 选择“下一步”并完成向导。

使用 组策略 编辑器 更新 Microsoft Defender Core 服务的 组策略

1. 从此处下载最新的Microsoft Defender 组策略管理模板。

2. 设置域控制器 中央存储库。

   注意

   将 .admx 和 .adml 分别复制到 En-US 文件夹。

3. 启动、GPMC.msc (例如域控制器或 ) 或 GPEdit.msc

4. 转到计算机配置 ->管理模板 ->Windows 组件 ->Microsoft Defender防病毒

5. 启用 Defender 核心服务的试验和配置服务 (ECS) 集成

   • 未配置或启用 (默认) ：Microsoft Defender核心服务将使用 ECS 为Microsoft Defender防病毒和其他 Defender 软件快速提供特定于组织的关键修补程序。
   • 已禁用：Microsoft Defender核心服务将停止使用 ECS 来快速为Microsoft Defender防病毒和其他 Defender 软件提供特定于组织的关键修补程序。 对于误报，修复将通过“安全智能更新”传递，对于平台和/或引擎更新，修复将通过 Microsoft 更新、Microsoft 更新目录或 WSUS 提供。

6. 为 Defender 核心服务启用遥测

   • 未配置或启用 (默认) ：Microsoft Defender核心服务将从Microsoft Defender防病毒和其他 Defender 软件收集遥测数据
   • 已禁用：Microsoft Defender核心服务将停止从防病毒和其他 Defender 软件收集Microsoft Defender遥测数据。 禁用此设置可能会影响 Microsoft 快速识别和解决性能缓慢和误报等问题的能力。

使用 PowerShell 更新Microsoft Defender核心服务的策略。

1. 转到 “开始”，然后以管理员身份运行 PowerShell。

2. Set-MpPreferences -DisableCoreServiceECSIntegration 使用 $true 或 $false 命令，其中 $false = enabled 和 $true = disabled。 例如：

   Set-MpPreferences -DisableCoreServiceECSIntegration $false 
   

3. Set-MpPreferences -DisableCoreServiceTelemetry 使用 $true 或 $false 命令，例如：

   Set-MpPreferences -DisableCoreServiceTelemetry $true
   

使用注册表更新Microsoft Defender核心服务的策略。

1. 选择“ 开始”，然后以管理员身份打开 Regedit.exe。

2. 转到 HKLM\Software\Policies\Microsoft\Windows Defender\Features

3. 设置值：

   DisableCoreService1DSTelemetry (dword) 0 (十六进制)
   0 = 未配置，已启用 (默认)
   1 = 已禁用

   DisableCoreServiceECSIntegration (dword) 0 (十六进制)
   0 = 未配置，已启用 (默认)
   1 = 已禁用