Vue d’ensemble du service Microsoft Defender Core
service Microsoft Defender Core
Pour améliorer l’expérience de sécurité de votre point de terminaison, Microsoft publie le service Microsoft Defender Core pour améliorer la stabilité et les performances de Microsoft Defender Antivirus.
Configuration requise
Le service Microsoft Defender Core est publié avec Microsoft Defender plateforme antivirus version 4.18.23110.2009.
Le déploiement doit commencer comme suit :
Novembre 2023 pour préversion des clients.
Mi-avril 2024 aux clients Entreprise exécutant des clients Windows.
À compter de juillet 2024, aux clients du secteur public des États-Unis exécutant des clients Windows.
Mi-janvier 2025 aux clients d’entreprise exécutant Windows Server.
Si vous utilisez l’expérience de connectivité d’appareil Microsoft Defender pour point de terminaison simplifiée, vous n’avez pas besoin d’ajouter d’autres URL.
Si vous utilisez la Microsoft Defender pour point de terminaison expérience de connectivité d’appareil standard :
Les clients d’entreprise doivent autoriser les URL suivantes :
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
Si vous ne souhaitez pas utiliser les caractères génériques pour
*.events.data.microsoft.com
, vous pouvez utiliser :us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
Les clients Enterprise U.S. Government doivent autoriser les URL suivantes :
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
Si vous utilisez Le contrôle d’application pour Windows, ou si vous exécutez un antivirus ou un logiciel de détection de point de terminaison non-Microsoft, veillez à ajouter les processus mentionnés précédemment à votre liste d’autorisation.
Les consommateurs n’ont pas besoin de prendre des mesures pour se préparer.
processus et services antivirus Microsoft Defender
Le tableau suivant récapitule où vous pouvez afficher Microsoft Defender processus et services antivirus (MdCoreSvc
) à l’aide du Gestionnaire des tâches sur les appareils Windows.
Processus ou service | Où afficher son status |
---|---|
Antimalware Core Service |
Onglet Processus |
MpDefenderCoreService.exe |
Onglet Détails |
Microsoft Defender Core Service |
Onglet Services |
Pour en savoir plus sur les configurations et l’expérimentation du service Microsoft Defender Core (ECS), consultez configurations et expérimentations de service Microsoft Defender Core.
Questions fréquentes (FAQ) :
Quelle est la recommandation pour le service Microsoft Defender Core ?
Nous vous recommandons vivement de conserver les paramètres par défaut du service Microsoft Defender Core en cours d’exécution et de création de rapports.
Quels sont le stockage et la confidentialité des données que le service Microsoft Defender Core respecte-t-il ?
Passez en revue Microsoft Defender pour point de terminaison stockage et confidentialité des données.
Puis-je appliquer que le service Microsoft Defender Core reste en cours d’exécution en tant qu’administrateur ?
Vous pouvez l’appliquer à l’aide de l’un des outils de gestion suivants :
- cogestion Configuration Manager
- Stratégie de groupe
- PowerShell
- Registre
Utiliser Configuration Manager cogestion (ConfigMgr, anciennement MEMCM/SCCM) pour mettre à jour la stratégie pour le service Microsoft Defender Core
Microsoft Configuration Manager dispose d’une capacité intégrée pour exécuter des scripts PowerShell afin de mettre à jour Microsoft Defender paramètres de stratégie antivirus sur tous les ordinateurs de votre réseau.
- Ouvrez la console Microsoft Configuration Manager.
- Sélectionnez Scripts > de bibliothèque > de logiciels Créer un script.
- Entrez le nom du script, par exemple, Microsoft Defender application du service principal et description, par exemple, Configuration de démonstration pour activer les paramètres du service Microsoft Defender Core.
- Définissez la langue sur PowerShell et le délai d’expiration sur 180 secondes
- Collez l’exemple de script « Microsoft Defender Core service enforcement » suivant à utiliser comme modèle :
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
Lorsque vous ajoutez un nouveau script, vous devez le sélectionner et l’approuver. L’état d’approbation passe de En attente d’approbation à Approuvé. Une fois approuvé, cliquez avec le bouton droit sur un seul appareil ou un regroupement d’appareils, puis sélectionnez Exécuter le script.
Dans la page script de l’Assistant Exécution du script, choisissez votre script dans la liste (Microsoft Defender Application du service principal dans notre exemple). Seuls les scripts approuvés sont affichés. Sélectionnez Suivant et terminez l’Assistant.
Utiliser stratégie de groupe Rédacteur pour mettre à jour les stratégie de groupe du service Microsoft Defender Core
Téléchargez les derniers modèles d’administration Microsoft Defender stratégie de groupe ici.
Configurez le référentiel central du contrôleur de domaine.
Remarque
Copiez le fichier .admx et séparément le fichier .adml dans le dossier En-US.
Start, GPMC.msc (par exemple, Contrôleur de domaine ou ) ou GPEdit.msc
Accédez à Configuration ordinateur ->Modèles d’administration ->Composants Windows ->antivirus Microsoft Defender
Activer l’intégration du service d’expérimentation et de configuration (ECS) pour le service principal Defender
- Non configuré ou activé (par défaut) : le service principal Microsoft Defender utilise ECS pour fournir rapidement des correctifs critiques spécifiques à l’organisation pour Microsoft Defender Antivirus et d’autres logiciels Defender.
- Désactivé : le service principal Microsoft Defender cessera d’utiliser ECS pour fournir rapidement des correctifs critiques spécifiques à l’organisation pour Microsoft Defender Antivirus et d’autres logiciels Defender. Pour les faux positifs, les correctifs sont fournis via les « mises à jour security intelligence », et pour les mises à jour de plateforme et/ou de moteur, les correctifs sont fournis via Microsoft Update, Le catalogue Microsoft Update ou WSUS.
Activer la télémétrie pour le service principal Defender
- Non configuré ou activé (par défaut) : le service Microsoft Defender Core collecte les données de télémétrie de Microsoft Defender Antivirus et d’autres logiciels Defender
- Désactivé : le service Microsoft Defender Core arrête la collecte des données de télémétrie à partir de Microsoft Defender Antivirus et d’autres logiciels Defender. La désactivation de ce paramètre peut avoir un impact sur la capacité de Microsoft à reconnaître et à résoudre rapidement les problèmes, tels que les performances lentes et les faux positifs.
Utilisez PowerShell pour mettre à jour les stratégies pour Microsoft Defender service Core.
Accédez à Démarrer et exécutez PowerShell en tant qu’administrateur.
Utilisez la
Set-MpPreferences -DisableCoreServiceECSIntegration
commande $true ou $false, où$false
= activé et$true
= désactivé. Par exemple :Set-MpPreferences -DisableCoreServiceECSIntegration $false
Utilisez la
Set-MpPreferences -DisableCoreServiceTelemetry
commande $true ou $false, par exemple :Set-MpPreferences -DisableCoreServiceTelemetry $true
Utilisez le Registre pour mettre à jour les stratégies pour Microsoft Defender service Principal.
Sélectionnez Démarrer, puis ouvrez Regedit.exe en tant qu’administrateur.
Allez à
HKLM\Software\Policies\Microsoft\Windows Defender\Features
.Définissez les valeurs :
DisableCoreService1DSTelemetry
(dword) 0 (hexadécimal)
0
= Non configuré, activé (par défaut)
1
= DésactivéDisableCoreServiceECSIntegration
(dword) 0 (hexadécimal)
0
= Non configuré, activé (par défaut)
1
= Désactivé