Übersicht über den Microsoft Defender Core-Dienst

Um Ihre Endpunktsicherheit zu verbessern, veröffentlicht Microsoft den Microsoft Defender Core-Dienst, um die Stabilität und Leistung von Microsoft Defender Antivirus zu unterstützen. Microsoft Defender Core-Dienst ist in Microsoft Defender Antivirus enthalten, sodass er überall dort verfügbar ist, wo Microsoft Defender Antivirus enthalten ist. Zum Beispiel:

• Windows 10 und Windows 11 Enterprise.
• Windows Server 2019 oder höher.
• Microsoft Defender for Endpoint eigenständig oder gebündelt mit anderen Angeboten. Zum Beispiel:
  • Microsoft 365 A5/E5/G5
  • Microsoft 365 Defender Suite
  • Microsoft Defender for Business (eigenständig oder in Microsoft 365 Business Premium enthalten)

Voraussetzungen

1. Der Microsoft Defender Core-Dienst wird mit Microsoft Defender Antivirus-Plattformversion 4.18.23110.2009 veröffentlicht.

2. Der Rollout soll wie folgt beginnen:

   • November 2023, um Kunden vorab zu präsentieren.

   • Mitte April 2024 für Unternehmenskunden, die Windows-Clients ausführen.

   • Anfang Juli 2024 für US-Behördenkunden, die Windows-Clients ausführen.

     Der Microsoft Defender Core-Dienst für Windows Server wird mit Microsoft Defender Antivirus-Plattformversion 4.18.25050.5 veröffentlicht.

   • Mitte Juli 2025 für Enterprise-Kunden, die Windows Server 2019 oder höher ausführen.

   • Mitte September 2025 für Enterprise-Kunden, die den Unified Microsoft Defender for Endpoint-Client für Windows Server 2012 R2 oder Windows Server 2016 ausführen.

3. Wenn Sie die Microsoft Defender for Endpoint optimierte Gerätekonnektivität verwenden, müssen Sie keine weiteren URLs hinzufügen.

4. Wenn Sie die Microsoft Defender for Endpoint Standardgerätekonnektivität verwenden:

   Unternehmenskunden sollten die folgenden URLs zulassen:

   • *.endpoint.security.microsoft.com
   • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
   • *.events.data.microsoft.com

   Wenn Sie die Wildcards für *.events.data.microsoft.comnicht verwenden möchten, können Sie Folgendes verwenden:

   • us-mobile.events.data.microsoft.com/OneCollector/1.0
   • eu-mobile.events.data.microsoft.com/OneCollector/1.0
   • uk-mobile.events.data.microsoft.com/OneCollector/1.0
   • au-mobile.events.data.microsoft.com/OneCollector/1.0
   • mobile.events.data.microsoft.com/OneCollector/1.0

   Unternehmenskunden für US-Behörden sollten die folgenden URLs zulassen:

   • *.events.data.microsoft.com
   • *.endpoint.security.microsoft.us (GCC-H & DoD)
   • *.gccmod.ecs.office.com (GCC-M)
   • *.config.ecs.gov.teams.microsoft.us (GCC-H)
   • *.config.ecs.dod.teams.microsoft.us (DoD)

5. Wenn Sie die Anwendungssteuerung für Windows verwenden oder nicht von Microsoft stammende Antivirensoftware oder Endpunkterkennungs- und -antwortsoftware ausführen, stellen Sie sicher, dass Sie die zuvor erwähnten Prozesse ihrer Positivliste hinzufügen.

6. Verbraucher müssen keine Maßnahmen ergreifen, um sich vorzubereiten.

Microsoft Defender Antivirus-Prozesse und -Dienste

In der folgenden Tabelle wird zusammengefasst, wo Sie Microsoft Defender Antivirenprozesse und -dienste (MdCoreSvc) mithilfe des Task-Managers auf Windows-Geräten anzeigen können.

