Общие сведения о службе Microsoft Defender Core

Чтобы повысить безопасность конечных точек, корпорация Майкрософт выпускает службу Microsoft Defender Core, чтобы обеспечить стабильность и производительность антивирусной программы Microsoft Defender. служба Microsoft Defender Core включена в антивирусную программу Microsoft Defender, поэтому она доступна везде, где включена антивирусная программа Microsoft Defender. Например, вы можете:

• Windows 10 и Windows 11 Корпоративная.
• Windows Server 2019 или более поздней версии.
• Microsoft Defender для конечной точки автономной или в комплекте с другими предложениями. Например, вы можете:
  • Microsoft 365 A5/E5/G5
  • Microsoft 365 Defender Suite
  • Microsoft Defender для бизнеса (автономная или включенная в Microsoft 365 бизнес премиум)

Предварительные условия

1. Служба Microsoft Defender Core выпускается с Microsoft Defender антивирусной платформы версии 4.18.23110.2009.

2. Развертывание планируется начать следующим образом:

   • Ноябрь 2023 г. для предварительного выпуска клиентов.

   • Середина апреля 2024 г. для корпоративных клиентов, работающих под управлением клиентов Windows.

   • Начиная с июля 2024 г. для государственных организаций США, работающих под управлением клиентов Windows.

     Служба Microsoft Defender Core для Windows Server выпускается с Microsoft Defender антивирусной платформы версии 4.18.25050.5.

   • Середина июля 2025 г. для корпоративных клиентов, работающих Windows Server 2019 г. или более поздней версии.

   • Середина сентября 2025 г. для корпоративных клиентов, использующих единый клиент Microsoft Defender для конечной точки для Windows Server 2012 R2 или Windows Server 2016.

3. Если вы используете Microsoft Defender для конечной точки упрощенное подключение устройства, добавлять другие URL-адреса не нужно.

4. Если вы используете стандартный интерфейс подключения к устройству Microsoft Defender для конечной точки:

   Корпоративные клиенты должны разрешить следующие URL-адреса:

   • *.endpoint.security.microsoft.com
   • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
   • *.events.data.microsoft.com

   Если вы не хотите использовать подстановочные знаки для *.events.data.microsoft.com, можно использовать:

   • us-mobile.events.data.microsoft.com/OneCollector/1.0
   • eu-mobile.events.data.microsoft.com/OneCollector/1.0
   • uk-mobile.events.data.microsoft.com/OneCollector/1.0
   • au-mobile.events.data.microsoft.com/OneCollector/1.0
   • mobile.events.data.microsoft.com/OneCollector/1.0

   Корпоративные клиенты для государственных организаций США должны разрешить следующие URL-адреса:

   • *.events.data.microsoft.com
   • *.endpoint.security.microsoft.us (GCC-H & DoD)
   • *.gccmod.ecs.office.com (GCC-M)
   • *.config.ecs.gov.teams.microsoft.us (GCC-H)
   • *.config.ecs.dod.teams.microsoft.us (DoD)

5. Если вы используете элемент управления приложениями для Windows или используете антивирусную программу сторонних разработчиков или программное обеспечение для обнаружения и реагирования конечных точек, обязательно добавьте описанные ранее процессы в список разрешений.

6. Потребителям не нужно предпринимать никаких действий для подготовки.

Процессы и службы антивирусной программы Microsoft Defender

В следующей таблице приведена сводка, в которой можно просмотреть Microsoft Defender антивирусных процессов и служб (MdCoreSvc) с помощью диспетчера задач на устройствах Windows.

Дополнительные сведения о конфигурациях и экспериментах служб Microsoft Defender Core (ECS) см. в статье Конфигурации и эксперименты служб Microsoft Defender Core.

Часто задаваемые вопросы (часто задаваемые вопросы)

Какова рекомендация для службы Microsoft Defender Core?

Мы настоятельно рекомендуем сохранить параметры по умолчанию для службы Microsoft Defender Core, работающей и отчеты.

Какого хранилища данных и конфиденциальности придерживается служба Microsoft Defender Core?

Ознакомьтесь с Microsoft Defender для конечной точки хранилищем данных и конфиденциальностью.

Можно ли принудительно использовать службу Microsoft Defender Core от имени администратора?

Его можно применить с помощью любого из следующих средств управления:

• совместное управление Configuration Manager
• Групповая политика
• PowerShell
• Реестр

Используйте совместное управление Configuration Manager (ConfigMgr, ранее MEMCM/SCCM) для обновления политики для службы Microsoft Defender Core

Microsoft Configuration Manager имеет встроенную возможность запуска сценариев PowerShell для обновления параметров политики антивирусной программы Microsoft Defender на всех компьютерах в сети.

