Übersicht über den Microsoft Defender Core-Dienst

Artikel
06/22/2024

Microsoft Defender Core-Dienst

Um Ihre Endpunktsicherheit zu verbessern, veröffentlicht Microsoft den Microsoft Defender Core-Dienst, um die Stabilität und Leistung von Microsoft Defender Antivirus zu verbessern.

Voraussetzungen

Der Microsoft Defender Core-Dienst wird mit der Microsoft Defender Antivirus-Plattformversion 4.18.23110.2009 veröffentlicht.
Der Rollout soll wie folgt beginnen:
- November 2023, um Kunden vorab zu präsentieren.
- Mitte April 2024 für Unternehmenskunden, die Windows-Clients ausführen.
- Anfang Juli 2024 für US-Behördenkunden, die Windows-Clients ausführen.
Wenn Sie die optimierte Gerätekonnektivität von Microsoft Defender für Endpunkt verwenden, müssen Sie keine weiteren URLs hinzufügen.
Wenn Sie die Standardmäßige Gerätekonnektivität von Microsoft Defender für Endpunkt verwenden:

Unternehmenskunden sollten die folgenden URLs zulassen:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Wenn Sie die Wildcards für *.events.data.microsoft.comnicht verwenden möchten, können Sie Folgendes verwenden:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
Unternehmenskunden für US-Behörden sollten die folgenden URLs zulassen:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Wenn Sie die Anwendungssteuerung für Windows verwenden oder nicht von Microsoft stammende Antivirensoftware oder Endpunkterkennungs- und -antwortsoftware ausführen, stellen Sie sicher, dass Sie die zuvor erwähnten Prozesse ihrer Positivliste hinzufügen.
Verbraucher müssen keine Maßnahmen ergreifen, um sich vorzubereiten.

Microsoft Defender Antivirus-Prozesse und -Dienste

In der folgenden Tabelle wird zusammengefasst, wo Sie Microsoft Defender Antivirus-Prozesse und -Dienste (MdCoreSvc) mithilfe des Task-Managers auf Windows-Geräten anzeigen können.

Prozess oder Dienst	Wo kann der Status angezeigt werden?
`Antimalware Core Service`	Registerkarte "Prozesse"
`MpDefenderCoreService.exe`	Registerkarte "Details"
`Microsoft Defender Core Service`	Registerkarte "Dienste"

Weitere Informationen zu Den Microsoft Defender Core-Dienstkonfigurationen und -Experimenten (ECS) finden Sie unter Microsoft Defender Core-Dienstkonfigurationen und -Experimente.

Häufig gestellte Fragen (FAQs):

Was ist die Empfehlung für den Microsoft Defender Core-Dienst?

Es wird dringend empfohlen, dass die Standardeinstellungen des Microsoft Defender Core-Diensts ausgeführt und Berichterstellungen ausgeführt werden.

Welche Datenspeicherung und welchen Datenschutz hält der Microsoft Defender Core-Dienst ein?

Weitere Informationen finden Sie unter Datenspeicherung und Datenschutz in Microsoft Defender für Endpunkt.

Kann ich erzwingen, dass der Microsoft Defender Core-Dienst weiterhin als Administrator ausgeführt wird?

Sie können sie mit einem der folgenden Verwaltungstools erzwingen:

Configuration Manager-Co-Verwaltung
Gruppenrichtlinien
PowerShell
Registrierung

Verwenden der Configuration Manager-Co-Verwaltung (ConfigMgr, früher MEMCM/SCCM), um die Richtlinie für den Microsoft Defender Core-Dienst zu aktualisieren

Microsoft Configuration Manager verfügt über eine integrierte Möglichkeit zum Ausführen von PowerShell-Skripts zum Aktualisieren der Microsoft Defender Antivirus-Richtlinieneinstellungen auf allen Computern in Ihrem Netzwerk.

