Обзор основной службы Microsoft Defender

Основная служба Microsoft Defender

Чтобы улучшить безопасность конечной точки, корпорация Майкрософт выпускает службу Microsoft Defender Core, чтобы обеспечить стабильность и производительность антивирусной программы в Microsoft Defender.

Предварительные условия

  1. Служба Microsoft Defender Core выпускается с антивирусной платформой Microsoft Defender версии 4.18.23110.2009.

  2. Развертывание планируется начать следующим образом:

    • Ноябрь 2023 г. для предварительного выпуска клиентов.
    • Середина апреля 2024 г. для корпоративных клиентов, работающих под управлением клиентов Windows.
    • Начиная с июля 2024 г. для государственных организаций США, работающих под управлением клиентов Windows.
  3. Если вы используете упрощенный интерфейс подключения устройства в Microsoft Defender для конечной точки, добавлять другие URL-адреса не нужно.

  4. Если вы используете стандартный интерфейс подключения к устройству в Microsoft Defender для конечной точки:

    Корпоративные клиенты должны разрешить следующие URL-адреса:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    Если вы не хотите использовать подстановочные знаки для *.events.data.microsoft.com, можно использовать:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Корпоративные клиенты для государственных организаций США должны разрешить следующие URL-адреса:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  5. Если вы используете элемент управления приложениями для Windows или используете антивирусную программу сторонних разработчиков или программное обеспечение для обнаружения и реагирования конечных точек, обязательно добавьте описанные ранее процессы в список разрешений.

  6. Потребителям не нужно предпринимать никаких действий для подготовки.

Процессы и службы антивирусной программы в Microsoft Defender

В следующей таблице приведена сводка, в которой можно просмотреть процессы и службы антивирусной программы Microsoft Defender (MdCoreSvc) с помощью диспетчера задач на устройствах Windows.

Процесс или служба Где просмотреть его состояние
Antimalware Core Service Вкладка "Процессы"
MpDefenderCoreService.exe Вкладка "Сведения "
Microsoft Defender Core Service Вкладка "Службы"

Дополнительные сведения о конфигурациях и экспериментах службы Microsoft Defender Core (ECS) см. в статье Конфигурации и эксперименты службы Microsoft Defender Core.

Часто задаваемые вопросы(часто задаваемые вопросы):

Какова рекомендация для основной службы Microsoft Defender?

Настоятельно рекомендуется сохранить параметры по умолчанию для основной службы Microsoft Defender и создания отчетов.

Какого хранилища и конфиденциальности данных придерживается служба Microsoft Defender Core?

Ознакомьтесь с разделом Хранение и конфиденциальность данных в Microsoft Defender для конечной точки.

Можно ли принудительно использовать службу Microsoft Defender Core от имени администратора?

Его можно применить с помощью любого из следующих средств управления:

  • Совместное управление Configuration Manager
  • Групповая политика
  • PowerShell
  • Реестр

Использование совместного управления Configuration Manager (ConfigMgr, ранее MEMCM/SCCM) для обновления политики для основной службы Microsoft Defender

Microsoft Configuration Manager имеет встроенную возможность запуска сценариев PowerShell для обновления параметров политики антивирусной программы в Microsoft Defender на всех компьютерах в сети.

  1. Откройте консоль Microsoft Configuration Manager.
  2. Выберите Скрипты библиотеки >> программного обеспечения Создать скрипт.
  3. Введите имя скрипта, например принудительное применение службы Microsoft Defender Core и Описание, например демонстрационную конфигурацию, чтобы включить параметры службы Microsoft Defender Core.
  4. Задайте для языка значение PowerShell, а время ожидания — 180 секунд.
  5. Вставьте следующий пример скрипта "Принудительное применение службы Microsoft Defender Core", чтобы использовать в качестве шаблона:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

При добавлении нового скрипта необходимо выбрать и утвердить его. Состояние утверждения изменится с Ожидание утверждения на Утверждено. После утверждения щелкните правой кнопкой мыши одно устройство или коллекцию устройств и выберите Команду Запустить скрипт.

На странице скриптов мастера запуска скриптов выберите скрипт из списка (в нашем примере принудительное применение службы Microsoft Defender Core). Отображаются только утвержденные скрипты. Нажмите Далее и завершите работу мастера.

Использование редактора групповой политики для обновления групповой политики для основной службы Microsoft Defender

  1. Скачайте последние административные шаблоны групповой политики в Microsoft Defender здесь.

  2. Настройте центральный репозиторий контроллера домена.

    Примечание.

    Скопируйте ADMX-файл и отдельно ADML-файл в папку En-US.

  3. Start, GPMC.msc (например, контроллер домена или ) или GPEdit.msc

  4. Перейдите в раздел Конфигурация компьютера ->Административные шаблоны ->Компоненты Windows ->Антивирусная программа Microsoft Defender

  5. Включение интеграции службы экспериментирования и конфигурации (ECS) для основной службы Defender

    • Не настроено или не включено (по умолчанию): основная служба Microsoft Defender будет использовать ECS для быстрой доставки критически важных исправлений для конкретной организации для антивирусной программы Microsoft Defender и другого программного обеспечения Defender.
    • Отключено: основная служба Microsoft Defender перестанет использовать ECS для быстрой доставки критически важных исправлений для конкретной организации для антивирусной программы Microsoft Defender и другого программного обеспечения Defender. Для ложноположительных срабатываний исправления будут доставляться через "Обновления аналитики безопасности", а для обновлений платформы и (или) обработчика исправления будут доставляться через Центр обновления Майкрософт, каталог Центра обновления Майкрософт или WSUS.
  6. Включение телеметрии для основной службы Defender

    • Не настроено или не включено (по умолчанию): служба Microsoft Defender Core будет собирать данные телеметрии из антивирусной программы Microsoft Defender и другого программного обеспечения Defender.
    • Отключено: служба Microsoft Defender Core перестанет собирать данные телеметрии из антивирусной программы Microsoft Defender и другого программного обеспечения Defender. Отключение этого параметра может повлиять на способность корпорации Майкрософт быстро распознавать и устранять проблемы, такие как низкая производительность и ложноположительные результаты.

Используйте PowerShell для обновления политик для основной службы Microsoft Defender.

  1. Перейдите в меню Пуск и запустите PowerShell от имени администратора.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration Используйте команду $true или $false, где $false = включено и $true = отключено. Например:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false 
    
  3. Set-MpPreferences -DisableCoreServiceTelemetry Используйте команду $true или $false, например:

    Set-MpPreferences -DisableCoreServiceTelemetry $true
    

Используйте реестр для обновления политик для основной службы Microsoft Defender.

  1. Нажмите кнопку Пуск, а затем откройте Regedit.exe от имени администратора.

  2. Перейдите по ссылке HKLM\Software\Policies\Microsoft\Windows Defender\Features.

  3. Задайте значения:

    DisableCoreService1DSTelemetry (dword) 0 (шестнадцатеричный)
    0 = Не настроено, включено (по умолчанию)
    1 = Отключено

    DisableCoreServiceECSIntegration (dword) 0 (шестнадцатеричный)
    0 = Не настроено, включено (по умолчанию)
    1 = Отключено