Weitere Informationen zu den Microsoft Defender Core-Dienstkonfigurationen und -Experimenten (ECS) finden Sie unter Microsoft Defender Core-Dienstkonfigurationen und -experimente.

Häufig gestellte Fragen (FAQs)

Was ist die Empfehlung für Microsoft Defender Core-Dienst?

Es wird dringend empfohlen, dass die Standardeinstellungen des Microsoft Defender Core-Diensts ausgeführt werden und die Berichterstellung erfolgt.

Welche Datenspeicherung und welchen Datenschutz hält der Microsoft Defender Core-Dienst ein?

Lesen Sie Microsoft Defender for Endpoint Datenspeicherung und Datenschutz.

Kann ich erzwingen, dass der Microsoft Defender Core-Dienst weiterhin als Administrator ausgeführt wird?

Sie können sie mit einem der folgenden Verwaltungstools erzwingen:

• Configuration Manager Co-Management
• Gruppenrichtlinie
• PowerShell
• Die Registrierung

Verwenden sie Configuration Manager Co-Verwaltung (ConfigMgr, früher MEMCM/SCCM), um die Richtlinie für Microsoft Defender Core-Dienst zu aktualisieren.

Microsoft Configuration Manager verfügt über die integrierte Möglichkeit, PowerShell-Skripts auszuführen, um Microsoft Defender Antivirus-Richtlinieneinstellungen auf allen Computern in Ihrem Netzwerk zu aktualisieren.

1. Öffnen Sie die Microsoft Configuration Manager-Konsole.
2. Wählen Sie Softwarebibliotheksskripts >> Skript erstellen aus.
3. Geben Sie den Skriptnamen ein, z. B. Microsoft Defender Core-Diensterzwingung und Beschreibung, z. B. Demokonfiguration, um Microsoft Defender Core-Diensteinstellungen zu aktivieren.
4. Legen Sie die Sprache auf PowerShell und die Timeoutsekunden auf 180 fest.
5. Fügen Sie das folgende Skriptbeispiel für die Microsoft Defender Core-Diensterzwingung ein, um es als Vorlage zu verwenden:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######

Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date

$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss

$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"

Add-Content -Path $LogFile -Value "------------------------------------V 1.0

$ExecutionTime - Execution Starts -------------------------------------------"

Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"

# Set up Microsoft Defender Core service

Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile

Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile

$ExecutionTime = Get-Date

Add-Content -Path $LogFile -Value "------------------------------------

$ExecutionTime - Execution Ends -------------------------------------------"

Wenn Sie ein neues Skript hinzufügen, müssen Sie es auswählen und genehmigen. Der Genehmigungsstatus ändert sich von Warten auf Genehmigung in Genehmigt. Klicken Sie nach der Genehmigung mit der rechten Maustaste auf ein einzelnes Gerät oder eine Gerätesammlung, und wählen Sie Skript ausführen aus.

Wählen Sie auf der Skriptseite des Skriptausführungs-Assistenten Ihr Skript aus der Liste aus (Microsoft Defender Core-Diensterzwingung in unserem Beispiel). Es werden nur genehmigte Skripts angezeigt. Wählen Sie Weiter aus, und schließen Sie den Assistenten ab.

Verwenden des Gruppenrichtlinie-Editors zum Aktualisieren von Gruppenrichtlinie für Microsoft Defender Core-Dienst

1. Laden Sie die neuesten Microsoft Defender Gruppenrichtlinie Administrative Vorlagen hier herunter.

2. Richten Sie das zentrale Domänencontrollerrepository ein.

   Hinweis

   Kopieren Sie die ADMX-Datei und die ADML-Datei separat in den Ordner En-US.

