Editar

Solución de problemas de Microsoft Defender Antivirus al migrar desde una solución que no es de Microsoft

  • Preguntas más frecuentes

Se aplica a:

Plataformas

  • Windows

Use este artículo para resolver problemas al migrar desde una solución de seguridad que no es de Microsoft a Microsoft Defender Antivirus.

Revisión de registros de eventos

  1. Para abrir la aplicación Visor de eventos, seleccione el icono Búsqueda en la barra de tareas y busque visor de eventos.

    Puede encontrar información sobre Microsoft Defender Antivirus en Registros > de aplicaciones y serviciosde Microsoft>Windows>Windows Defender.

  2. Desde allí, seleccione Abrir debajo de Operativo.

    Al seleccionar un evento en el panel de detalles, se muestra más información sobre un evento en el panel inferior, en las pestañas General y Detalles .

Microsoft Defender Antivirus no se inicia.

Este problema se puede manifestar en forma de varios identificadores de evento diferentes, todos los cuales tienen la misma causa subyacente.

Identificadores de eventos asociados

Identificador de evento 15

  • Nombre del registro: Aplicación
  • Descripción: se ha actualizado Windows Defender estado correctamente para SECURITY_PRODUCT_STATE_OFF.
  • Origen: Security Center

Id. de evento 5007

  • Nombre del registro: Microsoft-Windows-Windows Defender/Operational
  • Descripción: Microsoft Defender configuración del antivirus ha cambiado. Si se trata de un evento inesperado, debe revisar la configuración, ya que este problema podría deberse a malware.
    Valor anterior: Default\IsServiceRunning = 0x0
    Nuevo valor: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
  • Origen: Windows Defender

Identificador de evento 5010

  • Nombre del registro: Microsoft-Windows-Windows Defender/Operational
  • Descripción: Microsoft Defender Antivirus está deshabilitado el examen del antivirus para detectar spyware y otro software potencialmente no deseado.
  • Origen: Windows Defender

Cómo saber si Microsoft Defender Antivirus no se inicia porque se instala un antivirus que no es de Microsoft.

En un dispositivo Windows 10 o Windows 11, si no usa Microsoft Defender para punto de conexión y tiene instalado un antivirus que no es de Microsoft, Microsoft Defender Antivirus se desactiva automáticamente. Si usa Microsoft Defender para punto de conexión con un antivirus que no es de Microsoft instalado, Microsoft Defender Antivirus se inicia en modo pasivo, con una funcionalidad reducida.

Sugerencia

El escenario descrito anteriormente solo se aplica a Windows 10 y Windows 11. Otras versiones de Windows tienen respuestas diferentes a Microsoft Defender Antivirus que se ejecuta junto con software de seguridad que no es de Microsoft.

Use la aplicación Servicios para comprobar si Microsoft Defender Antivirus está desactivado.

Para abrir la aplicación Servicios, seleccione el icono Búsqueda de la barra de tareas y busque servicios. También puede abrir la aplicación desde la línea de comandos escribiendo services.msc.

La información sobre Microsoft Defender Antivirus aparece en la aplicación Servicios en Windows Defender>Operational. El nombre del servicio antivirus es Microsoft Defender Antivirus Service.

Al comprobar la aplicación, es posible que vea que Microsoft Defender Servicio antivirus está establecido en manual, pero cuando intenta iniciar este servicio manualmente, recibe una advertencia. La advertencia podría decir que el servicio antivirus de Microsoft Defender en el equipo local se inició y, a continuación, se detuvo. Algunos servicios se detienen automáticamente si no están en uso por otros servicios o programas.

Este problema indica que Microsoft Defender Antivirus se ha desactivado automáticamente para conservar la compatibilidad con un antivirus que no es de Microsoft.

