Antimalware Core Service, widoczna w Menedżerze zadań jako proces MpDefenderCoreService.exe i usługa MdCoreSvc, to nowa, oficjalna część Microsoft Defender. Została dodana w nowszych wersjach systemu Windows 10 i 11, aby odciążyć główny silnik antywirusa, poprawić stabilność ochrony i zmniejszyć ryzyko zawieszeń przy skanowaniu.
Antimalware Core Service – co to jest i do czego służy?
Nowa usługa nazywana w interfejsie systemu Antimalware Core Service należy do pakietu Microsoft Defender Core Service. Technicznie odpowiada jej proces MpDefenderCoreService.exe oraz usługa MdCoreSvc, widoczna na karcie Usługi w Menedżerze zadań.
Usługa została dołączona do platformy antywirusowej Microsoft Defender w wersji 4.18.23110.2009 i nowszych. Jej główne zadania to m.in.:
- odciążenie procesu skanowania w czasie rzeczywistym,
- monitorowanie stanu komponentów ochrony i ich automatyczna stabilizacja,
- obsługa szybkiego dostarczania poprawek konfiguracji (ECS – Experimentation and Configuration Service),
- gromadzenie i wysyłanie ograniczonej telemetrii dotyczącej działania Microsoft Defender.
Dla użytkownika oznacza to, że przy tej samej lub lepszej jakości ochrony system częściej pozostaje responsywny – szczególnie podczas długich skanów lub aktualizacji.
Czym różni się Antimalware Core Service od Antimalware Service Executable?
W Menedżerze zadań możesz zobaczyć jednocześnie Antimalware Core Service i znany od lat proces Antimalware Service Executable. Nie jest to duplikat ani błąd. To dwa różne elementy tej samej platformy bezpieczeństwa.
| Nazwa w interfejsie | Antimalware Service Executable | Antimalware Core Service |
| Plik wykonywalny | MsMpEng.exe | MpDefenderCoreService.exe |
| Nazwa usługi | WinDefend | MdCoreSvc |
| Rola | Główny silnik skanujący w czasie rzeczywistym | Usługa pomocnicza – nadzór, stabilność, integracja z ECS, telemetria |
| Zakres pracy | Skan plików, procesów, pobieranych danych, reagowanie na zagrożenia | Wspieranie działania MsMpEng.exe, zarządzanie konfiguracją i diagnostyką |
| Lokalizacja w Menedżerze zadań | Karta Procesy i Szczegóły | Karta Procesy (Antimalware Core Service), Szczegóły (MpDefenderCoreService.exe), Usługi (Microsoft Defender Core Service) |
Można więc uprościć: MsMpEng.exe to „silnik skanujący”, a MpDefenderCoreService.exe to „serce pomocnicze”, które dba, by silnik działał stabilnie, mógł szybko dostać poprawki konfiguracyjne i generował użyteczne dane diagnostyczne. Takie rozdzielenie ról zmniejsza ryzyko pojedynczego punktu awarii i ułatwia Microsoftowi rozwijanie ochrony bez ciężkich aktualizacji całej platformy.
Kiedy i dlaczego ta usługa pojawiła się na moim komputerze?
Jeśli wcześniej w Menedżerze zadań nie widziałeś Antimalware Core Service, a pojawiła się nagle po którejś aktualizacji systemu, wiąże się to z harmonogramem wdrażania nowej platformy Defender Core.
Microsoft wprowadza tę usługę etapami:
- użytkownicy domowi i uczestnicy wczesnych programów testowych – od okolic listopada 2023 (pierwsze wydania z Defender Core),
- środowiska firmowe z Windows 10 i Windows 11 (warianty Enterprise i pokrewne) – wdrożenia rozpoczęte około połowy kwietnia 2024,
- klienci rządowi w USA – dystrybucja od lipca 2024,
- serwery Windows Server 2019 i nowsze – zaplanowane udostępnienie z platformą w wersji około 4.18.25050.5, start wdrożeń od
, - środowiska serwerowe z ujednoliconym klientem Defender for Endpoint (np. Windows Server 2012 R2, 2016) – dalszy etap, około września 2025.
Na komputerach domowych usługa jest instalowana razem z aktualizacjami platformy Microsoft Defender Antivirus, a nie tylko z klasycznymi „łatkami” Windows. Żadna dodatkowa akcja użytkownika nie jest wymagana – po zainstalowaniu nowej wersji Defendera system sam uruchamia MdCoreSvc i przypisany mu proces MpDefenderCoreService.exe.
Dla osób korzystających z pakietów typu Microsoft 365 E5 / A5 / G5 lub Defender for Business oznacza to także lepszą integrację z usługą Microsoft Defender for Endpoint. Dane diagnostyczne i wybrane poprawki konfiguracji mogą być dostarczane szybciej, bez pełnego update’u systemu operacyjnego.
Czy można i czy warto wyłączyć Antimalware Core Service?
Na poziomie zaleceń producenta odpowiedź jest jasna: Microsoft rekomenduje pozostawienie Antimalware Core Service w domyślnej konfiguracji. Usługa pracuje razem z pozostałymi komponentami Defendera, a jej wyłączenie nie przyniesie klasycznego „wzrostu FPS”, natomiast może pogorszyć stabilność ochrony i wydłużyć czas dostarczania poprawek.
