Question 1

Examiner les journaux des événements

Accepted Answer

Ouvrez l’application Observateur d’événements en sélectionnant l’icône Recherche dans la barre des tâches et en recherchant l’observateur d’événements.

Vous trouverez des informations sur Microsoft Defender Antivirus sousJournaux >des applications et des servicesMicrosoft >Windows>Windows Defender.
À partir de là, sélectionnez Ouvrir sous Opérationnel.

La sélection d’un événement dans le volet d’informations affiche plus d’informations sur un événement dans le volet inférieur, sous les onglets Général et Détails .

Question 2

Microsoft Defender Antivirus ne démarre pas.

Accepted Answer

Ce problème peut se manifester sous la forme de plusieurs ID d’événement différents, qui ont tous la même cause sous-jacente.

ID d’événement associés

ID d’événement 15

Nom du journal : Application
Description : mise à jour Windows Defender status correctement vers SECURITY_PRODUCT_STATE_OFF.
Source : Security Center

ID d’événement 5007

Nom du journal : Microsoft-Windows-Windows Defender/Operational
Description : la configuration de l’antivirus Microsoft Defender a changé. S’il s’agit d’un événement inattendu, vous devez examiner les paramètres, car ce problème peut être dû à des programmes malveillants.
Ancienne valeur : Default\IsServiceRunning = 0x0
Nouvelle valeur : HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
Source : Windows Defender

ID d’événement 5010

Nom du journal : Microsoft-Windows-Windows Defender/Operational
Description : Microsoft Defender l’analyse antivirus des logiciels espions et autres logiciels potentiellement indésirables est désactivée.
Source : Windows Defender

Comment savoir si Microsoft Defender Antivirus ne démarre pas parce qu’un antivirus non-Microsoft est installé.

Sur un appareil Windows 10 ou Windows 11, si vous n’utilisez pas Microsoft Defender pour point de terminaison et qu’un antivirus non-Microsoft est installé, Microsoft Defender’antivirus est automatiquement désactivé. Si vous utilisez Microsoft Defender pour point de terminaison avec un antivirus non-Microsoft installé, Microsoft Defender Antivirus démarre en mode passif, avec des fonctionnalités réduites.

Conseil

Le scénario décrit précédemment s’applique uniquement aux Windows 10 et Windows 11. D’autres versions de Windows ont des réponses différentes à Microsoft Defender antivirus en cours d’exécution avec les logiciels de sécurité non-Microsoft.

Utilisez l’application Services pour case activée si Microsoft Defender antivirus est désactivé.

Pour ouvrir l’application Services, sélectionnez l’icône Recherche dans la barre des tâches et recherchez services. Vous pouvez également ouvrir l’application à partir de la ligne de commande en tapant services.msc.

Les informations sur Microsoft Defender Antivirus sont répertoriées dans l’application Services sous Windows Defender>Operational. Le nom du service antivirus est Microsoft Defender Service antivirus.

Lors de la vérification de l’application, vous pouvez voir que Microsoft Defender service antivirus est défini sur manuel, mais lorsque vous essayez de démarrer ce service manuellement, vous recevez un avertissement. L’avertissement peut indiquer que le service antivirus Microsoft Defender sur l’ordinateur local a démarré, puis s’est arrêté. Certains services s’arrêtent automatiquement s’ils ne sont pas utilisés par d’autres services ou programmes.

Ce problème indique que Microsoft Defender Antivirus a été automatiquement désactivé pour préserver la compatibilité avec un antivirus non-Microsoft.

Générer un rapport détaillé

Vous pouvez générer un rapport détaillé sur les stratégies de groupe actuellement actives en ouvrant une invite de commandes en mode Exécuter en tant qu’administrateur , puis en entrant la commande suivante :

GPresult.exe /h gpresult.html

Cette commande génère un rapport situé dans ./gpresult.html. Ouvrez ce fichier et vous pouvez voir les résultats suivants, en fonction de la façon dont Microsoft Defender Antivirus a été désactivé.

Résultats de la stratégie de groupe

Si les paramètres de sécurité sont implémentés via la stratégie de groupe (GPO) au niveau du domaine ou local, ou via System Center Configuration Manager (SCCM)

Dans le rapport GPResults, sous le titre Composants Windows/antivirus Microsoft Defender, vous pouvez voir quelque chose comme l’entrée suivante, indiquant que Microsoft Defender Antivirus est désactivé.

Stratégie : Désactiver Microsoft Defender Antivirus
Paramètre : Activé
Objet de stratégie de groupe gagnant : Win10-Workstations

Si les paramètres de sécurité sont implémentés via la préférence de stratégie de groupe (GPP)

Sous l’en-tête, Élément de Registre (Chemin de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Nom de la valeur : DisableAntiSpyware) , vous pouvez voir quelque chose comme l’entrée suivante, indiquant que Microsoft Defender Antivirus est désactivé.

DisableAntiSpyware
Objet de stratégie de groupe gagnant : Win10-Workstations
Résultat : Réussite
Général
Action : Mise à jour
Properties
Hive : HKEY_LOCAL_MACHINE
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender
Nom de la valeur : DisableAntiSpyware
Type de valeur : REG_DWORD
Données de valeur : 0x1 (1)

Si les paramètres de sécurité sont implémentés via une clé de Registre

Le rapport peut contenir le texte suivant, indiquant que Microsoft Defender’antivirus est désactivé :

Registre (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hexadécimal)

Si les paramètres de sécurité sont définis dans Windows ou votre image Windows Server

Votre administrateur imaginant peut avoir défini la stratégie de sécurité , DisableAntiSpyware, localement via GPEdit.exe, LGPO.exe, ou en modifiant le Registre dans leur séquence de tâches. Vous pouvez configurer un identificateur d’image approuvée pour Microsoft Defender Antivirus.

Réactiver Microsoft Defender Antivirus

Microsoft Defender Antivirus s’active automatiquement si aucun autre antivirus n’est actuellement actif. Vous devez désactiver l’antivirus non-Microsoft pour vous assurer Microsoft Defender antivirus peut s’exécuter avec toutes les fonctionnalités.

Avertissement

Les solutions suggérant de modifier les valeurs de début Windows Defender pour wdboot, wdfilter, wdnisdrvwdnissvc, et windefend dans ne sont pas prises en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services charge et peuvent vous forcer à réimager votre système.

Le mode passif est disponible si vous commencez à utiliser Microsoft Defender pour point de terminaison et un antivirus non-Microsoft avec Microsoft Defender Antivirus. Le mode passif permet à Microsoft Defender Antivirus d’analyser les fichiers et de se mettre à jour, mais il ne corrige pas les menaces en mode passif. En outre, la surveillance du comportement via Real Time Protection n’est pas disponible en mode passif, sauf si la protection contre la perte de données de point de terminaison (DLP) est déployée.

Une autre fonctionnalité, appelée analyse périodique limitée, est disponible pour les utilisateurs finaux lorsque Microsoft Defender’antivirus est configuré pour se désactiver automatiquement. Cette fonctionnalité permet à Microsoft Defender Antivirus d’analyser régulièrement les fichiers en même temps qu’un antivirus non-Microsoft, à l’aide d’un nombre limité de détections.

Importante

L’analyse périodique limitée n’est pas recommandée dans les environnements d’entreprise. Les fonctionnalités de détection, de gestion et de création de rapports disponibles lors de l’exécution de Microsoft Defender Antivirus dans ce mode sont réduites par rapport au mode actif.