Microsoft Defender Core -palvelun yleiskatsaus
Microsoft Defender Core -palvelu
Microsoft julkaisee Microsoft Defender Core -palvelun Microsoft Defender virustentorjunnan vakauden ja suorituskyvyn parantamiseksi.
Ennakkovaatimukset
Microsoft Defender Core -palvelu julkaistaan Microsoft Defender virustentorjuntaympäristön versiolla 4.18.23110.2009.
Käyttöönoton on tarkoitus alkaa seuraavasti:
Marraskuu 2023 asiakkaiden ennakkojulkaisuun.
Huhtikuun 2024 puolivälistä yritysasiakkaille, jotka käyttävät Windows-asiakasohjelmia.
Heinäkuusta 2024 alkaen Yhdysvaltain valtionhallinnon asiakkaille, jotka käyttävät Windows-asiakkaita.
Tammikuun 2025 puolivälistä Yritysasiakkaille, joiden käyttöjärjestelmä on Windows Server.
Jos käytät virtaviivaistettua laiteyhteyskokemusta Microsoft Defender for Endpoint, sinun ei tarvitse lisätä muita URL-osoitteita.
Jos käytät Microsoft Defender for Endpoint tavallista laiteyhteyttä:
Yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
Jos et halua käyttää yleismerkkejä lle
*.events.data.microsoft.com
, voit käyttää seuraavaa:us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
Yhdysvaltain valtionhallinnon yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
Jos käytössäsi on Windowsin sovellusten hallinta tai jokin muu kuin Microsoftin virustentorjuntaohjelma tai päätepisteen tunnistus- ja vastausohjelmisto, muista lisätä edellä mainitut prosessit sallittujen luetteloon.
Kuluttajien ei tarvitse tehdä mitään valmisteluja.
Microsoft Defender virustentorjuntaprosessit ja -palvelut
Seuraavassa taulukossa on yhteenveto siitä, missä voit tarkastella Microsoft Defender virustentorjuntaprosesseja ja -palveluita (MdCoreSvc
) Windows-laitteiden Tehtävienhallinnan avulla.
Prosessi tai palvelu | Missä voit tarkastella sen tilaa |
---|---|
Antimalware Core Service |
Prosessit-välilehti |
MpDefenderCoreService.exe |
Tiedot-välilehti |
Microsoft Defender Core Service |
Palvelut-välilehti |
Lisätietoja Microsoft Defender Core -palvelun kokoonpanoista ja kokeiluista on kohdassa Microsoft Defender Ydinpalvelun kokoonpanot ja kokeilut.
Usein kysytyt kysymykset:
Mikä on Microsoft Defender Core -palvelun suositus?
On erittäin suositeltavaa pitää Microsoft Defender Core -palvelun oletusasetukset käynnissä ja raportoinnissa.
Mitä tallennustilaa ja yksityisyyttä Microsoft Defender Core -palvelu noudattaa?
Tarkista Microsoft Defender for Endpoint tietojen tallennustila ja tietosuoja.
Voinko pakottaa, että Microsoft Defender Core -palvelu pysyy käynnissä järjestelmänvalvojana?
Voit pakottaa sen käyttämällä mitä tahansa seuraavista hallintatyökaluista:
- Configuration Manager yhteishallintaa
- Ryhmäkäytäntö
- PowerShell
- Rekisteri
Microsoft Defender Core -palvelun käytännön päivittäminen Configuration Manager yhteishallinnan (ConfigMgr, aiempi MEMCM/SCCM) avulla
Microsoft Configuration Manager on integroitu kyky suorittaa PowerShell-komentosarjoja Microsoft Defender virustentorjuntakäytännön asetusten päivittämiseksi kaikissa verkon tietokoneissa.
- Avaa Microsoft Configuration Manager konsoli.
- Valitse Ohjelmistokirjaston > komentosarjat > Luo komentosarja.
- Anna komentosarjan nimi, esimerkiksi Microsoft Defender Ydinpalvelun pakottaminen ja Kuvaus, esimerkiksi Esittelymääritys, jotta Microsoft Defender Core -palvelun asetukset otetaan käyttöön.