Zdecydowanie zaleca się zachowanie domyślnych ustawień usługi Antimalware Core Service, ponieważ jej wyłączenie może negatywnie wpłynąć na stabilność systemu oraz szybkość reagowania na nowe zagrożenia.
Mimo to administratorzy i zaawansowani użytkownicy czasem chcą ograniczyć integrację z usługą ECS lub telemetrią, na przykład w środowiskach silnie regulowanych. Warto wtedy wiedzieć, że nie dezaktywuje się samego MpDefenderCoreService.exe, lecz steruje jego funkcjami.
Konfiguracja przez PowerShell
Najwygodniejsza metoda w środowiskach zarządzanych to PowerShell uruchomiony z prawami administratora. Do modyfikacji ustawień używa się polecenia Set-MpPreference z dwoma parametrami:
- -DisableCoreServiceECSIntegration – steruje integracją z usługą ECS (dostarczanie poprawek konfiguracji),
- -DisableCoreServiceTelemetry – steruje zbieraniem danych telemetrycznych dotyczących działania Defendera.
Przykładowe warianty:
- wartość $false – zachowanie domyślne, integracja lub telemetria są włączone,
- wartość $true – dana funkcja zostaje wyłączona.
Konkretny przykład konfiguracji, która wyłącza telemetrię, ale zostawia integrację ECS:
Set-MpPreference -DisableCoreServiceECSIntegration $false -DisableCoreServiceTelemetry $true
Takie ustawienie ograniczy ilość danych diagnostycznych wysyłanych do chmury, ale może utrudnić szybkie wykrywanie wyjątkowych problemów, np. rzadkich fałszywych alarmów.
Konfiguracja przez rejestr
Ci, którzy preferują zmiany w rejestrze lub stosują skrypty GPO, mogą użyć gałęzi:
HKLM\Software\Policies\Microsoft\Windows Defender\Features
Pod tą ścieżką znajdują się wartości typu DWORD sterujące zachowaniem Defender Core:
- DisableCoreService1DSTelemetry – kontrola telemetrii usług Defender Core,
- DisableCoreServiceECSIntegration – kontrola integracji z ECS.
Interpretacja wartości:
- 0 – ustawienie domyślne, funkcja włączona,
- 1 – funkcja wyłączona.
Przykładowo, jeśli ustawisz DisableCoreService1DSTelemetry = 1 oraz DisableCoreServiceECSIntegration = 1, usługa przestanie gromadzić dane telemetryczne i korzystać z szybkich poprawek pochodzących z ECS. Antywirus nadal będzie działał, ale trudniej będzie diagnozować problemy z wydajnością lub błędnymi detekcjami.
Konfiguracja przez Zasady grupy (GPO)
W środowiskach domenowych wygodnie jest użyć szablonów ADMX dla Microsoft Defender Antivirus. Odpowiednie ustawienia znajdziesz w:
Konfiguracja komputera → Szablony administracyjne → Składniki systemu Windows → Microsoft Defender Antivirus
Dostępne są tam m.in. zasady:
- włączenie lub wyłączenie integracji z Experimentation and Configuration Service (ECS),
- włączenie lub wyłączenie telemetrii Defender Core.
Ustawienie stanu na „Wyłączone” dla integracji ECS lub telemetrii zadziała podobnie jak ustawienie wartości 1 w odpowiadających im wpisach rejestru. W środowisku firmowym lepiej wdrażać te zmiany poprzez centralne GPO lub rozwiązania typu Configuration Manager, aby zachować spójność konfiguracji na wszystkich stacjach roboczych.
Jak rozwiązać problemy z wysokim zużyciem procesora (CPU) lub dysku?
Choć jednym z celów wprowadzenia Antimalware Core Service było zmniejszenie problemów z wydajnością, zdarzają się sytuacje, w których MpDefenderCoreService.exe lub MsMpEng.exe intensywnie obciążają procesor albo dysk. Co wtedy zrobić, by nie rezygnować z ochrony, a jednocześnie odzyskać płynność działania systemu?
Dodanie procesów do wykluczeń w Zabezpieczeniach Windows
Najczęstsza przyczyna wysokiego użycia CPU lub dysku to skanowanie dużej liczby plików lub intensywnie pracujących aplikacji – na przykład kompilatorów, maszyn wirtualnych, serwerów baz danych czy katalogów z ogromnymi repozytoriami gier. W takim scenariuszu lepsze efekty daje precyzyjne wykluczanie niż wyłączanie całego Defendera.
Aby dodać proces lub folder do wykluczeń:
- otwórz Ustawienia → Aktualizacje i zabezpieczenia → Zabezpieczenia systemu Windows,
- wejdź w Ochrona przed wirusami i zagrożeniami, a następnie w Zarządzaj ustawieniami,
- przejdź do sekcji Wykluczenia i wybierz Dodaj lub usuń wykluczenia,
- wskaż katalogi z dużym obciążeniem I/O, konkretne pliki lub procesy, które mają nie być skanowane na bieżąco.
