Microsoft Defender Core hizmetine genel bakış

  • Makale

Microsoft Defender Core hizmeti

Microsoft, uç nokta güvenlik deneyiminizi geliştirmek için Microsoft Defender Virüsten Koruma'nın kararlılığı ve performansı konusunda yardımcı olmak üzere Microsoft Defender Core hizmetini yayınlar.

Önkoşullar

  1. Microsoft Defender Core hizmeti, Microsoft Defender Virüsten Koruma platformu sürüm 4.18.23110.2009 ile yayınlanmaktadır.

  2. Dağıtımın şu şekilde başlaması planlanmıştır:

    • Kasım 2023'e kadar müşterileri önceden yayınlar.
    • Windows istemcilerini çalıştıran Kurumsal müşterilere Nisan 2024 ortası.
    • Temmuz 2024'te Windows istemcilerini çalıştıran ABD Kamu müşterilerine.

  3. Uç Nokta için Microsoft Defender kolaylaştırılmış cihaz bağlantı deneyimini kullanıyorsanız, başka URL'ler eklemeniz gerekmez.

  4. Uç Nokta için Microsoft Defender standart cihaz bağlantı deneyimini kullanıyorsanız:

    Kurumsal müşteriler aşağıdaki URL'lere izin vermelidir:

    • *.endpoint.security.microsoft.com
    • ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
    • *.events.data.microsoft.com

    joker *.events.data.microsoft.comkarakterlerini kullanmak istemiyorsanız şunları kullanabilirsiniz:

    • us-mobile.events.data.microsoft.com/OneCollector/1.0
    • eu-mobile.events.data.microsoft.com/OneCollector/1.0
    • uk-mobile.events.data.microsoft.com/OneCollector/1.0
    • au-mobile.events.data.microsoft.com/OneCollector/1.0
    • mobile.events.data.microsoft.com/OneCollector/1.0

    Kurumsal ABD Kamu müşterileri aşağıdaki URL'lere izin vermelidir:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)

  5. Windows için Uygulama Denetimi kullanıyorsanız veya Microsoft dışı virüsten koruma veya uç nokta algılama ve yanıt yazılımı çalıştırıyorsanız, daha önce bahsedilen işlemleri izin verilenler listenize eklediğinizden emin olun.

  6. Tüketicilerin hazırlanmak için herhangi bir işlem yapmalarına gerek yoktur.

Microsoft Defender Virüsten Koruma işlemleri ve hizmetleri

Aşağıdaki tabloda, Windows cihazlarında Görev Yöneticisi'ni kullanarak Microsoft Defender Virüsten Koruma işlemlerini ve hizmetlerini (MdCoreSvc) görüntüleyebileceğiniz yerler özetlenmektedir.

İşlem veya hizmet Durumunun nerede görüntülendiği
Antimalware Core Service İşlemler sekmesi
MpDefenderCoreService.exe Ayrıntılar sekmesi
Microsoft Defender Core Service Hizmetler sekmesi

Microsoft Defender Core hizmet yapılandırmaları ve denemeleri (ECS) hakkında daha fazla bilgi edinmek için bkz. Microsoft Defender Core hizmet yapılandırmaları ve denemeleri.

Sık Sorulan Sorular (SSS):

Microsoft Defender Core hizmeti için öneri nedir?

Microsoft Defender Core hizmetinin varsayılan ayarlarını çalışır ve raporlamada tutmanızı kesinlikle öneririz.

Microsoft Defender Core hizmeti hangi veri depolama alanına ve gizliliğine bağlıdır?

Uç Nokta için Microsoft Defender veri depolama ve gizlilik makalesini gözden geçirin.

Microsoft Defender Core hizmetinin Yönetici olarak çalışır durumda kalmasını zorunlu kılabilir miyim?

Bu yönetim araçlarından herhangi birini kullanarak bunu zorunlu kılabilirsiniz:

  • Configuration Manager ortak yönetimi
  • Grup İlkesi
  • PowerShell
  • Kayıt Defteri

Microsoft Defender Core hizmeti ilkesini güncelleştirmek için Configuration Manager ortak yönetimini (ConfigMgr, eski adıYLA MEMCM/SCCM) kullanın

Microsoft Configuration Manager , Ağınızdaki tüm bilgisayarlarda Microsoft Defender Virüsten Koruma ilke ayarlarını güncelleştirmek için PowerShell betiklerini çalıştırmaya yönelik tümleşik bir beceriye sahiptir.