- Määritä kieleksi PowerShell ja Aikakatkaisu-sekunnille 180
- Liitä seuraava "Microsoft Defender Core Service Enforcement" -komentosarjaesimerkki malliksi käytettäväksi:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
Kun lisäät uuden komentosarjan, sinun on valittava ja hyväksyttävä se. Hyväksynnän tila muuttuu Odottaa hyväksyntää -kohdasta Hyväksytyksi. Kun hyväksyntä on hyväksytty, napsauta hiiren kakkospainikkeella yksittäistä laitetta tai laitekokoelmaa ja valitse Suorita komentosarja.
Valitse ohjatun komentosarjan suorittamisen komentosarjasivulla komentosarjasi luettelosta (esimerkissä Microsoft Defender Ydinpalvelun pakottaminen). Vain hyväksytyt komentosarjat näytetään. Valitse Seuraava ja suorita ohjattu toiminto loppuun.
Microsoft Defender Core -palvelun ryhmäkäytäntö päivittäminen ryhmäkäytäntö Kirjoitusavustaja avulla
Lataa uusimmat Microsoft Defender ryhmäkäytäntö hallintamallit täältä.
Määritä toimialueen ohjauskoneen keskitetty säilö.
Huomautus
Kopioi .admx ja .adml erikseen En-US-kansioon.
Start, GPMC.msc (esim. toimialueen ohjauskone tai ) tai GPEdit.msc
Siirry kohtaan Tietokoneasetukset ->Hallintamallit ->Windowsin osat ->Microsoft Defender virustentorjunta
Ota käyttöön Experimentation and Configuration Service (ECS) -integrointi Defenderin ydinpalvelussa
- Ei määritetty tai käytössä (oletus): Microsoft Defender ydinpalvelu käyttää ECS:ä tarjotakseen nopeasti kriittisiä organisaatiokohtaisia korjauksia Microsoft Defender virustentorjuntaan ja muihin Defender-ohjelmistoihin.
- Poistettu käytöstä: Microsoft Defender ydinpalvelu lopettaa ECS:n käytön tarjotakseen nopeasti kriittisiä organisaatiokohtaisia korjauksia Microsoft Defender virustentorjuntaohjelmaan ja muihin Defender-ohjelmistoihin. Epätosi-positiivisten tietojen kohdalla korjaukset toimitetaan "Suojaustiedot-päivityksillä" ja käyttöympäristön ja/tai moduulin päivityksissä korjaukset toimitetaan Microsoft Updaten, Microsoft Update Catalogn tai WSUS:n kautta.
Ota telemetriatiedot käyttöön Defenderin ydinpalvelussa
- Ei määritetty tai käytössä (oletus): Microsoft Defender Core -palvelu kerää telemetriatietoja Microsoft Defender virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista
- Poistettu käytöstä: Microsoft Defender Core -palvelu lopettaa telemetriatietojen keräämisen Microsoft Defender virustentorjuntaohjelmasta ja muista Defender-ohjelmistoista. Tämän asetuksen poistaminen käytöstä voi vaikuttaa Microsoftin kykyyn tunnistaa ja korjata nopeasti ongelmia, kuten hidas suorituskyky ja false-positiiviset.
PowerShellin avulla voit päivittää Microsoft Defender Core -palvelun käytännöt.
Siirry Käynnistä-kohtaan ja suorita PowerShell järjestelmänvalvojana.
Set-MpPreferences -DisableCoreServiceECSIntegration
Käytä $true- tai $false-komentoa, jossa$false
= käytössä ja$true
= poistettu käytöstä. Esimerkki:Set-MpPreferences -DisableCoreServiceECSIntegration $false
Käytä $true-
Set-MpPreferences -DisableCoreServiceTelemetry
tai $false-komentoa, esimerkiksi:Set-MpPreferences -DisableCoreServiceTelemetry $true
Käytä rekisteriä Microsoft Defender Core -palvelun käytäntöjen päivittämiseen.
Valitse Käynnistä ja avaa sitten Regedit.exe järjestelmänvalvojana.
Mennä
HKLM\Software\Policies\Microsoft\Windows Defender\Features
Määritä arvot:
DisableCoreService1DSTelemetry
(dword) 0 (heksa)
0
= Ei määritetty, käytössä (oletus)
1
= ei käytössäDisableCoreServiceECSIntegration
(dword) 0 (heksa)
0
= Ei määritetty, käytössä (oletus)
1
= ei käytössä