W szczególnych przypadkach można dodać także sam proces MsMpEng.exe lub MpDefenderCoreService.exe jako wykluczenie. Rozwiązanie to powinno być jednak stosowane ostrożnie – zbyt agresywne wykluczenia mogą realnie obniżyć poziom ochrony.
Zmiana harmonogramu skanowania w Harmonogramie zadań
Nawet jeśli skanowanie w czasie rzeczywistym działa poprawnie, pełne skany systemu zaplanowane na niefortunne godziny potrafią wyraźnie obciążyć komputer. Warto więc dostosować harmonogram tak, by głębokie skany uruchamiały się wtedy, gdy nie grasz ani nie pracujesz intensywnie.
Konfiguracja odbywa się w narzędziu Harmonogram zadań:
- uruchom okno Uruchom skrótem Windows + R i wpisz taskschd.msc,
- przejdź do Microsoft → Windows → Windows Defender,
- otwórz zadanie Windows Defender Scheduled Scan,
- dostosuj zakładki Wyzwalacze (godziny, częstotliwość) oraz Warunki (np. działanie tylko na zasilaniu sieciowym, przy bezczynności systemu).
Dobrym kompromisem jest rzadsze pełne skanowanie oraz pozostawienie skanowania w czasie rzeczywistym, które reaguje tylko wtedy, gdy faktycznie otwierasz lub pobierasz nowe pliki.
Aktualizacja sterowników i rozwiązywanie konfliktów systemowych
Dość często wysokie użycie CPU przez Microsoft Defender wynika z konfliktów pomiędzy sterownikami a filtrami ochrony w czasie rzeczywistym. Dotyczy to zwłaszcza:
- starych sterowników kontrolerów dysków lub NVMe,
- przestarzałych sterowników kart sieciowych,
- modułów filtrujących innych programów zabezpieczających, które działają równolegle z Defenderem.
W takiej sytuacji warto:
- zaktualizować sterowniki chipsetu, kontrolera dysku i karty sieciowej z oficjalnej strony producenta,
- usunąć nieużywane resztki po innych programach antywirusowych lub EDR,
- sprawdzić w Podglądzie zdarzeń, czy nie pojawiają się ostrzeżenia związane z błędami sterowników i filtrowaniem plików.
Czy po tych zmianach Defender nadal będzie obciążał komputer w trakcie pełnego skanu? Tak, bo musi przejść przez wszystkie pliki. Powinno to jednak być obciążenie przewidywalne i krótkotrwałe, a nie ciągłe „zawieszanie” systemu przy zwykłej pracy.
Kiedy rozważyć głębszą diagnostykę?
Jeśli po aktualizacjach sterowników, korekcie harmonogramu i sensownych wykluczeniach procesy MpDefenderCoreService.exe oraz MsMpEng.exe nadal długo blokują CPU lub dysk, dobrym krokiem jest:
- przegląd logów zdarzeń związanych z Microsoft Defender i usługą MDCoreSvc,
- uruchomienie pełnego skanu w trybie offline,
- sprawdzenie, czy w tle nie działa inny skaner na żądanie, który „współwalczy” o ten sam zestaw plików.
W środowiskach firmowych administratorzy często korzystają dodatkowo z telemetrii Defender for Endpoint, analizując trendy użycia CPU i dysku z poziomu konsoli zarządzającej. Dla użytkownika domowego najważniejsze jest, by nie próbować „naprawiać” problemu poprzez całkowite wyłączanie Antimalware Core Service, bo to z reguły więcej szkody niż pożytku.
FAQ – najczęściej zadawane pytania
Czym dokładnie jest proces Antimalware Core Service w systemie Windows?
Jest to oficjalny, dodatkowy element platformy Microsoft Defender, którego zadaniem jest poprawa stabilności antywirusa i odciążenie jego głównego silnika.
Jakie są główne różnice między Antimalware Core Service a Antimalware Service Executable?
Antimalware Service Executable pełni rolę głównego silnika skanującego pliki, natomiast Antimalware Core Service stanowi wsparcie odpowiedzialne za diagnostykę, zarządzanie konfiguracją oraz stabilność działania.
Czy użytkownik powinien wyłączyć usługę Antimalware Core Service w celu przyspieszenia komputera?
Producent stanowczo odradza takie działanie, ponieważ może to negatywnie wpłynąć na bezpieczeństwo systemu i szybkość otrzymywania krytycznych poprawek ochronnych.
W jaki sposób można ograniczyć telemetrię wysyłaną przez tę usługę?
Zaawansowani użytkownicy mogą użyć polecenia PowerShell 'Set-MpPreference’ z odpowiednim parametrem lub dokonać modyfikacji w rejestrze systemowym, wyłączając zbieranie danych.
Co zrobić, jeśli proces MpDefenderCoreService.exe nadmiernie obciąża procesor lub dysk?
Zamiast wyłączać usługę, warto dodać intensywnie pracujące foldery do wykluczeń w Zabezpieczeniach Windows lub dostosować harmonogram zadań dla skanowania systemowego.