1. Откройте консоль Microsoft Configuration Manager.
2. Выберите Скрипты библиотеки >> программного обеспечения Создать скрипт.
3. Введите имя скрипта, например Microsoft Defender принудительное применение службы Core и Описание, например Демонстрационная конфигурация, чтобы включить параметры службы Microsoft Defender Core.
4. Задайте для языка значение PowerShell, а время ожидания — 180 секунд.
5. Вставьте следующий пример скрипта "принудительное применение Microsoft Defender core service", чтобы использовать в качестве шаблона:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######

Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date

$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss

$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"

Add-Content -Path $LogFile -Value "------------------------------------V 1.0

$ExecutionTime - Execution Starts -------------------------------------------"

Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"

# Set up Microsoft Defender Core service

Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile

Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile

$ExecutionTime = Get-Date

Add-Content -Path $LogFile -Value "------------------------------------

$ExecutionTime - Execution Ends -------------------------------------------"

При добавлении нового скрипта необходимо выбрать и утвердить его. Состояние утверждения изменится с Ожидание утверждения на Утверждено. После утверждения щелкните правой кнопкой мыши одно устройство или коллекцию устройств и выберите Команду Запустить скрипт.

На странице скриптов мастера запуска скриптов выберите скрипт из списка (в нашем примере Microsoft Defender принудительное применение основной службы). Отображаются только утвержденные скрипты. Нажмите Далее и завершите работу мастера.

Обновление групповая политика для службы Microsoft Defender Core с помощью редактора групповая политика

1. Скачайте последние Microsoft Defender групповая политика административные шаблоны здесь.

2. Настройте центральный репозиторий контроллера домена.

   Примечание.

   Скопируйте ADMX-файл и отдельно ADML-файл в папку En-US.

3. Start, GPMC.msc (например, контроллер домена или) или GPEdit.msc

4. Перейдите в раздел Конфигурация компьютера ->Административные шаблоны ->Компоненты Windows ->Microsoft Defender антивирусная программа

5. Включение интеграции службы экспериментирования и конфигурации (ECS) для основной службы Defender

   • Не настроено или не включено (по умолчанию): основная служба Microsoft Defender использует ECS для быстрой доставки критически важных исправлений для Microsoft Defender антивирусной программы и другого программного обеспечения Defender.
   • Отключено: базовая служба Microsoft Defender не использует ECS для доставки исправлений для Microsoft Defender антивирусной программы и другого программного обеспечения Defender.
     • Для ложноположительных срабатываний исправления доставляются через "Обновления аналитики безопасности".
     • Для обновлений платформы и (или) ядра исправления доставляются через Центр обновления Майкрософт, каталог Центра обновления Майкрософт или WSUS.

6. Включение телеметрии для основной службы Defender

   • Не настроено или не включено (по умолчанию): служба Microsoft Defender Core собирает данные телеметрии из Microsoft Defender антивирусной программы и другого программного обеспечения Defender.
   • Отключено. Служба Microsoft Defender Core не собирает данные телеметрии из Microsoft Defender антивирусной программы и другого программного обеспечения Defender. Отключение этого параметра может повлиять на способность корпорации Майкрософт быстро распознавать и устранять проблемы, такие как низкая производительность и ложноположительные результаты.

Обновление политик для службы Microsoft Defender Core с помощью PowerShell

Используйте следующий синтаксис в окне PowerShell с повышенными привилегиями (окно PowerShell, открытое при выборе команды Запуск от имени администратора):

Set-MpPreference -DisableCoreServiceECSIntegration <$true | $false> -DisableCoreServiceTelemetry <$true | $false>

• DisableCoreServiceECSIntegration:

  • $false(по умолчанию): основная служба Microsoft Defender использует ECS для быстрой доставки критически важных исправлений для Microsoft Defender антивирусной программы и другого программного обеспечения Defender.
  • $true: базовая служба Microsoft Defender не использует ECS для доставки исправлений для Microsoft Defender антивирусной программы и другого программного обеспечения Defender.
    • Для ложноположительных срабатываний исправления доставляются через "Обновления аналитики безопасности".
    • Для обновлений платформы и (или) ядра исправления доставляются через Центр обновления Майкрософт, каталог Центра обновления Майкрософт или WSUS.

• DisableCoreServiceTelemetry:

  • $false(по умолчанию): служба Microsoft Defender Core собирает данные телеметрии из Microsoft Defender антивирусной программы и другого программного обеспечения Defender.
  • $true: служба Microsoft Defender Core не собирает данные телеметрии из Microsoft Defender антивирусной программы и другого программного обеспечения Defender. Отключение этого параметра может повлиять на способность корпорации Майкрософт быстро распознавать и устранять проблемы, такие как низкая производительность и ложноположительные результаты.

Например, вы можете:

Set-MpPreference -DisableCoreServiceECSIntegration` $false -DisableCoreServiceTelemetry $true

Подробные сведения о синтаксисе и параметрах см. в разделе Set-MpPreference.

Обновление политик для службы Microsoft Defender Core с помощью реестра

1. Нажмите кнопку Пуск, а затем откройте Regedit.exe от имени администратора.
2. Перейдите по ссылке HKLM\Software\Policies\Microsoft\Windows Defender\Features.
3. Задайте значения:
   • DisableCoreService1DSTelemetry (dword) 0 (шестнадцатеричный)
     • 0 = Не настроено, включено (по умолчанию)
     • 1 = Отключено
   • DisableCoreServiceECSIntegration (dword) 0 (шестнадцатеричный)
     • 0 = Не настроено, включено (по умолчанию)
     • 1 = Отключено