Microsoft Defender核心服务概述
Microsoft Defender核心服务
为了增强终结点安全体验,Microsoft发布了 Microsoft Defender Core 服务,以帮助增强 Microsoft Defender 防病毒的稳定性和性能。
先决条件
Microsoft Defender核心服务随 Microsoft Defender 防病毒平台版本 4.18.23110.2009 一起发布。
计划按如下所示开始推出:
2023 年 11 月预发布客户。
2024 年 4 月中旬,适用于运行 Windows 客户端的企业客户。
2024 年 7 月开始,适用于运行 Windows 客户端的美国政府客户。
2025 年 1 月中旬向运行 Windows Server 的企业客户提供。
如果使用Microsoft Defender for Endpoint简化的设备连接体验,则无需添加任何其他 URL。
如果使用Microsoft Defender for Endpoint标准设备连接体验:
企业客户应允许以下 URL:
*.endpoint.security.microsoft.com
ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
*.events.data.microsoft.com
如果不想将 通配符用于
*.events.data.microsoft.com
,可以使用:us-mobile.events.data.microsoft.com/OneCollector/1.0
eu-mobile.events.data.microsoft.com/OneCollector/1.0
uk-mobile.events.data.microsoft.com/OneCollector/1.0
au-mobile.events.data.microsoft.com/OneCollector/1.0
mobile.events.data.microsoft.com/OneCollector/1.0
美国政府企业客户应允许以下 URL:
*.events.data.microsoft.com
*.endpoint.security.microsoft.us (GCC-H & DoD)
*.gccmod.ecs.office.com (GCC-M)
*.config.ecs.gov.teams.microsoft.us (GCC-H)
*.config.ecs.dod.teams.microsoft.us (DoD)
如果使用 适用于 Windows 的应用程序控制,或者正在运行非Microsoft防病毒或终结点检测和响应软件,请确保将前面提到的进程添加到允许列表中。
使用者无需执行任何操作即可进行准备。
Microsoft Defender防病毒过程和服务
下表汇总了在 Windows 设备上使用任务管理器查看Microsoft Defender防病毒进程和服务 (MdCoreSvc
) 的位置。
进程或服务 | 查看其状态的位置 |
---|---|
Antimalware Core Service |
“进程 ”选项卡 |
MpDefenderCoreService.exe |
“详细信息 ”选项卡 |
Microsoft Defender Core Service |
“服务”选项卡 |
若要详细了解 ECS) (Microsoft Defender核心服务配置和试验,请参阅Microsoft Defender核心服务配置和试验。
常见问题解答 (常见问题解答) :
Microsoft Defender核心服务的建议是什么?
强烈建议保持Microsoft Defender核心服务的默认设置运行和报告。
Microsoft Defender核心服务遵循哪些数据存储和隐私?
查看Microsoft Defender for Endpoint数据存储和隐私。
是否可以强制Microsoft Defender核心服务以管理员身份保持运行?
可以使用以下任一管理工具强制实施:
- Configuration Manager共同管理
- 组策略
- PowerShell
- 注册表
使用Configuration Manager共同管理 (ConfigMgr(以前为 MEMCM/SCCM) )更新Microsoft Defender核心服务的策略
Microsoft Configuration Manager 具有运行 PowerShell 脚本的集成功能,以在网络中所有计算机上更新Microsoft Defender防病毒策略设置。
- 打开Microsoft Configuration Manager控制台。
- 选择“ 软件库 > 脚本” > “创建脚本”。
- 输入脚本名称,例如,Microsoft Defender核心服务强制实施和说明,例如“演示配置”以启用Microsoft Defender核心服务设置。
- 将 “语言 ”设置为 PowerShell,将 “超时秒” 设置为 180
- 粘贴以下“Microsoft Defender核心服务强制实施”脚本示例以用作模板:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
If (!(Test-path $KeyPath)) {
$Path = ($KeyPath.Split(':'))[1].TrimStart("\")
([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
Else {
New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
}
$TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
}
Catch {
$ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
}
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0
$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------
$ExecutionTime - Execution Ends -------------------------------------------"
添加新脚本时,必须选择并批准它。 审批状态从 “正在等待审批” 更改为 “已批准”。 批准后,右键单击单个设备或设备集合,然后选择“ 运行脚本”。
在“运行脚本”向导的脚本页上,从示例) (Microsoft Defender 核心服务强制实施列表中选择脚本。 仅显示已批准的脚本。 选择“下一步”并完成向导。
使用 组策略 编辑器 更新 Microsoft Defender Core 服务的 组策略
从此处下载最新的Microsoft Defender 组策略管理模板。
设置域控制器 中央存储库。
注意
将 .admx 和 .adml 分别复制到 En-US 文件夹。
启动、GPMC.msc (例如域控制器或 ) 或 GPEdit.msc
转到计算机配置 ->管理模板 ->Windows 组件 ->Microsoft Defender防病毒
启用 Defender 核心服务的试验和配置服务 (ECS) 集成
- 未配置或启用 (默认) :Microsoft Defender核心服务将使用 ECS 为Microsoft Defender防病毒和其他 Defender 软件快速提供特定于组织的关键修补程序。
- 已禁用:Microsoft Defender核心服务将停止使用 ECS 来快速为Microsoft Defender防病毒和其他 Defender 软件提供特定于组织的关键修补程序。 对于误报,修补程序将通过“安全智能更新”传递,对于平台和/或引擎更新,修复将通过Microsoft更新、Microsoft更新目录或 WSUS 提供。
为 Defender 核心服务启用遥测
- 未配置或启用 (默认) :Microsoft Defender核心服务将从Microsoft Defender防病毒和其他 Defender 软件收集遥测数据
- 已禁用:Microsoft Defender核心服务将停止从防病毒和其他 Defender 软件收集Microsoft Defender遥测数据。 禁用此设置可能会影响Microsoft快速识别和解决问题的能力,例如性能缓慢和误报。
使用 PowerShell 更新Microsoft Defender核心服务的策略。
转到 “开始”,然后以管理员身份运行 PowerShell。
Set-MpPreferences -DisableCoreServiceECSIntegration
使用 $true 或 $false 命令,其中$false
= enabled 和$true
= disabled。 例如:Set-MpPreferences -DisableCoreServiceECSIntegration $false
Set-MpPreferences -DisableCoreServiceTelemetry
使用 $true 或 $false 命令,例如:Set-MpPreferences -DisableCoreServiceTelemetry $true
使用注册表更新Microsoft Defender核心服务的策略。
选择“ 开始”,然后以管理员身份打开 Regedit.exe。
转到
HKLM\Software\Policies\Microsoft\Windows Defender\Features
设置值:
DisableCoreService1DSTelemetry
(dword) 0 (十六进制)
0
= 未配置,已启用 (默认)
1
= 已禁用DisableCoreServiceECSIntegration
(dword) 0 (十六进制)
0
= 未配置,已启用 (默认)
1
= 已禁用