Panoramica del servizio Microsoft Defender Core

Articolo
11/28/2024

servizio Microsoft Defender Core

Per migliorare l'esperienza di sicurezza degli endpoint, Microsoft rilascia il servizio Microsoft Defender Core per contribuire alla stabilità e alle prestazioni di Microsoft Defender Antivirus.

Prerequisiti

Il servizio Microsoft Defender Core viene rilasciato con Microsoft Defender piattaforma Antivirus versione 4.18.23110.2009.
L'implementazione è pianificata per iniziare come segue:
- novembre 2023 per rendere disponibili i clienti.
- Da metà aprile 2024 ai clienti Enterprise che eseguono client Windows.
- A partire da luglio 2024 per i clienti del governo degli Stati Uniti che eseguono client Windows.
- Da metà gennaio 2025 ai clienti Aziendali che eseguono Windows Server.
Se si usa l'esperienza di connettività del dispositivo Microsoft Defender per endpoint semplificata, non è necessario aggiungere altri URL.
Se si usa l'esperienza di connettività del dispositivo standard Microsoft Defender per endpoint:

I clienti aziendali devono consentire gli URL seguenti:
- *.endpoint.security.microsoft.com
- ecs.office.com/config/v1/MicrosoftWindowsDefenderClient
- *.events.data.microsoft.com
Se non si vogliono usare i caratteri jolly per *.events.data.microsoft.com, è possibile usare:
- us-mobile.events.data.microsoft.com/OneCollector/1.0
- eu-mobile.events.data.microsoft.com/OneCollector/1.0
- uk-mobile.events.data.microsoft.com/OneCollector/1.0
- au-mobile.events.data.microsoft.com/OneCollector/1.0
- mobile.events.data.microsoft.com/OneCollector/1.0
I clienti enterprise del governo degli Stati Uniti devono consentire gli URL seguenti:
- *.events.data.microsoft.com
- *.endpoint.security.microsoft.us (GCC-H & DoD)
- *.gccmod.ecs.office.com (GCC-M)
- *.config.ecs.gov.teams.microsoft.us (GCC-H)
- *.config.ecs.dod.teams.microsoft.us (DoD)
Se si usa il controllo delle applicazioni per Windows o si esegue software antivirus o di risposta di endpoint non Microsoft, assicurarsi di aggiungere i processi menzionati in precedenza all'elenco di utenti consentiti.
I consumer non devono intraprendere alcuna azione per prepararsi.

Microsoft Defender processi e servizi antivirus

La tabella seguente riepiloga la posizione in cui è possibile visualizzare i processi e i servizi antivirus Microsoft Defender (MdCoreSvc) usando Gestione attività nei dispositivi Windows.

Processo o servizio	Dove visualizzarne lo stato
`Antimalware Core Service`	Scheda Processi
`MpDefenderCoreService.exe`	Scheda Dettagli
`Microsoft Defender Core Service`	Scheda Servizi

Per altre informazioni sulle configurazioni e la sperimentazione del servizio Microsoft Defender Core, vedere Microsoft Defender Configurazioni e sperimentazione del servizio Core.

Domande frequenti:Frequently Asked Questions (FAQs):

Qual è la raccomandazione per il servizio Microsoft Defender Core?

È consigliabile mantenere in esecuzione e creare report le impostazioni predefinite del servizio Microsoft Defender Core.

A quale archiviazione e privacy dei dati si applica il servizio Microsoft Defender Core?

Esaminare Microsoft Defender per endpoint l'archiviazione e la privacy dei dati.

È possibile applicare il servizio Microsoft Defender Core rimane in esecuzione come amministratore?

È possibile applicarlo usando uno di questi strumenti di gestione:

Configuration Manager co-gestione
Criteri di gruppo
PowerShell
Registro di sistema

Usare Configuration Manager co-gestione (ConfigMgr, in precedenza MEMCM/SCCM) per aggiornare i criteri per il servizio Microsoft Defender Core

Microsoft Configuration Manager ha la possibilità integrata di eseguire script di PowerShell per aggiornare Microsoft Defender impostazioni dei criteri antivirus in tutti i computer della rete.

