Dela via

Översikt över Microsoft Defender Core-tjänsten

  • Artikel

Microsoft Defender Core-tjänsten

För att förbättra din slutpunktssäkerhetsupplevelse släpper Microsoft Defender Core-tjänsten för att hjälpa till med stabiliteten och prestandan i Microsoft Defender Antivirus.

Förutsättningar

  1. Microsoft Defender Core-tjänsten släpps med Microsoft Defender Antivirus-plattformen version 4.18.23110.2009.

  2. Distributionen planeras att påbörjas på följande sätt:

    • November 2023 för att förhandsrelease kunder.
    • Mitten av april 2024 för Enterprise-kunder som kör Windows-klienter.
    • Från och med juli 2024 till amerikanska myndighetskunder som kör Windows-klienter.

  3. Om du använder den effektiva enhetsanslutningen i Microsoft Defender för Endpoint behöver du inte lägga till några andra URL:er.

  4. Om du använder standardanslutningsfunktionen för Microsoft Defender för Endpoint-enheter :

    Företagskunder bör tillåta följande URL:er:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Om du inte vill använda jokertecken för *.events.data.microsoft.comkan du använda:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Enterprise U.S. Government-kunder bör tillåta följande URL:er:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Om du använder Programkontroll för Windows, eller om du kör antivirusprogram eller program för slutpunktsidentifiering och svar som inte kommer från Microsoft, måste du lägga till de processer som nämnts tidigare i listan över tillåtna.

  6. Konsumenter behöver inte vidta några åtgärder för att förbereda sig.

Microsoft Defender Antivirus-processer och -tjänster

I följande tabell sammanfattas var du kan visa Microsoft Defender Antivirus-processer och -tjänster (MdCoreSvc) med Hjälp av Aktivitetshanteraren på Windows-enheter.

Process eller tjänst Var du kan visa dess status
Antimalware Core Service Fliken Processer
MpDefenderCoreService.exe Fliken Information
Microsoft Defender Core Service Fliken Tjänster

Mer information om Microsoft Defender Core-tjänstkonfigurationer och -experimentering (ECS) finns i Microsoft Defender Core-tjänstkonfigurationer och experimentering.

Vanliga frågor och svar:

Vad är rekommendationen för Microsoft Defender Core-tjänsten?

Vi rekommenderar starkt att standardinställningarna för Microsoft Defender Core-tjänsten körs och rapporteras.

Vilken datalagring och sekretess följer Microsoft Defender Core-tjänsten?

Granska datalagring och sekretess för Microsoft Defender för Endpoint.

Kan jag framtvinga att Microsoft Defender Core-tjänsten fortsätter att köras som administratör?

Du kan framtvinga det med något av följande hanteringsverktyg:

  • Samhantering i Configuration Manager
  • Grupprincip
  • PowerShell
  • Registret

Använd Configuration Manager-samhantering (ConfigMgr, tidigare MEMCM/SCCM) för att uppdatera principen för Microsoft Defender Core-tjänsten

Microsoft Configuration Manager har en integrerad möjlighet att köra PowerShell-skript för att uppdatera Principinställningar för Microsoft Defender Antivirus på alla datorer i nätverket.

  1. Öppna Microsoft Configuration Manager-konsolen.
  2. Välj Programbibliotek > Skript > Skapa skript.
  3. Ange skriptnamnet, till exempel Microsoft Defender Core-tjänstens tillämpning och Beskrivning, till exempel Demokonfiguration för att aktivera Tjänstinställningar för Microsoft Defender Core.
  4. Ange Språket till PowerShell och tidsgränsens sekunder till 180
  5. Klistra in följande skriptexempel för "Microsoft Defender Core Service Enforcement" som ska användas som mall:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

När du lägger till ett nytt skript måste du välja och godkänna det. Godkännandetillståndet ändras från Väntar på godkännande till Godkänd. När du har godkänt det högerklickar du på en enskild enhet eller enhetssamling och väljer Kör skript.

På skriptsidan i guiden Kör skript väljer du ditt skript i listan (Microsoft Defender Core-tjänsttillämpning i vårt exempel). Endast godkända skript visas. Välj Nästa och slutför guiden.

Använd grupprincipredigeraren för att uppdatera grupprincipen för Microsoft Defender Core-tjänsten

  1. Ladda ned de senaste administrativa mallarna för Microsoft Defender-grupprinciper härifrån.

  2. Konfigurera den centrala lagringsplatsen för domänkontrollanten.

    Obs!

    Kopiera .admx och separat .adml till mappen En-US.

  3. Start, GPMC.msc (t.ex. domänkontrollant eller ) eller GPEdit.msc

  4. Gå till Datorkonfiguration –>Administrativa mallarWindows-komponenter> –>Microsoft Defender Antivirus

  5. Aktivera experimenterings- och konfigurationstjänstintegrering (ECS) för Defender Core-tjänsten

    • Inte konfigurerad eller aktiverad (standard): Microsoft Defender-kärntjänsten använder ECS för att snabbt leverera kritiska, organisationsspecifika korrigeringar för Microsoft Defender Antivirus och annan Defender-programvara.
    • Inaktiverad: Microsoft Defender-kärntjänsten slutar använda ECS för att snabbt leverera kritiska, organisationsspecifika korrigeringar för Microsoft Defender Antivirus och annan Defender-programvara. För falska positiva identifieringar levereras korrigeringar via "Security Intelligence-uppdateringar", och för uppdateringar av plattform och/eller motor levereras korrigeringar via Microsoft Update, Microsoft Update Catalog eller WSUS.

  6. Aktivera telemetri för Defender Core-tjänsten

    • Inte konfigurerad eller aktiverad (standard): Microsoft Defender Core-tjänsten samlar in telemetri från Microsoft Defender Antivirus och annan Defender-programvara
    • Inaktiverad: Microsoft Defender Core-tjänsten slutar samla in telemetri från Microsoft Defender Antivirus och annan Defender-programvara. Om du inaktiverar den här inställningen kan det påverka Microsofts förmåga att snabbt identifiera och åtgärda problem, till exempel långsamma prestanda och falska positiva identifieringar.

Använd PowerShell för att uppdatera principerna för Microsoft Defender Core-tjänsten.

  1. Gå till Start och kör PowerShell som administratör.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration Använd kommandot $true eller $false, där $false = aktiverad och $true = inaktiverad. Till exempel:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Set-MpPreferences -DisableCoreServiceTelemetry Använd kommandot $true eller $false, till exempel:

    Set-MpPreferences -DisableCoreServiceTelemetry $true

Använd registret för att uppdatera principerna för Microsoft Defender Core-tjänsten.

  1. Välj Start och öppna sedan Regedit.exe som administratör.

  2. Gå till HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. Ange värdena:

    DisableCoreService1DSTelemetry (dword) 0 (hex)
    0 = Inte konfigurerad, aktiverad (standard)
    1 = Inaktiverad

    DisableCoreServiceECSIntegration (dword) 0 (hex)
    0 = Inte konfigurerad, aktiverad (standard)
    1 = Inaktiverad