Microsoft Defenderin virustentorjunnan vianmääritys siirryttäessä kolmannen osapuolen ratkaisusta
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Lisätietoja on täällä, jos kohtaat ongelmia siirryttäessä kolmannen osapuolen suojausratkaisusta Microsoft Defender virustentorjuntaan.
Tarkastele tapahtumalokeja
Avaa Tapahtumienvalvonta-sovellus valitsemalla tehtäväpalkista Haku-kuvake ja etsimällä tapahtumien katseluohjelmaa.
Tietoja Microsoft Defender virustentorjuntaohjelmasta on kohdassa Sovellukset ja palvelut lokit>Microsoft>Windows>Windows Defender.
Valitse sieltä AvaaKohdassa Toiminta.
Kun valitset tapahtuman tietoruudusta, näet lisätietoja tapahtumasta alemmassa ruudussa Yleiset- ja Tiedot-välilehtien alla.
Microsoft Defender virustentorjunta ei käynnisty
Tämä ongelma voi ilmetä usean eri tapahtumatunnuksen muodossa, joilla kaikilla on sama taustalla oleva syy.
Liittyvät tapahtumatunnukset
| Tapahtuman tunnus | Lokin nimi | Kuvaus | Lähde |
|---|---|---|---|
| 15 | Sovellus | Windows Defender tilan päivittäminen onnistui SECURITY_PRODUCT_STATE_OFF. | Tietoturvakeskus |
| 5007 | Microsoft-Windows-Windows Defender/Operational | Microsoft Defender virustentorjunnan määritys on muuttunut. Jos tämä on odottamaton tapahtuma, tarkista asetukset, sillä tämä voi olla seurausta haittaohjelmista. Vanha arvo: Default\IsServiceRunning = 0x0 Uusi arvo: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1 |
Windows Defender |
| 5010 | Microsoft-Windows-Windows Defender/Operational | Microsoft Defender vakoiluohjelmien ja muiden mahdollisesti ei-toivottujen ohjelmien virustentorjuntaohjelmisto on poistettu käytöstä. | Windows Defender |
Mistä tietää, jos Microsoft Defender virustentorjunta ei käynnisty, koska asennettuna on kolmannen osapuolen virustentorjunta
Jos et käytä Windows 10- tai Windows 11-laitteessa Microsoft Defender for Endpoint ja kolmannen osapuolen virustentorjuntaohjelma on asennettuna, Microsoft Defender virustentorjunta poistetaan automaattisesti käytöstä. Jos käytössäsi on Microsoft Defender for Endpoint kolmannen osapuolen virustentorjuntaohjelma asennettuna, Microsoft Defender virustentorjunta käynnistyy passiivitilassa rajoitetuin toimin.
Vihje
Juuri kuvattu skenaario koskee vain Windows 10 ja Windows 11. Muilla Windows-versioilla on erilaiset vastaukset siihen, Microsoft Defender virustentorjunta suoritetaan kolmannen osapuolen suojausohjelmiston rinnalla.
Services-sovelluksen avulla voit tarkistaa, onko Microsoft Defender virustentorjunta poistettu käytöstä
Avaa Palvelut-sovellus valitsemalla tehtäväpalkista Haku-kuvake ja etsimällä palveluita. Voit myös avata sovelluksen komentoriviltä kirjoittamalla services.msc.
Tietoja Microsoft Defender virustentorjuntaohjelmasta luetellaan Palvelut-sovelluksessa kohdassa Windows Defender>Operational. Virustentorjuntapalvelun nimi on Microsoft Defender virustentorjuntapalvelu.
Tarkistaessasi sovellusta saatat huomata, että Microsoft Defender virustentorjuntapalvelu on asetettu manuaaliseen käyttöön, mutta kun yrität käynnistää tämän palvelun manuaalisesti, näyttöön tulee varoitus, jossa ilmoitetaan, että paikallisen tietokoneen Microsoft Defender virustentorjuntapalvelu käynnistyi ja pysähtyi. Jotkin palvelut pysähtyvät automaattisesti, jos muut palvelut tai ohjelmat eivät käytä niitä.
Tämä ilmaisee, että Microsoft Defender virustentorjunta on poistettu automaattisesti käytöstä yhteensopivuuden säilyttämiseksi kolmannen osapuolen virustentorjuntaohjelman kanssa.
Luo yksityiskohtainen raportti
Voit luoda yksityiskohtaisen raportin aktiivisista ryhmäkäytännöistä avaamalla komentokehotteen Suorita järjestelmänvalvojana -tilassa ja antamalla seuraavan komennon:
GPresult.exe /h gpresult.html
Tämä luo raportin, jonka sijainti on ./gpresult.html. Avaa tämä tiedosto, niin saatat nähdä seuraavat tulokset sen mukaan, miten Microsoft Defender virustentorjunta poistettiin käytöstä.
