Vue d’ensemble du service Microsoft Defender Core

  • Article

Service Microsoft Defender Core

Pour améliorer l’expérience de sécurité de votre point de terminaison, Microsoft publie le service Microsoft Defender Core pour améliorer la stabilité et les performances de l’Antivirus Microsoft Defender.

Configuration requise

  1. Le service Microsoft Defender Core est disponible avec la plateforme Antivirus Microsoft Defender version 4.18.23110.2009.

  2. Le déploiement doit commencer comme suit :

    • Novembre 2023 pour préversion des clients.
    • Mi-avril 2024 aux clients Entreprise exécutant des clients Windows.
    • À compter de juillet 2024, aux clients du secteur public des États-Unis exécutant des clients Windows.

  3. Si vous utilisez l’expérience de connectivité simplifiée des appareils Microsoft Defender pour point de terminaison, vous n’avez pas besoin d’ajouter d’autres URL.

  4. Si vous utilisez l’expérience de connectivité standard de l’appareil Microsoft Defender pour point de terminaison :

    Les clients d’entreprise doivent autoriser les URL suivantes :

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Si vous ne souhaitez pas utiliser les caractères génériques pour *.events.data.microsoft.com, vous pouvez utiliser :

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Les clients Enterprise U.S. Government doivent autoriser les URL suivantes :

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Si vous utilisez Le contrôle d’application pour Windows, ou si vous exécutez un antivirus ou un logiciel de détection de point de terminaison non-Microsoft, veillez à ajouter les processus mentionnés précédemment à votre liste d’autorisation.

  6. Les consommateurs n’ont pas besoin de prendre des mesures pour se préparer.

Processus et services de l’Antivirus Microsoft Defender

Le tableau suivant récapitule où vous pouvez afficher les processus et services de l’Antivirus Microsoft Defender (MdCoreSvc) à l’aide du Gestionnaire des tâches sur les appareils Windows.

Processus ou service Où afficher son état
Antimalware Core Service Onglet Processus
MpDefenderCoreService.exe Onglet Détails
Microsoft Defender Core Service Onglet Services

Pour en savoir plus sur les configurations et l’expérimentation du service Microsoft Defender Core (ECS), consultez Configurations et expérimentation du service Microsoft Defender Core.

Questions fréquentes (FAQ) :

Quelle est la recommandation pour le service Microsoft Defender Core ?

Nous vous recommandons vivement de conserver les paramètres par défaut du service Microsoft Defender Core en cours d’exécution et de création de rapports.

À quelles conditions de stockage et de confidentialité les données sont-elles respectées par le service Microsoft Defender Core ?

Passez en revue le stockage et la confidentialité des données microsoft Defender pour point de terminaison.

Puis-je appliquer que le service Microsoft Defender Core reste en cours d’exécution en tant qu’administrateur ?

Vous pouvez l’appliquer à l’aide de l’un des outils de gestion suivants :

  • Cogestion de Configuration Manager
  • Stratégie de groupe
  • PowerShell
  • Registre

Utiliser la cogestion Configuration Manager (ConfigMgr, anciennement MEMCM/SCCM) pour mettre à jour la stratégie du service Microsoft Defender Core

Microsoft Configuration Manager a une capacité intégrée à exécuter des scripts PowerShell pour mettre à jour les paramètres de stratégie antivirus Microsoft Defender sur tous les ordinateurs de votre réseau.

  1. Ouvrez la console Microsoft Configuration Manager.
  2. Sélectionnez Scripts > de bibliothèque > de logiciels Créer un script.
  3. Entrez le nom du script, par exemple, Application du service Microsoft Defender Core et Description, par exemple Configuration de démonstration pour activer les paramètres du service Microsoft Defender Core.
  4. Définissez la langue sur PowerShell et le délai d’expiration sur 180 secondes
  5. Collez l’exemple de script « Application du service Microsoft Defender Core » suivant à utiliser comme modèle :
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Lorsque vous ajoutez un nouveau script, vous devez le sélectionner et l’approuver. L’état d’approbation passe de En attente d’approbation à Approuvé. Une fois approuvé, cliquez avec le bouton droit sur un seul appareil ou un regroupement d’appareils, puis sélectionnez Exécuter le script.

Dans la page script de l’Assistant Exécuter le script, choisissez votre script dans la liste (application du service Microsoft Defender Core dans notre exemple). Seuls les scripts approuvés sont affichés. Sélectionnez Suivant et terminez l’Assistant.

Utiliser l’Éditeur de stratégie de groupe pour mettre à jour la stratégie de groupe pour le service Microsoft Defender Core

  1. Téléchargez les derniers modèles d’administration de stratégie de groupe Microsoft Defender ici.

  2. Configurez le référentiel central du contrôleur de domaine.

    Remarque

    Copiez le fichier .admx et séparément le fichier .adml dans le dossier En-US.

  3. Start, GPMC.msc (par exemple, Contrôleur de domaine ou ) ou GPEdit.msc

  4. Accédez à Configuration ordinateur ->Modèles d’administration ->Composants Windows ->Antivirus Microsoft Defender

  5. Activer l’intégration du service d’expérimentation et de configuration (ECS) pour le service principal Defender

    • Non configuré ou activé (par défaut) : le service principal Microsoft Defender utilise ECS pour fournir rapidement des correctifs critiques spécifiques à l’organisation pour l’Antivirus Microsoft Defender et d’autres logiciels Defender.
    • Désactivé : le service principal Microsoft Defender cessera d’utiliser ECS pour fournir rapidement des correctifs critiques spécifiques à l’organisation pour l’Antivirus Microsoft Defender et d’autres logiciels Defender. Pour les faux positifs, les correctifs sont fournis via les « mises à jour security intelligence », et pour les mises à jour de plateforme et/ou de moteur, les correctifs sont fournis via Microsoft Update, Le catalogue Microsoft Update ou WSUS.

  6. Activer la télémétrie pour le service principal Defender

    • Non configuré ou activé (par défaut) : le service Microsoft Defender Core collecte les données de télémétrie à partir de l’Antivirus Microsoft Defender et d’autres logiciels Defender
    • Désactivé : le service Microsoft Defender Core cesse de collecter les données de télémétrie à partir de l’Antivirus Microsoft Defender et d’autres logiciels Defender. La désactivation de ce paramètre peut avoir un impact sur la capacité de Microsoft à reconnaître et à résoudre rapidement les problèmes, tels que les performances lentes et les faux positifs.

Utilisez PowerShell pour mettre à jour les stratégies du service Microsoft Defender Core.

  1. Accédez à Démarrer et exécutez PowerShell en tant qu’administrateur.

  2. Utilisez la Set-MpPreferences -DisableCoreServiceECSIntegration commande $true ou $false, où $false = activé et $true = désactivé. Par exemple :

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Utilisez la Set-MpPreferences -DisableCoreServiceTelemetry commande $true ou $false, par exemple :

    Set-MpPreferences -DisableCoreServiceTelemetry $true

Utilisez le Registre pour mettre à jour les stratégies du service Microsoft Defender Core.

  1. Sélectionnez Démarrer, puis ouvrez Regedit.exe en tant qu’administrateur.

  2. Allez à HKLM\Software\Policies\Microsoft\Windows Defender\Features.

  3. Définissez les valeurs :

    DisableCoreService1DSTelemetry (dword) 0 (hexadécimal)
    0 = Non configuré, activé (par défaut)
    1 = Désactivé

    DisableCoreServiceECSIntegration (dword) 0 (hexadécimal)
    0 = Non configuré, activé (par défaut)
    1 = Désactivé