Udostępnij przez

Omówienie usługi Microsoft Defender Core

Aby ulepszyć środowisko zabezpieczeń punktu końcowego, firma Microsoft udostępnia usługę Microsoft Defender Core, aby pomóc w stabilności i wydajności programu antywirusowego Microsoft Defender. usługa Microsoft Defender Core jest uwzględniona w programie antywirusowym Microsoft Defender, więc jest dostępna wszędzie tam, gdzie jest uwzględniony program antywirusowy Microsoft Defender. Przykład:

  • Windows 10 i Windows 11 Enterprise.
  • Windows Server 2019 r. lub nowszy.
  • Ochrona punktu końcowego w usłudze Microsoft Defender autonomiczne lub powiązane z innymi ofertami. Przykład:
    • Microsoft 365 A5/E5/G5
    • Microsoft 365 Pakiet Defender
    • Microsoft Defender dla Firm (autonomiczna lub uwzględniona w Microsoft 365 Business Premium)

Wymagania wstępne

  1. Usługa Microsoft Defender Core jest udostępniana z platformą antywirusową Microsoft Defender w wersji 4.18.23110.2009.

  2. Wdrożenie ma się rozpocząć w następujący sposób:

  3. Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender usprawnione środowisko łączności urządzeń, nie musisz dodawać żadnych innych adresów URL.

  4. Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender standardowego środowiska łączności urządzenia:

    Klienci korporacyjni powinni zezwalać na następujące adresy URL:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Jeśli nie chcesz używać symboli wieloznacznych dla *.events.data.microsoft.comprogramu , możesz użyć następujących elementów:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Klienci korporacyjni dla instytucji rządowych USA powinni zezwalać na następujące adresy URL:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Jeśli używasz kontroli aplikacji dla systemu Windows lub korzystasz z oprogramowania antywirusowego lub oprogramowania do wykrywania i reagowania punktów końcowych innych niż Microsoft, pamiętaj o dodaniu procesów wymienionych wcześniej do listy dozwolonych.

  6. Konsumenci nie muszą podejmować żadnych działań w celu przygotowania.

Microsoft Defender procesy i usługi antywirusowe

Poniższa tabela zawiera podsumowanie, gdzie można wyświetlać Microsoft Defender procesy i usługi antywirusowe (MdCoreSvc) przy użyciu Menedżera zadań na urządzeniach z systemem Windows.

Proces lub usługa Gdzie wyświetlić jego stan
Antimalware Core Service Karta Procesy
MpDefenderCoreService.exe Karta Szczegóły
Microsoft Defender Core Service Karta Usługi

Aby dowiedzieć się więcej na temat konfiguracji usługi Microsoft Defender Core i eksperymentowania (ECS), zobacz konfiguracje usług Microsoft Defender Core i eksperymenty.

Często zadawane pytania

Jakie jest zalecenie dotyczące usługi Microsoft Defender Core?

Zdecydowanie zalecamy zachowanie ustawień domyślnych usługi Microsoft Defender Core w celu uruchamiania i raportowania.

Jakiego magazynu danych i prywatności używa usługa Microsoft Defender Core?

Przejrzyj Ochrona punktu końcowego w usłudze Microsoft Defender magazyn danych i prywatność.

Czy mogę wymusić, że usługa Microsoft Defender Core pozostaje uruchomiona jako administrator?

Można go wymusić przy użyciu dowolnego z następujących narzędzi do zarządzania:

Użyj Configuration Manager współzarządzania (ConfigMgr, dawniej MEMCM/SCCM), aby zaktualizować zasady dla usługi Microsoft Defender Core

Firma Microsoft Configuration Manager ma zintegrowaną możliwość uruchamiania skryptów programu PowerShell w celu aktualizowania ustawień zasad programu antywirusowego Microsoft Defender na wszystkich komputerach w sieci.

  1. Otwórz konsolę Microsoft Configuration Manager.
  2. Wybierz pozycję Skrypty > biblioteki > oprogramowania Utwórz skrypt.
  3. Wprowadź nazwę skryptu, na przykład Microsoft Defender Wymuszanie usługi Core i Opis, na przykład Konfiguracja demonstracyjna, aby włączyć ustawienia usługi Microsoft Defender Core.
  4. Ustaw wartość Language na PowerShell, a w sekundach limit czasu na 180
  5. Wklej następujący przykład skryptu "Microsoft Defender Core service enforcement", aby użyć go jako szablonu:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######

Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date

$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss

$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"

Add-Content -Path $LogFile -Value "------------------------------------V 1.0

$ExecutionTime - Execution Starts -------------------------------------------"

Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"

# Set up Microsoft Defender Core service

Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile

Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile

$ExecutionTime = Get-Date

Add-Content -Path $LogFile -Value "------------------------------------

$ExecutionTime - Execution Ends -------------------------------------------"

Podczas dodawania nowego skryptu należy go wybrać i zatwierdzić. Stan zatwierdzenia zmienia się z Oczekiwanie na zatwierdzenie na Zatwierdzone. Po zatwierdzeniu kliknij prawym przyciskiem myszy pojedyncze urządzenie lub kolekcję urządzeń, a następnie wybierz pozycję Uruchom skrypt.

