Question 1

Überprüfen von Ereignisprotokollen

Accepted Answer

Öffnen Sie die Ereignisanzeige-App, indem Sie auf der Taskleiste auf das symbol Search klicken und nach der Ereignisanzeige suchen.

Informationen zu Microsoft Defender Antivirus finden Sie unter Anwendungs- und Dienstprotokolle>Microsoft>Windows>Windows Defender.
Wählen Sie dort unter Betriebsbereitdie Option Öffnen aus.

Wenn Sie im Detailbereich ein Ereignis auswählen, werden im unteren Bereich unter den Registerkarten Allgemein und Details weitere Informationen zu einem Ereignis angezeigt.

Question 2

Microsoft Defender Antivirus wird nicht gestartet.

Accepted Answer

Dieses Problem kann sich in Form mehrerer unterschiedlicher Ereignis-IDs manifestieren, die alle die gleiche zugrunde liegende Ursache haben.

Zugeordnete Ereignis-IDs

Ereignis-ID 15

Protokollname: Anwendung
Beschreibung: Windows Defender status erfolgreich auf SECURITY_PRODUCT_STATE_OFF aktualisiert.
Quelle: Security Center

Ereignis-ID 5007

Protokollname: Microsoft-Windows-Windows Defender/Operational
Beschreibung: Microsoft Defender Antivirus-Konfiguration wurde geändert. Wenn es sich um ein unerwartetes Ereignis handelt, sollten Sie die Einstellungen überprüfen, da dieses Problem möglicherweise auf Schadsoftware zurückzuführen ist.
Alter Wert: Default\IsServiceRunning = 0x0
Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
Quelle: Windows Defender

Ereignis-ID 5010

Protokollname: Microsoft-Windows-Windows Defender/Operational
Beschreibung: Microsoft Defender Antivirus-Überprüfung auf Spyware und andere potenziell unerwünschte Software ist deaktiviert.
Quelle: Windows Defender

Erfahren Sie, ob Microsoft Defender Antivirus nicht gestartet wird, weil ein Nicht-Microsoft-Antivirenprogramm installiert ist.

Wenn Sie auf einem Windows 10- oder Windows 11 Gerät keine Microsoft Defender for Endpoint verwenden und ein nicht von Microsoft stammendes Antivirenprogramm installiert ist, wird Microsoft Defender Antivirus automatisch deaktiviert. Wenn Sie Microsoft Defender for Endpoint mit einem nicht von Microsoft installierten Antivirenprogramm verwenden, wird Microsoft Defender Antivirus im passiven Modus mit eingeschränkter Funktionalität gestartet.

Tipp

Das zuvor beschriebene Szenario gilt nur für Windows 10 und Windows 11. Andere Versionen von Windows haben unterschiedliche Reaktionen auf Microsoft Defender Antivirus zusammen mit Nicht-Microsoft-Sicherheitssoftware ausgeführt wird.

Verwenden Sie die Dienst-App, um zu überprüfen, ob Microsoft Defender Antivirus deaktiviert ist.

Um die Dienste-App zu öffnen, wählen Sie auf der Taskleiste das symbol Search aus, und suchen Sie nach Diensten. Sie können die App auch über die Befehlszeile öffnen, indem Sie services.msc eingeben.

Informationen zu Microsoft Defender Antivirus sind in der Services-App unter Windows Defender>Operational aufgeführt. Der Name des Antivirendiensts lautet Microsoft Defender Antivirusdienst.

Beim Überprüfen der App sehen Sie möglicherweise, dass Microsoft Defender Antivirusdienst auf manuell festgelegt ist, aber wenn Sie versuchen, diesen Dienst manuell zu starten, erhalten Sie eine Warnung. In der Warnung wird möglicherweise folgendes angezeigt: Der Microsoft Defender Antivirusdienstdienst auf dem lokalen Computer wurde gestartet und dann beendet. Einige Dienste werden automatisch beendet, wenn sie nicht von anderen Diensten oder Programmen verwendet werden.

Dieses Problem weist darauf hin, dass Microsoft Defender Antivirus automatisch deaktiviert wurde, um die Kompatibilität mit einem nicht von Microsoft stammenden Antivirus zu erhalten.

Generieren eines detaillierten Berichts

Sie können einen detaillierten Bericht zu derzeit aktiven Gruppenrichtlinien generieren, indem Sie eine Eingabeaufforderung im Modus Als Administrator ausführen öffnen und dann den folgenden Befehl eingeben:

GPresult.exe /h gpresult.html

Dieser Befehl generiert einen Bericht unter ./gpresult.html. Wenn Sie diese Datei öffnen, werden möglicherweise die folgenden Ergebnisse angezeigt, je nachdem, wie Microsoft Defender Antivirus deaktiviert wurde.

