Overzicht van Microsoft Defender Core-service
Microsoft Defender Core-service
Om uw ervaring met eindpuntbeveiliging te verbeteren, brengt Microsoft de Microsoft Defender Core-service uit om te helpen bij de stabiliteit en prestaties van Microsoft Defender Antivirus.
Vereisten
De Microsoft Defender Core-service wordt uitgebracht met Microsoft Defender Antivirus-platform versie 4.18.23110.2009.
De implementatie zal als volgt beginnen:
November 2023 om klanten vooraf te verrelen.
Medio april 2024 voor Enterprise-klanten met Windows-clients.
Begin juli 2024 voor klanten van de Amerikaanse overheid die Windows-clients uitvoeren.
Medio januari 2025 naar Enterprise-klanten met Windows Server.
Als u de Microsoft Defender voor Eindpunt gestroomlijnde apparaatconnectiviteit gebruikt, hoeft u geen andere URL's toe te voegen.
Als u de Microsoft Defender voor Eindpunt standaardapparaatconnectiviteit gebruikt:
Enterprise-klanten moeten de volgende URL's toestaan:
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
Als u de jokertekens
*.events.data.microsoft.com
voor niet wilt gebruiken, kunt u het volgende gebruiken:us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
Zakelijke klanten van de Amerikaanse overheid moeten de volgende URL's toestaan:
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
Als u Application Control voor Windows gebruikt of als u niet-Microsoft-antivirus- of eindpuntdetectie- en responssoftware gebruikt, moet u de eerder genoemde processen toevoegen aan uw acceptatielijst.
Consumenten hoeven geen acties te ondernemen om zich voor te bereiden.
Microsoft Defender Antivirus-processen en -services
De volgende tabel geeft een overzicht van waar u Microsoft Defender Antivirus-processen en -services (MdCoreSvc
) kunt bekijken met behulp van Taakbeheer op Windows-apparaten.
Proces of service | Waar kan ik de status bekijken? |
---|---|
Antimalware Core Service |
Tabblad Processen |
MpDefenderCoreService.exe |
Tabblad Details |
Microsoft Defender Core Service |
Tabblad Services |
Zie configuraties en experimenten van Microsoft Defender Core-service voor meer informatie over de Microsoft Defender Core-serviceconfiguraties en -experimenten (ECS).
Veelgestelde vragen (veelgestelde vragen):
Wat is de aanbeveling voor Microsoft Defender Core-service?
We raden u ten zeerste aan om de standaardinstellingen van de Microsoft Defender Core-service actief te houden en te rapporteren.
Aan welke gegevensopslag en privacy voldoet de Microsoft Defender Core-service?
Bekijk Microsoft Defender voor Eindpunt gegevensopslag en privacy.
Kan ik afdwingen dat de Microsoft Defender Core-service actief blijft als beheerder?
U kunt dit afdwingen met behulp van een van deze beheerhulpprogramma's:
- Configuration Manager co-beheer
- Groepsbeleid
- PowerShell
- Register
Gebruik Configuration Manager co-beheer (ConfigMgr, voorheen MEMCM/SCCM) om het beleid voor Microsoft Defender Core-service bij te werken
Microsoft Configuration Manager heeft een geïntegreerde mogelijkheid om PowerShell-scripts uit te voeren om Microsoft Defender antivirusbeleidsinstellingen op alle computers in uw netwerk bij te werken.
- Open de Microsoft Configuration Manager-console.
- Selecteer Softwarebibliotheekscripts >> Script maken.
- Voer de scriptnaam in, bijvoorbeeld Microsoft Defender Core-service afdwingen en Beschrijving, bijvoorbeeld Demo-configuratie om Microsoft Defender Core-service-instellingen in te schakelen.
- Stel de taal in op PowerShell en de time-outseconden op 180
- Plak het volgende scriptvoorbeeld 'Microsoft Defender Core-service afdwingen' om als sjabloon te gebruiken:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
Wanneer u een nieuw script toevoegt, moet u dit selecteren en goedkeuren. De goedkeuringsstatus verandert van Wachten op goedkeuring in Goedgekeurd. Zodra dit is goedgekeurd, klikt u met de rechtermuisknop op één apparaat of apparaatverzameling en selecteert u Script uitvoeren.
Kies op de scriptpagina van de wizard Script uitvoeren uw script in de lijst (Microsoft Defender Core-service afdwingen in ons voorbeeld). Alleen goedgekeurde scripts worden weergegeven. Selecteer Volgende en voltooi de wizard.
Gebruik groepsbeleid Editor om groepsbeleid voor Microsoft Defender Core-service bij te werken
Download hier de meest recente Microsoft Defender groepsbeleid Beheersjablonen.
Stel de centrale opslagplaats van de domeincontroller in.
Opmerking
Kopieer de .admx en afzonderlijk de .adml naar de map En-US.
Start, GPMC.msc (bijvoorbeeld domeincontroller of ) of GPEdit.msc
Ga naar Computerconfiguratie ->Beheersjablonen ->Windows-onderdelen ->Microsoft Defender Antivirus
Integratie van Experimenten en configuratieservice (ECS) inschakelen voor Defender Core-service
- Niet geconfigureerd of ingeschakeld (standaard): de Microsoft Defender kernservice gebruikt ECS om snel kritieke, organisatiespecifieke oplossingen te leveren voor Microsoft Defender Antivirus en andere Defender-software.
- Uitgeschakeld: de Microsoft Defender kernservice stopt met het gebruik van ECS om snel kritieke, organisatiespecifieke oplossingen te leveren voor Microsoft Defender Antivirus en andere Defender-software. Voor fout-positieven worden correcties geleverd via 'Security Intelligence-updates' en voor platform- en/of engine-updates worden correcties geleverd via Microsoft Update, Microsoft Update-catalogus of WSUS.
Telemetrie inschakelen voor Defender Core-service
- Niet geconfigureerd of ingeschakeld (standaard): de Microsoft Defender Core-service verzamelt telemetrie van Microsoft Defender Antivirus en andere Defender-software
- Uitgeschakeld: de Microsoft Defender Core-service stopt met het verzamelen van telemetriegegevens van Microsoft Defender Antivirus en andere Defender-software. Het uitschakelen van deze instelling kan van invloed zijn op het vermogen van Microsoft om snel problemen te herkennen en op te lossen, zoals trage prestaties en fout-positieven.
Gebruik PowerShell om het beleid voor Microsoft Defender Core-service bij te werken.
Ga naar Start en voer PowerShell uit als beheerder.
Gebruik de
Set-MpPreferences -DisableCoreServiceECSIntegration
opdracht $true of $false, waarbij$false
= ingeschakeld en$true
= uitgeschakeld. Bijvoorbeeld:Set-MpPreferences -DisableCoreServiceECSIntegration $false
Gebruik de
Set-MpPreferences -DisableCoreServiceTelemetry
opdracht $true of $false, bijvoorbeeld:Set-MpPreferences -DisableCoreServiceTelemetry $true
Gebruik het register om het beleid voor Microsoft Defender Core-service bij te werken.
Selecteer Start en open vervolgens Regedit.exe als beheerder.
Ga naar
HKLM\Software\Policies\Microsoft\Windows Defender\Features
Stel de waarden in:
DisableCoreService1DSTelemetry
(dword) 0 (hex)
0
= Niet geconfigureerd, ingeschakeld (standaard)
1
= UitgeschakeldDisableCoreServiceECSIntegration
(dword) 0 (hex)
0
= Niet geconfigureerd, ingeschakeld (standaard)
1
= Uitgeschakeld