Общие сведения о службе Microsoft Defender Core
служба Microsoft Defender Core
Чтобы повысить безопасность конечных точек, корпорация Майкрософт выпускает службу Microsoft Defender Core, чтобы обеспечить стабильность и производительность антивирусной программы Microsoft Defender.
Предварительные условия
Служба Microsoft Defender Core выпускается с Microsoft Defender антивирусной платформы версии 4.18.23110.2009.
Развертывание планируется начать следующим образом:
Ноябрь 2023 г. для предварительного выпуска клиентов.
Середина апреля 2024 г. для корпоративных клиентов, работающих под управлением клиентов Windows.
Начиная с июля 2024 г. для государственных организаций США, работающих под управлением клиентов Windows.
Середина января 2025 г. для корпоративных клиентов под управлением Windows Server.
Если вы используете Microsoft Defender для конечной точки упрощенное подключение устройства, добавлять другие URL-адреса не нужно.
Если вы используете стандартный интерфейс подключения к устройству Microsoft Defender для конечной точки:
Корпоративные клиенты должны разрешить следующие URL-адреса:
*.endpoint.security.microsoft.comecs.office.com/config/v1/MicrosoftWindowsDefenderClient*.events.data.microsoft.com
Если вы не хотите использовать подстановочные знаки для
*.events.data.microsoft.com, можно использовать:us-mobile.events.data.microsoft.com/OneCollector/1.0eu-mobile.events.data.microsoft.com/OneCollector/1.0uk-mobile.events.data.microsoft.com/OneCollector/1.0au-mobile.events.data.microsoft.com/OneCollector/1.0mobile.events.data.microsoft.com/OneCollector/1.0
Корпоративные клиенты для государственных организаций США должны разрешить следующие URL-адреса:
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Если вы используете элемент управления приложениями для Windows или используете антивирусную программу сторонних разработчиков или программное обеспечение для обнаружения и реагирования конечных точек, обязательно добавьте описанные ранее процессы в список разрешений.
Потребителям не нужно предпринимать никаких действий для подготовки.
Процессы и службы антивирусной программы Microsoft Defender
В следующей таблице приведена сводка, в которой можно просмотреть Microsoft Defender антивирусных процессов и служб (MdCoreSvc) с помощью диспетчера задач на устройствах Windows.
| Процесс или служба | Где просмотреть его состояние |
|---|---|
Antimalware Core Service |
Вкладка "Процессы" |
MpDefenderCoreService.exe |
Вкладка "Сведения " |
Microsoft Defender Core Service |
Вкладка "Службы" |
Дополнительные сведения о конфигурациях и экспериментах служб Microsoft Defender Core (ECS) см. в статье Конфигурации и эксперименты служб Microsoft Defender Core.
Часто задаваемые вопросы(часто задаваемые вопросы):
Какова рекомендация для службы Microsoft Defender Core?
Мы настоятельно рекомендуем сохранить параметры по умолчанию для службы Microsoft Defender Core, работающей и отчеты.
Какого хранилища данных и конфиденциальности придерживается служба Microsoft Defender Core?
Ознакомьтесь с Microsoft Defender для конечной точки хранилищем данных и конфиденциальностью.
Можно ли принудительно использовать службу Microsoft Defender Core от имени администратора?
Его можно применить с помощью любого из следующих средств управления:
- совместное управление Configuration Manager
- Групповая политика
- PowerShell
- Реестр
Используйте совместное управление Configuration Manager (ConfigMgr, ранее MEMCM/SCCM) для обновления политики для службы Microsoft Defender Core
Microsoft Configuration Manager имеет встроенную возможность запуска сценариев PowerShell для обновления параметров политики антивирусной программы Microsoft Defender на всех компьютерах в сети.
- Откройте консоль Microsoft Configuration Manager.
- Выберите Скрипты библиотеки >> программного обеспечения Создать скрипт.
- Введите имя скрипта, например Microsoft Defender принудительное применение службы Core и Описание, например Демонстрационная конфигурация, чтобы включить параметры службы Microsoft Defender Core.
- Задайте для языка значение PowerShell, а время ожидания — 180 секунд.
- Вставьте следующий пример скрипта "принудительное применение Microsoft Defender core service", чтобы использовать в качестве шаблона:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
При добавлении нового скрипта необходимо выбрать и утвердить его. Состояние утверждения изменится с Ожидание утверждения на Утверждено. После утверждения щелкните правой кнопкой мыши одно устройство или коллекцию устройств и выберите Команду Запустить скрипт.
На странице скриптов мастера запуска скриптов выберите скрипт из списка (в нашем примере Microsoft Defender принудительное применение основной службы). Отображаются только утвержденные скрипты. Нажмите Далее и завершите работу мастера.
Обновление групповая политика для службы Microsoft Defender Core с помощью групповая политика Редактор
Скачайте последние Microsoft Defender групповая политика административные шаблоны здесь.
Настройте центральный репозиторий контроллера домена.
Примечание.
Скопируйте ADMX-файл и отдельно ADML-файл в папку En-US.
Start, GPMC.msc (например, контроллер домена или ) или GPEdit.msc
Перейдите в раздел Конфигурация компьютера ->Административные шаблоны ->Компоненты Windows ->Microsoft Defender антивирусная программа
Включение интеграции службы экспериментирования и конфигурации (ECS) для основной службы Defender
- Не настроено или не включено (по умолчанию): базовая служба Microsoft Defender будет использовать ECS для быстрой доставки критически важных исправлений для Microsoft Defender антивирусной программы и другого программного обеспечения Defender.
- Отключено: основная служба Microsoft Defender перестанет использовать ECS для быстрой доставки критически важных исправлений для Microsoft Defender антивирусной программы и другого программного обеспечения Defender. Для ложноположительных срабатываний исправления будут доставляться через "Обновления аналитики безопасности", а для обновлений платформы и (или) обработчика исправления будут доставляться через Центр обновления Майкрософт, каталог Центра обновления Майкрософт или WSUS.
Включение телеметрии для основной службы Defender
- Не настроено или не включено (по умолчанию): служба Microsoft Defender Core будет собирать данные телеметрии из Microsoft Defender антивирусной программы и другого программного обеспечения Defender
- Отключено: служба Microsoft Defender Core перестанет собирать данные телеметрии из Microsoft Defender антивирусной программы и другого программного обеспечения Defender. Отключение этого параметра может повлиять на способность корпорации Майкрософт быстро распознавать и устранять проблемы, такие как низкая производительность и ложноположительные результаты.
Используйте PowerShell для обновления политик для службы Microsoft Defender Core.
Перейдите в меню Пуск и запустите PowerShell от имени администратора.
Set-MpPreferences -DisableCoreServiceECSIntegrationИспользуйте команду $true или $false, где$false= включено и$true= отключено. Например:Set-MpPreferences -DisableCoreServiceECSIntegration $falseSet-MpPreferences -DisableCoreServiceTelemetryИспользуйте команду $true или $false, например:Set-MpPreferences -DisableCoreServiceTelemetry $true
Используйте реестр, чтобы обновить политики для службы Microsoft Defender Core.
Нажмите кнопку Пуск, а затем откройте Regedit.exe от имени администратора.
Перейдите по ссылке
HKLM\Software\Policies\Microsoft\Windows Defender\Features.Задайте значения:
DisableCoreService1DSTelemetry(dword) 0 (шестнадцатеричный)
0= Не настроено, включено (по умолчанию)
1= ОтключеноDisableCoreServiceECSIntegration(dword) 0 (шестнадцатеричный)
0= Не настроено, включено (по умолчанию)
1= Отключено