Microsoft Defender核心服务概述

Microsoft Defender核心服务

为了增强终结点安全体验,Microsoft发布了 Microsoft Defender Core 服务,以帮助增强 Microsoft Defender 防病毒的稳定性和性能。

先决条件

  1. Microsoft Defender核心服务随 Microsoft Defender 防病毒平台版本 4.18.23110.2009 一起发布。

  2. 计划按如下所示开始推出:

    • 2023 年 11 月预发布客户。

    • 2024 年 4 月中旬,适用于运行 Windows 客户端的企业客户。

    • 2024 年 7 月开始,适用于运行 Windows 客户端的美国政府客户。

    • 2025 年 1 月中旬向运行 Windows Server 的企业客户提供。

  3. 如果使用Microsoft Defender for Endpoint简化的设备连接体验,则无需添加任何其他 URL。

  4. 如果使用Microsoft Defender for Endpoint标准设备连接体验:

    企业客户应允许以下 URL:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    如果不想将 通配符用于 *.events.data.microsoft.com,可以使用:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    美国政府企业客户应允许以下 URL:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  5. 如果使用 适用于 Windows 的应用程序控制,或者正在运行非Microsoft防病毒或终结点检测和响应软件,请确保将前面提到的进程添加到允许列表中。

  6. 使用者无需执行任何操作即可进行准备。

Microsoft Defender防病毒过程和服务

下表汇总了在 Windows 设备上使用任务管理器查看Microsoft Defender防病毒进程和服务 (MdCoreSvc) 的位置。

进程或服务 查看其状态的位置
Antimalware Core Service “进程 ”选项卡
MpDefenderCoreService.exe “详细信息 ”选项卡
Microsoft Defender Core Service 服务”选项卡

若要详细了解 ECS) (Microsoft Defender核心服务配置和试验,请参阅Microsoft Defender核心服务配置和试验

常见问题解答 (常见问题解答) :

Microsoft Defender核心服务的建议是什么?

强烈建议保持Microsoft Defender核心服务的默认设置运行和报告。

Microsoft Defender核心服务遵循哪些数据存储和隐私?

查看Microsoft Defender for Endpoint数据存储和隐私

是否可以强制Microsoft Defender核心服务以管理员身份保持运行?

可以使用以下任一管理工具强制实施:

  • Configuration Manager共同管理
  • 组策略
  • PowerShell
  • 注册表

使用Configuration Manager共同管理 (ConfigMgr(以前为 MEMCM/SCCM) )更新Microsoft Defender核心服务的策略

Microsoft Configuration Manager 具有运行 PowerShell 脚本的集成功能,以在网络中所有计算机上更新Microsoft Defender防病毒策略设置。

  1. 打开Microsoft Configuration Manager控制台。
  2. 选择“ 软件库 > 脚本” > “创建脚本”。
  3. 输入脚本名称,例如,Microsoft Defender核心服务强制实施和说明,例如“演示配置”以启用Microsoft Defender核心服务设置。
  4. “语言 ”设置为 PowerShell,将 “超时秒” 设置为 180
  5. 粘贴以下“Microsoft Defender核心服务强制实施”脚本示例以用作模板:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

添加新脚本时,必须选择并批准它。 审批状态从 “正在等待审批” 更改为 “已批准”。 批准后,右键单击单个设备或设备集合,然后选择“ 运行脚本”。

在“运行脚本”向导的脚本页上,从示例) (Microsoft Defender 核心服务强制实施列表中选择脚本。 仅显示已批准的脚本。 选择“下一步”并完成向导。

使用 组策略 编辑器 更新 Microsoft Defender Core 服务的 组策略

  1. 此处下载最新的Microsoft Defender 组策略管理模板。

  2. 设置域控制器 中央存储库

    注意

    将 .admx 和 .adml 分别复制到 En-US 文件夹。

  3. 启动、GPMC.msc (例如域控制器或 ) 或 GPEdit.msc

  4. 转到计算机配置 ->管理模板 ->Windows 组件 ->Microsoft Defender防病毒

  5. 启用 Defender 核心服务的试验和配置服务 (ECS) 集成

    • 未配置或启用 (默认) :Microsoft Defender核心服务将使用 ECS 为Microsoft Defender防病毒和其他 Defender 软件快速提供特定于组织的关键修补程序。
    • 已禁用:Microsoft Defender核心服务将停止使用 ECS 来快速为Microsoft Defender防病毒和其他 Defender 软件提供特定于组织的关键修补程序。 对于误报,修补程序将通过“安全智能更新”传递,对于平台和/或引擎更新,修复将通过Microsoft更新、Microsoft更新目录或 WSUS 提供。
  6. 为 Defender 核心服务启用遥测

    • 未配置或启用 (默认) :Microsoft Defender核心服务将从Microsoft Defender防病毒和其他 Defender 软件收集遥测数据
    • 已禁用:Microsoft Defender核心服务将停止从防病毒和其他 Defender 软件收集Microsoft Defender遥测数据。 禁用此设置可能会影响Microsoft快速识别和解决问题的能力,例如性能缓慢和误报。

使用 PowerShell 更新Microsoft Defender核心服务的策略。

  1. 转到 “开始”,然后以管理员身份运行 PowerShell。

  2. Set-MpPreferences -DisableCoreServiceECSIntegration 使用 $true 或 $false 命令,其中 $false = enabled 和 $true = disabled。 例如:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false 
    
  3. Set-MpPreferences -DisableCoreServiceTelemetry 使用 $true 或 $false 命令,例如:

    Set-MpPreferences -DisableCoreServiceTelemetry $true
    

使用注册表更新Microsoft Defender核心服务的策略。

  1. 选择“ 开始”,然后以管理员身份打开 Regedit.exe。

  2. 转到 HKLM\Software\Policies\Microsoft\Windows Defender\Features

  3. 设置值:

    DisableCoreService1DSTelemetry (dword) 0 (十六进制)
    0 = 未配置,已启用 (默认)
    1 = 已禁用

    DisableCoreServiceECSIntegration (dword) 0 (十六进制)
    0 = 未配置,已启用 (默认)
    1 = 已禁用