3. Start, GPMC.msc (z. B. Domänencontroller oder) oder GPEdit.msc

4. Wechseln Sie zu Computerkonfiguration ->Administrative Vorlagen ->Windows-Komponenten ->Microsoft Defender Antivirus.

5. Aktivieren der Integration des Experimentieren- und Konfigurationsdiensts (ECS) für den Defender Core-Dienst

   • Nicht konfiguriert oder aktiviert (Standard): Der Microsoft Defender Core-Dienst verwendet ECS, um schnell kritische, organisationsspezifische Korrekturen für Microsoft Defender Antivirus und andere Defender-Software bereitzustellen.
   • Deaktiviert: Der Microsoft Defender Core-Dienst verwendet ECS nicht, um Korrekturen für Microsoft Defender Antivirus und andere Defender-Software bereitzustellen.
     • Bei falsch positiven Ergebnissen werden Korrekturen über "Security Intelligence-Updates" bereitgestellt.
     • Für Plattform- und/oder Engine-Updates werden Korrekturen über Microsoft Update, Microsoft Update Catalog oder WSUS bereitgestellt.

6. Aktivieren der Telemetrie für den Defender-Kerndienst

   • Nicht konfiguriert oder aktiviert (Standard): Der Microsoft Defender Core-Dienst sammelt Telemetriedaten von Microsoft Defender Antivirus und anderer Defender-Software.
   • Deaktiviert: Der Microsoft Defender Core-Dienst erfasst keine Telemetriedaten von Microsoft Defender Antivirus und anderer Defender-Software. Das Deaktivieren dieser Einstellung kann sich auf die Fähigkeit von Microsoft auswirken, Probleme wie langsame Leistung und falsch positive Ergebnisse schnell zu erkennen und zu beheben.

Verwenden von PowerShell zum Aktualisieren der Richtlinien für Microsoft Defender Core-Dienst

Verwenden Sie die folgende Syntax in einem PowerShell-Fenster mit erhöhten Rechten (ein PowerShell-Fenster, das Sie durch Auswahl von Als Administrator ausführen geöffnet haben):

Set-MpPreference -DisableCoreServiceECSIntegration <$true | $false> -DisableCoreServiceTelemetry <$true | $false>

• DisableCoreServiceECSIntegration:

  • $false(Standard): Der Microsoft Defender Core-Dienst verwendet ECS, um schnell kritische, organisationsspezifische Korrekturen für Microsoft Defender Antivirus und andere Defender-Software bereitzustellen.
  • $true: Der Microsoft Defender Core-Dienst verwendet ECS nicht, um Fehlerbehebungen für Microsoft Defender Antivirus und andere Defender-Software bereitzustellen.
    • Bei falsch positiven Ergebnissen werden Korrekturen über "Security Intelligence-Updates" bereitgestellt.
    • Für Plattform- und/oder Engine-Updates werden Korrekturen über Microsoft Update, Microsoft Update Catalog oder WSUS bereitgestellt.

• DisableCoreServiceTelemetry:

  • $false(Standard): Der Microsoft Defender Core-Dienst erfasst Telemetriedaten von Microsoft Defender Antivirus und anderer Defender-Software.
  • $true: Der Microsoft Defender Core-Dienst erfasst keine Telemetriedaten von Microsoft Defender Antivirus und anderer Defender-Software. Das Deaktivieren dieser Einstellung kann sich auf die Fähigkeit von Microsoft auswirken, Probleme wie langsame Leistung und falsch positive Ergebnisse schnell zu erkennen und zu beheben.

Zum Beispiel:

Set-MpPreference -DisableCoreServiceECSIntegration` $false -DisableCoreServiceTelemetry $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MpPreference.

Verwenden der Registrierung zum Aktualisieren der Richtlinien für Microsoft Defender Core-Dienst

1. Wählen Sie Start aus, und öffnen Sie dann Regedit.exe als Administrator.
2. Wechseln Sie zu HKLM\Software\Policies\Microsoft\Windows Defender\Features.
3. Legen Sie die Werte fest:
   • DisableCoreService1DSTelemetry (dword) 0 (hex)
     • 0 = Nicht konfiguriert, aktiviert (Standard)
     • 1 = Deaktiviert
   • DisableCoreServiceECSIntegration (dword) 0 (hex)
     • 0 = Nicht konfiguriert, aktiviert (Standard)
     • 1 = Deaktiviert