Aprire la console Microsoft Configuration Manager.
Selezionare Script > della libreria > software Crea script.
Immettere il nome dello script, ad esempio Microsoft Defender l'imposizione del servizio Core e la descrizione, ad esempio Configurazione demo per abilitare Microsoft Defender impostazioni del servizio core.
Impostare la lingua su PowerShell e i secondi di timeout su 180
Incollare l'esempio di script "Microsoft Defender Core Service Enforcement" seguente da usare come modello:

######
#ConfigMgr Management of Microsoft Defender Core service enforcement
#"Microsoft Defender Core service is a new service to help keep the reliability and performance of Microsoft Defender Antivirus.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDefenderCoreService-<TimeStamp>.log
######
Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 

$ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up Microsoft Defender Core service
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreService1DSTelemetry" -Value "0" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\Software\Policies\Microsoft\Windows Defender\Features\" -ValueName "DisableCoreServiceECSIntegration" -Value "0" -PropertyType "Dword" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ 
$ExecutionTime - Execution Ends -------------------------------------------"

Quando si aggiunge un nuovo script, è necessario selezionarlo e approvarlo. Lo stato di approvazione passa da In attesa di approvazione a Approvato. Dopo l'approvazione, fare clic con il pulsante destro del mouse su un singolo dispositivo o raccolta di dispositivi e scegliere Esegui script.

Nella pagina script della procedura guidata Esegui script scegliere lo script dall'elenco (Microsoft Defender imposizione del servizio Core nell'esempio). Vengono visualizzati solo gli script approvati. Selezionare Avanti e completare la procedura guidata.

Usare Criteri di gruppo Editor per aggiornare Criteri di gruppo per il servizio Microsoft Defender Core

Scaricare la versione più recente Microsoft Defender Criteri di gruppo Modelli amministrativi da qui.
Configurare il repository centrale del controller di dominio.

Nota

Copiare il file con estensione admx e separatamente il file con estensione adml nella cartella En-US.
Start, GPMC.msc (ad esempio Controller di dominio o ) o GPEdit.msc
Passare a Configurazione computer ->Modelli amministrativi ->Componenti di Windows ->Microsoft Defender Antivirus
Attivare l'integrazione del servizio di sperimentazione e configurazione (ECS) per il servizio core di Defender
- Non configurato o abilitato (impostazione predefinita): il servizio core Microsoft Defender userà ECS per distribuire rapidamente correzioni critiche specifiche dell'organizzazione per Microsoft Defender Antivirus e altri software Defender.
- Disabilitato: il servizio principale Microsoft Defender smetterà di usare ECS per fornire rapidamente correzioni critiche specifiche dell'organizzazione per Microsoft Defender Antivirus e altri software Defender. Per i falsi positivi, le correzioni verranno recapitate tramite "Aggiornamenti di Security Intelligence" e per gli aggiornamenti della piattaforma e/o del motore, le correzioni verranno recapitate tramite Microsoft Update, Microsoft Update Catalog o WSUS.
Attivare i dati di telemetria per il servizio core di Defender
- Non configurata o abilitata (impostazione predefinita): il servizio Microsoft Defender Core raccoglierà i dati di telemetria da Microsoft Defender Antivirus e da altri software Defender
- Disabilitato: il servizio Microsoft Defender Core interromperà la raccolta dei dati di telemetria da Microsoft Defender Antivirus e da altri software Defender. La disabilitazione di questa impostazione può influire sulla capacità di Microsoft di riconoscere e risolvere rapidamente i problemi, ad esempio prestazioni lente e falsi positivi.

Usare PowerShell per aggiornare i criteri per il servizio Microsoft Defender Core.

Passare a Start ed eseguire PowerShell come amministratore.
Usare il Set-MpPreferences -DisableCoreServiceECSIntegration comando $true o $false, dove $false = abilitato e $true = disabilitato. Ad esempio:
```
Set-MpPreferences -DisableCoreServiceECSIntegration $false 
```
Usare il Set-MpPreferences -DisableCoreServiceTelemetry comando $true o $false, ad esempio:
```
Set-MpPreferences -DisableCoreServiceTelemetry $true
```

Usare il Registro di sistema per aggiornare i criteri per Microsoft Defender servizio Core.

Selezionare Start e quindi aprire Regedit.exe come amministratore.
Passare a HKLM\Software\Policies\Microsoft\Windows Defender\Features.
Impostare i valori:

DisableCoreService1DSTelemetry (dword) 0 (esadecimale)
0 = Non configurato, abilitato (impostazione predefinita)
1 = Disabilitato

DisableCoreServiceECSIntegration (dword) 0 (esadecimale)
0 = Non configurato, abilitato (impostazione predefinita)
1 = Disabilitato

Condividi tramite