Ergebnisse von Gruppenrichtlinien

Wenn Sicherheitseinstellungen über Gruppenrichtlinien (GPO) auf domänen- oder lokaler Ebene oder über System Center Configuration Manager (SCCM) implementiert werden

Im GPResults-Bericht wird unter der Überschrift Windows-Komponenten/Microsoft Defender Antivirus möglicherweise der folgende Eintrag angezeigt, der angibt, dass Microsoft Defender Antivirus deaktiviert ist.

Richtlinie: Deaktivieren von Microsoft Defender Antivirus
Einstellung: Aktiviert
Gewinnende Gruppenrichtlinienobjekt: Win10-Workstations

Wenn Sicherheitseinstellungen über die Gruppenrichtlinienpräferenz (Group Policy Preference, GPP) implementiert werden

Unter der Überschrift Registrierungselement (Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Wertname: DisableAntiSpyware) wird möglicherweise etwa der folgende Eintrag angezeigt, der angibt, dass Microsoft Defender Antivirus deaktiviert ist.

DisableAntiSpyware
Gewinnende Gruppenrichtlinienobjekt: Win10-Workstations
Ergebnis: Erfolg
Allgemein
Aktion: Aktualisieren
Properties
Hive: HKEY_LOCAL_MACHINE
Schlüsselpfad: SOFTWARE\Policies\Microsoft\Windows Defender
Wertname: DisableAntiSpyware
Werttyp: REG_DWORD
Wertdaten: 0x1 (1)

Wenn Sicherheitseinstellungen über den Registrierungsschlüssel implementiert werden

Der Bericht enthält möglicherweise den folgenden Text, der angibt, dass Microsoft Defender Antivirus deaktiviert ist:

Registrierung (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hexad)

Wenn Sicherheitseinstellungen in Windows oder Ihrem Windows Server-Image festgelegt sind

Ihr imaginierender Administrator hat möglicherweise die Sicherheitsrichtlinie DisableAntiSpyware lokal über GPEdit.exe, LGPO.exeoder durch Ändern der Registrierung in der Tasksequenz festgelegt. Sie können einen vertrauenswürdigen Imagebezeichner für Microsoft Defender Antivirus konfigurieren.

Microsoft Defender Antivirus wieder aktivieren

Microsoft Defender Antivirus wird automatisch aktiviert, wenn derzeit kein anderer Antivirus aktiv ist. Sie müssen das Nicht-Microsoft-Antivirenprogramm deaktivieren, um sicherzustellen, dass Microsoft Defender Antivirus mit voller Funktionalität ausgeführt werden kann.

Warnung

Lösungen, die vorschlagen, dass Sie die Windows Defender Startwerte für wdboot, wdfilterwdnisdrvwdnissvcund windefend in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services bearbeiten, werden nicht unterstützt und zwingen Sie möglicherweise, ihr System umzugestalten.

Der passive Modus ist verfügbar, wenn Sie Microsoft Defender for Endpoint und ein Nicht-Microsoft-Antivirenprogramm zusammen mit Microsoft Defender Antivirus verwenden. Der passive Modus ermöglicht es Microsoft Defender Antivirus, Dateien zu überprüfen und sich selbst zu aktualisieren, aber er beseitigt keine Bedrohungen im passiven Modus. Darüber hinaus ist die Verhaltensüberwachung über Echtzeitschutz im passiven Modus nicht verfügbar, es sei denn, die Verhinderung von Endpunktdatenverlust (Endpoint Data Loss Prevention, DLP) wird bereitgestellt.

Ein weiteres Feature, das als eingeschränkte regelmäßige Überprüfung bezeichnet wird, steht Endbenutzern zur Verfügung, wenn Microsoft Defender Antivirus automatisch deaktiviert wird. Dieses Feature ermöglicht es Microsoft Defender Antivirus, Dateien in regelmäßigen Abständen zusammen mit einem nicht von Microsoft stammenden Antivirus mithilfe einer begrenzten Anzahl von Erkennungen zu überprüfen.

Wichtig

Eingeschränkte regelmäßige Überprüfungen werden in Unternehmensumgebungen nicht empfohlen. Die Erkennungs-, Verwaltungs- und Berichterstellungsfunktionen, die beim Ausführen von Microsoft Defender Antivirus in diesem Modus verfügbar sind, sind im Vergleich zum aktiven Modus reduziert.