  1. Microsoft Configuration Manager konsolunu açın.
  2. Yazılım Kitaplığı > Betikleri Betik > Oluştur'u seçin.
  3. Betik adını (örneğin, Microsoft Defender Core hizmet zorlaması ve Açıklama) girin; örneğin, Microsoft Defender Core hizmet ayarlarını etkinleştirmek için Tanıtım yapılandırması.
  4. Dili PowerShell ve Zaman Aşımı saniyesini 180 olarak ayarlayın
  5. Şablon olarak kullanmak için aşağıdaki "Microsoft Defender Core hizmet zorlaması" betiği örneğini yapıştırın:
######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Yeni bir betik eklerken bunu seçip onaylamanız gerekir. Onay durumu Onay bekleniyor durumundan Onaylandı olarak değişir. Onaylandıktan sonra tek bir cihaza veya cihaz koleksiyonuna sağ tıklayın ve Betiği çalıştır'ı seçin.

Betik Çalıştırma sihirbazının betik sayfasında, listeden betiğinizi seçin (örneğimizde Microsoft Defender Core hizmet zorlaması). Yalnızca onaylanan betikler görüntülenir. İleri'yi seçin ve sihirbazı tamamlayın.

Microsoft Defender Core hizmeti için Grup İlkesi'ni güncelleştirmek için Grup İlkesi Düzenleyicisi'ni kullanma

  1. En son Microsoft Defender Grup İlkesi Yönetim Şablonlarını buradan indirin.

  2. Etki Alanı Denetleyicisi Merkezi Deposunu ayarlayın.

    Not

    .admx dosyasını kopyalayın ve .adml dosyasını ayrı olarak En-US klasörüne kopyalayın.

  3. Başlangıç, GPMC.msc (örneğin Etki Alanı Denetleyicisi veya ) veya GPEdit.msc

  4. Bilgisayar Yapılandırması ->Yönetim Şablonları -Windows Bileşenleri ->>Microsoft Defender Virüsten Koruma'ya gidin

  5. Defender çekirdek hizmeti için Deneme ve Yapılandırma Hizmeti (ECS) tümleştirmesini açma

    • Yapılandırılmadı veya etkinleştirilmedi (varsayılan): Microsoft Defender çekirdek hizmeti, Microsoft Defender Virüsten Koruma ve diğer Defender yazılımları için kuruluşa özgü kritik düzeltmeleri hızla sunmak için ECS kullanır.
    • Devre dışı: Microsoft Defender çekirdek hizmeti, Microsoft Defender Virüsten Koruma ve diğer Defender yazılımları için kritik, kuruluşa özgü düzeltmeleri hızla sunmak üzere ECS'yi kullanmayı durdurur. Hatalı pozitifler için düzeltmeler "Güvenlik Bilgileri güncelleştirmeleri" aracılığıyla ve Platform ve/veya Altyapı güncelleştirmeleri için düzeltmeler Microsoft Update, Microsoft Update Kataloğu veya WSUS aracılığıyla teslim edilecek.

  6. Defender çekirdek hizmeti için telemetriyi açma

    • Yapılandırılmadı veya etkinleştirilmedi (varsayılan): Microsoft Defender Core hizmeti, Microsoft Defender Virüsten Koruma ve diğer Defender yazılımlarından telemetri toplar
    • Devre dışı: Microsoft Defender Core hizmeti, Microsoft Defender Virüsten Koruma ve diğer Defender yazılımlarından telemetri toplamayı durdurur. Bu ayarın devre dışı bırakılması, Microsoft'un yavaş performans ve hatalı pozitifler gibi sorunları hızla tanıma ve çözme becerisini etkileyebilir.

Microsoft Defender Core hizmetinin ilkelerini güncelleştirmek için PowerShell'i kullanın.

  1. Başlat'a gidin ve PowerShell'i yönetici olarak çalıştırın.

  2. Set-MpPreferences -DisableCoreServiceECSIntegration $true veya $false komutunu kullanın; burada $false = etkin ve $true = devre dışı. Örneğin:

    Set-MpPreferences -DisableCoreServiceECSIntegration $false

  3. Set-MpPreferences -DisableCoreServiceTelemetry $true veya $false komutunu kullanın, örneğin:

    Set-MpPreferences -DisableCoreServiceTelemetry $true

Microsoft Defender Core hizmeti ilkelerini güncelleştirmek için Kayıt Defteri'ni kullanın.

  1. Başlat'ı seçin ve Regedit.exe yönetici olarak açın.

  2. HKLM\Software\Policies\Microsoft\Windows Defender\Features'e Gidin

  3. Değerleri ayarlayın:

    DisableCoreService1DSTelemetry (dword) 0 (onaltılık)
    0 = Yapılandırılmadı, etkin (varsayılan)
    1 = Devre Dışı

    DisableCoreServiceECSIntegration (dword) 0 (onaltılık)
    0 = Yapılandırılmadı, etkin (varsayılan)
    1 = Devre Dışı