Generación de un informe detallado

Para generar un informe detallado sobre las directivas de grupo actualmente activas, abra un símbolo del sistema en el modo Ejecutar como administrador y escriba el siguiente comando:

GPresult.exe /h gpresult.html

Este comando genera un informe ubicado en ./gpresult.html. Abra este archivo y es posible que vea los siguientes resultados, en función de cómo Microsoft Defender Antivirus se haya desactivado.

Resultados de la directiva de grupo
Si la configuración de seguridad se implementa a través de la directiva de grupo (GPO) en el nivel de dominio o local, o a través de System Center Configuration Manager (SCCM)

En el informe GPResults, en el encabezado Componentes de Windows o antivirus de Microsoft Defender, es posible que vea algo parecido a la siguiente entrada, lo que indica que Microsoft Defender Antivirus está desactivado.

  • Directiva: Desactivar Microsoft Defender Antivirus
  • Configuración: Habilitado
  • GPO ganador: Win10-Workstations
Si la configuración de seguridad se implementa a través de la preferencia de directiva de grupo (GPP)

En el encabezado , Elemento del Registro (Ruta de acceso de clave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Nombre del valor: DisableAntiSpyware), es posible que vea algo parecido a la siguiente entrada, lo que indica que Microsoft Defender Antivirus está desactivado.

  • DisableAntiSpyware
  • GPO ganador: Win10-Workstations
  • Resultado: Correcto
  • General
  • Acción: actualizar
  • Propiedades
  • Subárbol: HKEY_LOCAL_MACHINE
  • Ruta de acceso de clave: SOFTWARE\Policies\Microsoft\Windows Defender
  • Nombre del valor: DisableAntiSpyware
  • Tipo de valor: REG_DWORD
  • Datos de valor: 0x1 (1)
Si la configuración de seguridad se implementa a través de la clave del Registro

El informe puede contener el texto siguiente, que indica que Microsoft Defender Antivirus está desactivado:

Registro (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hexadecimal)

Si la configuración de seguridad se establece en Windows o en la imagen de Windows Server

Es posible que el administrador de creación de imágenes haya establecido la directiva de seguridad , DisableAntiSpyware, localmente a través deGPEdit.exe, LGPO.exeo modificando el Registro en su secuencia de tareas. Puede configurar un identificador de imagen de confianza para Microsoft Defender Antivirus.

Volver a activar Microsoft Defender Antivirus

Microsoft Defender Antivirus se activa automáticamente si no hay ningún otro antivirus activo actualmente. Debe desactivar el antivirus que no es de Microsoft para asegurarse de que Microsoft Defender Antivirus se puede ejecutar con funcionalidad completa.

Advertencia

No se admiten las soluciones que sugieren que edite los valores de inicio de Windows Defender para wdboot, wdfilter, wdnisdrv, wdnissvcy windefend en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services y que podrían forzarle a volver a crear una nueva imagen del sistema.

El modo pasivo está disponible si empieza a usar Microsoft Defender para punto de conexión y un antivirus que no es de Microsoft junto con Microsoft Defender Antivirus. El modo pasivo permite Microsoft Defender Antivirus examinar archivos y actualizarse, pero no corrige las amenazas en modo pasivo. Además, la supervisión del comportamiento a través de Real Time Protection no está disponible en modo pasivo, a menos que se implemente la prevención de pérdida de datos de punto de conexión (DLP).

Otra característica, conocida como examen periódico limitado, está disponible para los usuarios finales cuando Microsoft Defender Antivirus está configurado para desactivarse automáticamente. Esta característica permite Microsoft Defender Antivirus examinar archivos periódicamente junto con un antivirus que no es de Microsoft, con un número limitado de detecciones.

Importante

No se recomienda el examen periódico limitado en entornos empresariales. Las funcionalidades de detección, administración e informes disponibles al ejecutar Microsoft Defender Antivirus en este modo se reducen en comparación con el modo activo.

Sugerencia

Si busca información relacionada con el antivirus para otras plataformas, consulte:

Consulte también