Descrição geral do serviço Microsoft Defender Core
serviço Microsoft Defender Core
Para melhorar a sua experiência de segurança de ponto final, a Microsoft está a lançar o serviço Microsoft Defender Core para ajudar na estabilidade e no desempenho do Antivírus Microsoft Defender.
Pré-requisitos
O serviço Microsoft Defender Core está a ser lançado com Microsoft Defender versão 4.18.23110.2009 da plataforma Antivírus.
A implementação está planeada para começar da seguinte forma:
Novembro de 2023 para pré-lançamento de clientes.
Meados de abril de 2024 para clientes Enterprise com clientes Windows.
A partir de julho de 2024, para clientes do Governo dos E.U.A. com clientes Windows.
Meados de janeiro de 2025 para clientes Enterprise com o Windows Server.
Se estiver a utilizar o Microsoft Defender para Ponto de Extremidade experiência de conectividade simplificada do dispositivo, não precisa de adicionar outros URLs.
Se estiver a utilizar o Microsoft Defender para Ponto de Extremidade experiência padrão de conectividade do dispositivo:
Os clientes empresariais devem permitir os seguintes URLs:
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
Se não quiser utilizar os carateres universais para
*.events.data.microsoft.com
, pode utilizar:us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
Os clientes do Enterprise U.S. Government devem permitir os seguintes URLs:
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
Se estiver a utilizar o Controlo de Aplicações para Windows ou estiver a executar software antivírus ou de deteção e resposta de pontos finais não Microsoft, certifique-se de que adiciona os processos mencionados anteriormente à lista de permissões.
Os consumidores não precisam de tomar medidas para se prepararem.
Microsoft Defender processos e serviços antivírus
A tabela seguinte resume onde pode ver Microsoft Defender processos e serviços antivírus (MdCoreSvc
) através do Gestor de Tarefas em dispositivos Windows.
Processo ou serviço | Onde ver o respetivo status |
---|---|
Antimalware Core Service |
Separador Processos |
MpDefenderCoreService.exe |
Separador Detalhes |
Microsoft Defender Core Service |
Separador Serviços |
Para saber mais sobre as configurações e experimentação do serviço Microsoft Defender Core (ECS), veja configurações e experimentação do serviço Microsoft Defender Core.
Perguntas Mais Frequentes (FAQ):
Qual é a recomendação para o serviço Microsoft Defender Core?
Recomendamos vivamente que mantenha as predefinições do serviço Microsoft Defender Core em execução e relatórios.
A que armazenamento de dados e privacidade o serviço Microsoft Defender Core cumpre?
Reveja Microsoft Defender para Ponto de Extremidade armazenamento de dados e privacidade.
Posso impor que o serviço Microsoft Defender Core permaneça em execução como Administrador?
Pode aplicá-la com qualquer uma destas ferramentas de gestão:
- cogestão de Configuration Manager
- Política de Grupo
- Windows PowerShell
- Registro
Utilize a cogestão Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM) para atualizar a política do serviço Microsoft Defender Core
O Microsoft Configuration Manager tem uma capacidade integrada de executar scripts do PowerShell para atualizar Microsoft Defender definições de política antivírus em todos os computadores na sua rede.
- Abra a consola Microsoft Configuration Manager.
- Selecione Scripts de Biblioteca > de > Software Criar Script.
- Introduza o Nome do script, por exemplo, Microsoft Defender Core service enforcement (Descrição) e Description (Descrição), por exemplo, Demo configuration (Configuração de demonstração) para ativar as definições do serviço Microsoft Defender Core.
- Defina o Idioma para o PowerShell e os segundos de Tempo Limite para 180
- Cole o seguinte exemplo de script "Microsoft Defender Core service enforcement" para utilizar como modelo:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
Ao adicionar um novo script, tem de selecioná-lo e aprová-lo. O estado de aprovação muda de A aguardar aprovação paraAprovado. Depois de aprovado, clique com o botão direito do rato numa única coleção de dispositivos ou dispositivos e selecione Executar script.
Na página script do assistente Executar Script, selecione o script na lista (Microsoft Defender imposição do serviço Core no nosso exemplo). Só são apresentados scripts aprovados. Selecione Próximo e conclua o assistente.
Utilizar Política de Grupo Editor para atualizar Política de Grupo para o serviço Microsoft Defender Core
Transfira a Microsoft Defender Política de Grupo Modelos Administrativos mais recente a partir daqui.
Configure o Repositório Central do Controlador de Domínio.
Observação
Copie o .admx e, separadamente, o .adml para a pasta En-US.
Iniciar, GPMC.msc (por exemplo, Controlador de Domínio ou ) ou GPEdit.msc
Aceda a Configuração do Computador ->Modelos Administrativos ->Componentes do Windows ->Microsoft Defender Antivírus
Ativar a integração do Serviço de Experimentação e Configuração (ECS) para o serviço de núcleo do Defender
- Não configurado ou ativado (predefinição): o Microsoft Defender serviço principal utilizará o ECS para fornecer rapidamente correções críticas e específicas da organização para Microsoft Defender Antivírus e outro software Defender.
- Desativado: o Microsoft Defender serviço principal deixará de utilizar o ECS para fornecer rapidamente correções críticas e específicas da organização para Microsoft Defender Antivírus e outro software Defender. Para falsos positivos, as correções serão fornecidas através de "Atualizações de Informações de Segurança" e, para atualizações da Plataforma e/ou do Motor, as correções serão fornecidas através do Microsoft Update, Catálogo Microsoft Update ou WSUS.
Ativar a telemetria para o serviço Defender Core
- Não configurado ou ativado (predefinição): o serviço Microsoft Defender Core recolherá telemetria do Antivírus Microsoft Defender e de outro software Defender
- Desativado: o serviço Microsoft Defender Core deixará de recolher telemetria de Microsoft Defender Antivírus e outro software Defender. Desativar esta definição pode afetar a capacidade da Microsoft de reconhecer e resolver rapidamente problemas, como desempenho lento e falsos positivos.
Utilize o PowerShell para atualizar as políticas do serviço Microsoft Defender Core.
Aceda a Iniciar e execute o PowerShell como administrador.
Utilize o
Set-MpPreferences -DisableCoreServiceECSIntegration
comando $true ou $false, em que$false
= ativado e$true
= desativado. Por exemplo:Set-MpPreferences -DisableCoreServiceECSIntegration $false
Utilize o
Set-MpPreferences -DisableCoreServiceTelemetry
comando $true ou $false, por exemplo:Set-MpPreferences -DisableCoreServiceTelemetry $true
Utilize o Registo para atualizar as políticas do serviço Microsoft Defender Core.
Selecione Iniciar e, em seguida, abra Regedit.exe como administrador.
Acesse
HKLM\Software\Policies\Microsoft\Windows Defender\Features
Defina os valores:
DisableCoreService1DSTelemetry
(dword) 0 (hex)
0
= Não configurado, ativado (predefinição)
1
= DesativadoDisableCoreServiceECSIntegration
(dword) 0 (hex)
0
= Não configurado, ativado (predefinição)
1
= Desativado