přehled služby Microsoft Defender Core
služba Microsoft Defender Core
Microsoft vydává službu Microsoft Defender Core, která pomáhá se stabilitou a výkonem Microsoft Defender Antivirové ochrany, aby zlepšila možnosti zabezpečení koncových bodů.
Požadavky
Služba Microsoft Defender Core se vydává s platformou Microsoft Defender Antivirus verze 4.18.23110.2009.
Zavedení je naplánováno takto:
Listopad 2023 k předběžnému vydání zákazníků.
Od poloviny dubna 2024 pro podnikové zákazníky, kteří používají klienty Windows.
Od července 2024 pro zákazníky státní správy USA, kteří používají klienty Windows.
V polovině ledna 2025 pro podnikové zákazníky se systémem Windows Server.
Pokud používáte Microsoft Defender for Endpoint zjednodušené možnosti připojení zařízení, nemusíte přidávat žádné další adresy URL.
Pokud používáte Microsoft Defender for Endpoint standardní možnosti připojení zařízení:
Podnikoví zákazníci by měli povolit následující adresy URL:
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
Pokud nechcete používat zástupné cardy pro
*.events.data.microsoft.com
, můžete použít:us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
Zákazníci se smlouvou Enterprise pro státní správu USA by měli povolit následující adresy URL:
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
Pokud používáte řízení aplikací pro Windows nebo používáte antivirový software nebo software pro detekci koncových bodů a odezvu jiné společnosti než Microsoft, nezapomeňte na seznam povolených přidat výše uvedené procesy.
Spotřebitelé nemusí při přípravě provádět žádné akce.
procesy a služby Microsoft Defender Antivirus
Následující tabulka shrnuje, kde můžete zobrazit Microsoft Defender antivirové procesy a služby (MdCoreSvc
) pomocí Správce úloh na zařízeních s Windows.
Proces nebo služba | Kde zobrazit stav |
---|---|
Antimalware Core Service |
Karta Procesy |
MpDefenderCoreService.exe |
Karta Podrobnosti |
Microsoft Defender Core Service |
Karta Služby |
Další informace o konfiguracích služby Microsoft Defender Core a experimentování (ECS) najdete v tématu konfigurace služby Microsoft Defender Core a experimentování.
Nejčastější dotazy:
Jaké je doporučení pro službu Microsoft Defender Core?
Důrazně doporučujeme ponechat výchozí nastavení služby Microsoft Defender Core spuštěné a vykazované.
Jaké úložiště dat a ochrana osobních údajů dodržuje služba Microsoft Defender Core?
Zkontrolujte Microsoft Defender for Endpoint úložiště dat a ochranu osobních údajů.
Můžu vynutit, aby služba Microsoft Defender Core zůstala spuštěná jako správce?
Můžete ho vynutit pomocí některého z těchto nástrojů pro správu:
- Configuration Manager spoluspráva
- Zásady skupiny
- PowerShell
- Registr
Pomocí Configuration Manager spolusprávy (ConfigMgr, dříve MEMCM/SCCM) aktualizujte zásady pro službu Microsoft Defender Core.
Microsoft Configuration Manager má integrovanou schopnost spouštět skripty PowerShellu, které aktualizují nastavení zásad Microsoft Defender antivirové ochrany na všech počítačích v síti.
- Otevřete konzolu Microsoft Configuration Manager.
- Vyberte Skripty > softwarové knihovny > Vytvořit skript.
- Zadejte název skriptu, například Microsoft Defender vynucování služby Core a Popis, například Ukázková konfigurace pro povolení Microsoft Defender nastavení služby Core.
- Nastavte Jazyk na PowerShell a sekundy časového limitu na 180.
- Vložte následující příklad skriptu vynucení služby Microsoft Defender Core, který použijete jako šablonu:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
Když přidáváte nový skript, musíte ho vybrat a schválit. Stav schválení se změní z Čeká se na schválení na Schváleno. Po schválení klikněte pravým tlačítkem na jedno zařízení nebo kolekci zařízení a vyberte Spustit skript.
Na stránce skriptu v Průvodci spuštěním skriptu vyberte svůj skript ze seznamu (v našem příkladu Microsoft Defender vynucení služby Core). Zobrazí se pouze schválené skripty. Vyberte Další a dokončete průvodce.
Aktualizace Zásady skupiny pro službu Microsoft Defender Core pomocí Zásady skupiny Editor
Stáhněte si nejnovější Microsoft Defender Zásady skupiny Šablony pro správu odsud.
Nastavte centrální úložiště řadiče domény.
Poznámka
Zkopírujte .admx a samostatně .adml do složky En-US.
Start, GPMC.msc (např. řadič domény nebo ) nebo GPEdit.msc
Přejděte na Konfigurace počítače ->Šablony pro správu ->Součásti systému Windows ->Microsoft Defender Antivirus
Zapnutí integrace služby Experimentování a konfigurace (ECS) pro základní službu Defenderu
- Nenakonfigurováno nebo povoleno (výchozí): základní služba Microsoft Defender bude používat ECS k rychlému poskytování důležitých oprav specifických pro organizaci pro Microsoft Defender Antivirus a další software Defender.
- Zakázáno: Základní služba Microsoft Defender přestane používat ECS k rychlému poskytování kritických oprav specifických pro organizaci pro Microsoft Defender Antivirus a další software Defender. V případě falešně pozitivních výsledků budou opravy doručovány prostřednictvím "aktualizací security intelligence" a u aktualizací platformy nebo modulu budou opravy doručovány prostřednictvím služby Microsoft Update, Katalogu služby Microsoft Update nebo služby WSUS.
Zapnutí telemetrie pro základní službu Defenderu
- Nenakonfigurováno nebo povoleno (výchozí): Služba Microsoft Defender Core bude shromažďovat telemetrická data z Microsoft Defender Antivirus a dalšího softwaru Defender.
- Zakázáno: Služba Microsoft Defender Core přestane shromažďovat telemetrická data z antivirové ochrany Microsoft Defender a dalšího softwaru Defender. Zakázání tohoto nastavení může mít vliv na schopnost Microsoftu rychle rozpoznat a řešit problémy, jako je nízký výkon a falešně pozitivní výsledky.
Pomocí PowerShellu aktualizujte zásady pro službu Microsoft Defender Core.
Přejděte na Start a spusťte PowerShell jako správce.
Set-MpPreferences -DisableCoreServiceECSIntegration
Použijte příkaz $true nebo $false, kde$false
= povoleno a$true
= zakázáno. Příklady:Set-MpPreferences -DisableCoreServiceECSIntegration $false
Set-MpPreferences -DisableCoreServiceTelemetry
Použijte příkaz $true nebo $false, například:Set-MpPreferences -DisableCoreServiceTelemetry $true
Pomocí registru aktualizujte zásady pro službu Microsoft Defender Core.
Vyberte Start a pak otevřete Regedit.exe jako správce.
Přejít na
HKLM\Software\Policies\Microsoft\Windows Defender\Features
Nastavte hodnoty:
DisableCoreService1DSTelemetry
(dword) 0 (šestnáctkový)
0
= Nenakonfigurováno, povoleno (výchozí)
1
= ZakázánoDisableCoreServiceECSIntegration
(dword) 0 (šestnáctkový)
0
= Nenakonfigurováno, povoleno (výchozí)
1
= Zakázáno