Compartilhar via


Descrição geral do serviço Microsoft Defender Core

serviço Microsoft Defender Core

Para melhorar a sua experiência de segurança de ponto final, a Microsoft está a lançar o serviço Microsoft Defender Core para ajudar na estabilidade e no desempenho do Antivírus Microsoft Defender.

Pré-requisitos

  1. O serviço Microsoft Defender Core está a ser lançado com Microsoft Defender versão 4.18.23110.2009 da plataforma Antivírus.

  2. A implementação está planeada para começar da seguinte forma:

    • Novembro de 2023 para pré-lançamento de clientes.

    • Meados de abril de 2024 para clientes Enterprise com clientes Windows.

    • A partir de julho de 2024, para clientes do Governo dos E.U.A. com clientes Windows.

    • Meados de janeiro de 2025 para clientes Enterprise com o Windows Server.

  3. Se estiver a utilizar o Microsoft Defender para Ponto de Extremidade experiência de conectividade simplificada do dispositivo, não precisa de adicionar outros URLs.

  4. Se estiver a utilizar o Microsoft Defender para Ponto de Extremidade experiência padrão de conectividade do dispositivo:

    Os clientes empresariais devem permitir os seguintes URLs:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Se não quiser utilizar os carateres universais para *.events.data.microsoft.com, pode utilizar:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Os clientes do Enterprise U.S. Government devem permitir os seguintes URLs:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  5. Se estiver a utilizar o Controlo de Aplicações para Windows ou estiver a executar software antivírus ou de deteção e resposta de pontos finais não Microsoft, certifique-se de que adiciona os processos mencionados anteriormente à lista de permissões.

  6. Os consumidores não precisam de tomar medidas para se prepararem.

Microsoft Defender processos e serviços antivírus

A tabela seguinte resume onde pode ver Microsoft Defender processos e serviços antivírus (MdCoreSvc) através do Gestor de Tarefas em dispositivos Windows.

Processo ou serviço Onde ver o respetivo status
Antimalware Core Service Separador Processos
MpDefenderCoreService.exe Separador Detalhes
Microsoft Defender Core Service Separador Serviços

Para saber mais sobre as configurações e experimentação do serviço Microsoft Defender Core (ECS), veja configurações e experimentação do serviço Microsoft Defender Core.

Perguntas Mais Frequentes (FAQ):

Qual é a recomendação para o serviço Microsoft Defender Core?

Recomendamos vivamente que mantenha as predefinições do serviço Microsoft Defender Core em execução e relatórios.

A que armazenamento de dados e privacidade o serviço Microsoft Defender Core cumpre?

Reveja Microsoft Defender para Ponto de Extremidade armazenamento de dados e privacidade.

Posso impor que o serviço Microsoft Defender Core permaneça em execução como Administrador?

Pode aplicá-la com qualquer uma destas ferramentas de gestão:

  • cogestão de Configuration Manager
  • Política de Grupo
  • Windows PowerShell
  • Registro

Utilize a cogestão Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM) para atualizar a política do serviço Microsoft Defender Core

O Microsoft Configuration Manager tem uma capacidade integrada de executar scripts do PowerShell para atualizar Microsoft Defender definições de política antivírus em todos os computadores na sua rede.

  1. Abra a consola Microsoft Configuration Manager.
  2. Selecione Scripts de Biblioteca > de > Software Criar Script.
  3. Introduza o Nome do script, por exemplo, Microsoft Defender Core service enforcement (Descrição) e Description (Descrição), por exemplo, Demo configuration (Configuração de demonstração) para ativar as definições do serviço Microsoft Defender Core.
  4. Defina o Idioma para o PowerShell e os segundos de Tempo Limite para 180
  5. Cole o seguinte exemplo de script "Microsoft Defender Core service enforcement" para utilizar como modelo:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Ao adicionar um novo script, tem de selecioná-lo e aprová-lo. O estado de aprovação muda de A aguardar aprovação paraAprovado. Depois de aprovado, clique com o botão direito do rato numa única coleção de dispositivos ou dispositivos e selecione Executar script.

Na página script do assistente Executar Script, selecione o script na lista (Microsoft Defender imposição do serviço Core no nosso exemplo). Só são apresentados scripts aprovados. Selecione Próximo e conclua o assistente.

Utilizar Política de Grupo Editor para atualizar Política de Grupo para o serviço Microsoft Defender Core

  1. Transfira a Microsoft Defender Política de Grupo Modelos Administrativos mais recente a partir daqui.

  2. Configure o Repositório Central do Controlador de Domínio.

    Observação

    Copie o .admx e, separadamente, o .adml para a pasta En-US.

  3. Iniciar, GPMC.msc (por exemplo, Controlador de Domínio ou ) ou GPEdit.msc

  4. Aceda a Configuração do Computador ->Modelos Administrativos ->Componentes do Windows ->Microsoft Defender Antivírus

  5. Ativar a integração do Serviço de Experimentação e Configuração (ECS) para o serviço de núcleo do Defender

    • Não configurado ou ativado (predefinição): o Microsoft Defender serviço principal utilizará o ECS para fornecer rapidamente correções críticas e específicas da organização para Microsoft Defender Antivírus e outro software Defender.
    • Desativado: o Microsoft Defender serviço principal deixará de utilizar o ECS para fornecer rapidamente correções críticas e específicas da organização para Microsoft Defender Antivírus e outro software Defender. Para falsos positivos, as correções serão fornecidas através de "Atualizações de Informações de Segurança" e, para atualizações da Plataforma e/ou do Motor, as correções serão fornecidas através do Microsoft Update, Catálogo Microsoft Update ou WSUS.
  6. Ativar a telemetria para o serviço Defender Core

    • Não configurado ou ativado (predefinição): o serviço Microsoft Defender Core recolherá telemetria do Antivírus Microsoft Defender e de outro software Defender
    • Desativado: o serviço Microsoft Defender Core deixará de recolher telemetria de Microsoft Defender Antivírus e outro software Defender. Desativar esta definição pode afetar a capacidade da Microsoft de reconhecer e resolver rapidamente problemas, como desempenho lento e falsos positivos.

Utilize o PowerShell para atualizar as políticas do serviço Microsoft Defender Core.

  1. Aceda a Iniciar e execute o PowerShell como administrador.

  2. Utilize o Set-MpPreferences -DisableCoreServiceECSIntegration comando $true ou $false, em que $false = ativado e $true = desativado. Por exemplo:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false 
    
  3. Utilize o Set-MpPreferences -DisableCoreServiceTelemetry comando $true ou $false, por exemplo:

    Set-MpPreferences -DisableCoreServiceTelemetry $true
    

Utilize o Registo para atualizar as políticas do serviço Microsoft Defender Core.

  1. Selecione Iniciar e, em seguida, abra Regedit.exe como administrador.

  2. Acesse HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. Defina os valores:

    DisableCoreService1DSTelemetry (dword) 0 (hex)
    0 = Não configurado, ativado (predefinição)
    1 = Desativado

    DisableCoreServiceECSIntegration (dword) 0 (hex)
    0 = Não configurado, ativado (predefinição)
    1 = Desativado