Na stronie skryptu kreatora Uruchamianie skryptu wybierz skrypt z listy (w naszym przykładzie Microsoft Defender Wymuszanie usługi Core). Wyświetlane są tylko zatwierdzone skrypty. Wybierz pozycję Dalej i ukończ pracę kreatora.

Aktualizowanie zasady grupy dla usługi Microsoft Defender Core przy użyciu edytora zasady grupy

  1. Pobierz najnowsze szablony administracyjne Microsoft Defender zasady grupy tutaj.

  2. Skonfiguruj centralne repozytorium kontrolera domeny.

    Uwaga

    Skopiuj plik admx i oddzielnie plik adml do folderu En-US.

  3. Start, GPMC.msc (np. Kontroler domeny lub) lub GPEdit.msc

  4. Przejdź do pozycji Konfiguracja komputera —>Szablony administracyjne —>Składniki systemu Windows —>Microsoft Defender antywirusowe

  5. Włączanie integracji usługi Experimentation and Configuration Service (ECS) dla usługi Defender Core

    • Nieskonfigurowane lub włączone (ustawienie domyślne): podstawowa usługa Microsoft Defender używa usługi ECS do szybkiego dostarczania krytycznych poprawek specyficznych dla organizacji dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender.
    • Wyłączone: podstawowa usługa Microsoft Defender nie używa usługi ECS do dostarczania poprawek dotyczących programu antywirusowego Microsoft Defender i innego oprogramowania defender.
      • W przypadku wyników fałszywie dodatnich poprawki są dostarczane za pośrednictwem "aktualizacji analizy zabezpieczeń".
      • W przypadku aktualizacji platformy i/lub aparatu poprawki są dostarczane za pośrednictwem usług Microsoft Update, Microsoft Update Catalog lub WSUS.

  6. Włączanie telemetrii dla podstawowej usługi Defender

    • Nieskonfigurowane lub włączone (ustawienie domyślne): usługa Microsoft Defender Core zbiera dane telemetryczne z programu antywirusowego Microsoft Defender i innego oprogramowania Defender.
    • Wyłączone: usługa Microsoft Defender Core nie zbiera danych telemetrycznych z programu antywirusowego Microsoft Defender i innego oprogramowania defender. Wyłączenie tego ustawienia może mieć wpływ na zdolność firmy Microsoft do szybkiego rozpoznawania i rozwiązywania problemów, takich jak niska wydajność i wyniki fałszywie dodatnie.

Aktualizowanie zasad usługi Microsoft Defender Core przy użyciu programu PowerShell

Użyj następującej składni w oknie programu PowerShell z podwyższonym poziomem uprawnień (okno programu PowerShell otwarte przez wybranie pozycji Uruchom jako administrator):

Set-MpPreference -DisableCoreServiceECSIntegration <$true | $false> -DisableCoreServiceTelemetry <$true | $false>

  • DisableCoreServiceECSIntegration:

    • $false(ustawienie domyślne): podstawowa usługa Microsoft Defender używa usługi ECS do szybkiego dostarczania krytycznych poprawek specyficznych dla organizacji dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender.
    • $true: podstawowa usługa Microsoft Defender nie używa usługi ECS do dostarczania poprawek dla programu antywirusowego Microsoft Defender i innego oprogramowania Defender.
      • W przypadku wyników fałszywie dodatnich poprawki są dostarczane za pośrednictwem "aktualizacji analizy zabezpieczeń".
      • W przypadku aktualizacji platformy i/lub aparatu poprawki są dostarczane za pośrednictwem usług Microsoft Update, Microsoft Update Catalog lub WSUS.

  • DisableCoreServiceTelemetry:

    • $false(ustawienie domyślne): usługa Microsoft Defender Core zbiera dane telemetryczne z programu antywirusowego Microsoft Defender i innego oprogramowania defender.
    • $true: usługa Microsoft Defender Core nie zbiera danych telemetrycznych z programu antywirusowego Microsoft Defender i innego oprogramowania defender. Wyłączenie tego ustawienia może mieć wpływ na zdolność firmy Microsoft do szybkiego rozpoznawania i rozwiązywania problemów, takich jak niska wydajność i wyniki fałszywie dodatnie.

Przykład:

Set-MpPreference -DisableCoreServiceECSIntegration` $false -DisableCoreServiceTelemetry $true

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-MpPreference.

Aktualizowanie zasad usługi Microsoft Defender Core przy użyciu rejestru

  1. Wybierz pozycję Start, a następnie otwórz Regedit.exe jako administrator.
  2. Przejdź do HKLM\Software\Policies\Microsoft\Windows Defender\Features
  3. Ustaw wartości:
    • DisableCoreService1DSTelemetry (dword) 0 (szesnastkowa)
      • 0 = Nie skonfigurowano, włączono (ustawienie domyślne)
      • 1 = Wyłączone
    • DisableCoreServiceECSIntegration (dword) 0 (szesnastkowa)
      • 0 = Nie skonfigurowano, włączono (ustawienie domyślne)
      • 1 = Wyłączone
  • Last updated on