Öffnen Sie die Microsoft Configuration Manager-Konsole.
Wählen Sie Softwarebibliotheksskripts >> Skript erstellen aus.
Geben Sie den Skriptnamen ein, z. B. Microsoft Defender Core-Diensterzwingung und Beschreibung, z. B. Demokonfiguration zum Aktivieren der Microsoft Defender Core-Diensteinstellungen.
Legen Sie die Sprache auf PowerShell und die Timeoutsekunden auf 180 fest.
Fügen Sie das folgende Skriptbeispiel für die Erzwingung des Microsoft Defender Core-Diensts ein, um es als Vorlage zu verwenden:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Wenn Sie ein neues Skript hinzufügen, müssen Sie es auswählen und genehmigen. Der Genehmigungsstatus ändert sich von Warten auf Genehmigung in Genehmigt. Klicken Sie nach der Genehmigung mit der rechten Maustaste auf ein einzelnes Gerät oder eine Gerätesammlung, und wählen Sie Skript ausführen aus.

Wählen Sie auf der Skriptseite des Skriptausführungs-Assistenten Ihr Skript aus der Liste aus (Microsoft Defender Core-Diensterzwingung in unserem Beispiel). Es werden nur genehmigte Skripts angezeigt. Wählen Sie Weiter aus, und schließen Sie den Assistenten ab.

Verwenden des Gruppenrichtlinien-Editors zum Aktualisieren der Gruppenrichtlinie für den Microsoft Defender Core-Dienst

Laden Sie hier die neuesten administrativen Vorlagen für Microsoft Defender-Gruppenrichtlinien herunter.
Richten Sie das zentrale Domänencontrollerrepository ein.

Hinweis

Kopieren Sie die ADMX-Datei und die ADML-Datei separat in den Ordner En-US.
Start, GPMC.msc (z. B. Domänencontroller oder ) oder GPEdit.msc
Wechseln Sie zu Computerkonfiguration ->Administrative Vorlagen ->Windows-Komponenten ->Microsoft Defender Antivirus
Aktivieren der Integration des Experimentieren- und Konfigurationsdiensts (ECS) für den Defender Core-Dienst
- Nicht konfiguriert oder aktiviert (Standard): Der Microsoft Defender-Kerndienst verwendet ECS, um schnell kritische, organisationsspezifische Fixes für Microsoft Defender Antivirus und andere Defender-Software bereitzustellen.
- Deaktiviert: Der Microsoft Defender-Kerndienst verwendet ECS nicht mehr, um schnell kritische, organisationsspezifische Korrekturen für Microsoft Defender Antivirus und andere Defender-Software bereitzustellen. Bei falsch positiven Ergebnissen werden Korrekturen über "Security Intelligence-Updates" bereitgestellt, und für Plattform- und/oder Engine-Updates werden Korrekturen über Microsoft Update, Microsoft Update-Katalog oder WSUS bereitgestellt.
Aktivieren der Telemetrie für den Defender-Kerndienst
- Nicht konfiguriert oder aktiviert (Standard) : Der Microsoft Defender Core-Dienst erfasst Telemetriedaten von Microsoft Defender Antivirus und anderer Defender-Software.
- Deaktiviert: Der Microsoft Defender Core-Dienst erfasst nicht mehr Telemetriedaten von Microsoft Defender Antivirus und anderer Defender-Software. Das Deaktivieren dieser Einstellung kann sich auf die Fähigkeit von Microsoft auswirken, Probleme wie langsame Leistung und falsch positive Ergebnisse schnell zu erkennen und zu beheben.

Verwenden Sie PowerShell, um die Richtlinien für den Microsoft Defender Core-Dienst zu aktualisieren.

Wechseln Sie zu Start, und führen Sie PowerShell als Administrator aus.
Verwenden Sie den Set-MpPreferences -DisableCoreServiceECSIntegration Befehl $true oder $false, wobei $false = aktiviert und $true = deaktiviert ist. Beispiel:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Verwenden Sie den Set-MpPreferences -DisableCoreServiceTelemetry Befehl $true oder $false, z. B.:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Verwenden Sie die Registrierung, um die Richtlinien für den Microsoft Defender Core-Dienst zu aktualisieren.

Wählen Sie Start aus, und öffnen Sie dann Regedit.exe als Administrator.
Wechseln Sie zu HKLM\Software\Policies\Microsoft\Windows Defender\Features.
Legen Sie die Werte fest:

DisableCoreService1DSTelemetry (dword) 0 (hex)
0 = Nicht konfiguriert, aktiviert (Standard)
1 = Deaktiviert

DisableCoreServiceECSIntegration (dword) 0 (hex)
0 = Nicht konfiguriert, aktiviert (Standard)
1 = Deaktiviert

Freigeben über