Ryhmäkäytännön tulokset
Jos suojausasetukset otetaan käyttöön ryhmäkäytännön (GPO) kautta toimialueella tai paikallisella tasolla tai system center configuration managerin (SCCM) kautta
GPResults-raportin otsikon Windowsin osat/Microsoft Defender virustentorjunta alla saattaa näkyä jotain seuraavankaltaista, mikä ilmaisee, että Microsoft Defender virustentorjunta on poistettu käytöstä.
| Politiikan | Asetus | GPO:n voittaminen |
|---|---|---|
| Poista Microsoft Defender virustentorjunta käytöstä | Käytössä | Win10-Workstations |
Jos suojausasetukset otetaan käyttöön ryhmäkäytännön (GPP) kautta
Alla otsikko, Rekisterikohde (Avainpolku: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Arvon nimi: DisableAntiSpyware), saatat nähdä jotain seuraavankaltaista merkintää, joka ilmaisee, että Microsoft Defender virustentorjunta on poistettu käytöstä.
| DisableAntiSpyware | - |
|---|---|
| GPO:n voittaminen | Win10-Workstations |
| Tulos: Onnistui | |
| Toiminta | Päivitä |
| Pesää | HKEY_LOCAL_MACHINE |
| Avainpolku | SOFTWARE\Policies\Microsoft\Windows Defender |
| Arvon nimi | DisableAntiSpyware |
| Arvotyyppi | REG_DWORD |
| Arvotiedot | 0x1 (1) |
Jos suojausasetukset otetaan käyttöön rekisteriavaimen kautta
Raportti saattaa sisältää seuraavan tekstin, joka ilmaisee, että Microsoft Defender virustentorjunta on poistettu käytöstä:
Rekisteri (regedit.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (heksa)
Jos suojausasetukset on määritetty Windowsissa tai Windows Serverin näköistiedostossa
Imagining-järjestelmänvalvojasi on saattanut määrittää suojauskäytännön DisableAntiSpyware paikallisesti GPEdit.exe, LGPO.exekautta tai muokkaamalla rekisteriä tehtäväjärjestyksessään. Voit määrittää luotetun kuvatunnuksen Microsoft Defender virustentorjuntaa varten.
Ota virustentorjunta Microsoft Defender takaisin käyttöön
Microsoft Defender virustentorjunta käynnistyy automaattisesti, jos mitään muuta virustentorjuntaohjelmaa ei ole tällä hetkellä aktiivinen. Sinun on poistettava kolmannen osapuolen virustentorjunta kokonaan käytöstä, jotta Microsoft Defender virustentorjunta voidaan suorittaa täydellä toiminnolla.
Varoitus
Ratkaisuja, jotka ehdottavat, että muokkaat Windows Defenderaloitusarvoja wdbootille, wdfilterille, wdnisdrville, wdnissvc:lle ja windefendille HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, ei tueta, ja ne saattavat pakottaa sinut kuvastamaan järjestelmäsi uudelleen.
Passiivitila on käytettävissä, jos alat käyttää Microsoft Defender for Endpoint ja kolmannen osapuolen virustentorjuntaohjelmaa yhdessä Microsoft Defender virustentorjunnan kanssa. Passiivitilassa Microsoft Defender virustentorjuntaohjelma voi tarkistaa tiedostot ja päivittää itsensä, mutta se ei korjaa uhkia. Lisäksi toiminnan valvonta reaaliaikaisessa suojauksessa ei ole käytettävissä passiivitilassa, ellei Päätepisteen tietojen menetyksen estämistä (DLP) ole otettu käyttöön.
Toinen ominaisuus, jota kutsutaan rajoitetuksi jaksoittaiseksi skannaukseksi, on loppukäyttäjien käytettävissä, kun Microsoft Defender virustentorjunta on määritetty poistumaan automaattisesti käytöstä. Tämän ominaisuuden avulla Microsoft Defender virustentorjuntaohjelma voi tarkistaa tiedostot säännöllisesti kolmannen osapuolen virustentorjuntaohjelman rinnalla käyttämällä rajoitettua määrää tunnistuksia.
Tärkeää
Rajoitettua säännöllistä skannausta ei suositella yritysympäristöissä. Virustentorjunta-Microsoft Defender suoritettaessa käytettävissä olevia tunnistamis-, hallinta- ja raportointiominaisuuksia vähennetään aktiiviseen tilaan verrattuna.
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
- Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Macissa
- macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpoint Linuxissa
- Defender for Endpointin ominaisuuksien määrittäminen Androidissa
- Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä