Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender Antivirus
Plattformer
- Windows
Bruk denne artikkelen til å løse problemer under overføring fra en ikke-Microsoft-sikkerhetsløsning til Microsoft Defender Antivirus.
Se gjennom hendelseslogger
Åpne Appen for hendelsesvisningsprogram ved å velge Søk-ikonet på oppgavelinjen og søke etter visningsprogram for hendelser.
Du finner informasjon om Microsoft Defender Antivirus under Programmer og tjenestelogger>i Microsoft>Windows>Windows Defender.
Derfra velger du Åpne under Drift.
Hvis du velger en hendelse fra detaljruten, vises mer informasjon om en hendelse i den nedre ruten under fanene Generelt og Detaljer .
Microsoft Defender Antivirus starter ikke.
Dette problemet kan manifestere seg i form av flere forskjellige hendelses-ID-er, som alle har samme underliggende årsak.
Tilknyttede hendelses-IDer
Hendelses-ID 15
- Loggnavn: Program
- Beskrivelse: Oppdatert Windows Defender status for å SECURITY_PRODUCT_STATE_OFF.
- Kilde: Sikkerhetssenter
Hendelses-ID 5007
- Loggnavn: Microsoft-Windows-Windows Defender/drift
-
Beskrivelse: Microsoft Defender antiviruskonfigurasjon er endret. Hvis dette er en uventet hendelse, bør du se gjennom innstillingene, da dette problemet kan skyldes skadelig programvare.
Gammel verdi: Default\IsServiceRunning = 0x0
Ny verdi: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1 - Kilde: Windows Defender
Hendelses-ID 5010
- Loggnavn: Microsoft-Windows-Windows Defender/drift
- Beskrivelse: Microsoft Defender antivirusskanning etter spionprogrammer og annen potensielt uønsket programvare er deaktivert.
- Kilde: Windows Defender
Slik finner du ut om Microsoft Defender Antivirus ikke starter fordi et antivirus som ikke er fra Microsoft, er installert.
Hvis du ikke bruker Microsoft Defender for endepunkt på en Windows 10 eller Windows 11 enhet, og du har installert et antivirus som ikke er fra Microsoft, deaktiveres Microsoft Defender Antivirus automatisk. Hvis du bruker Microsoft Defender for endepunkt med et antivirus som ikke er installert fra Microsoft, starter Microsoft Defender Antivirus i passiv modus, med redusert funksjonalitet.
Tips
Scenarioet som er beskrevet tidligere, gjelder bare for Windows 10 og Windows 11. Andre versjoner av Windows har ulike svar på Microsoft Defender Antivirus kjøres sammen med ikke-Microsoft-sikkerhetsprogramvare.
Bruk Tjenester-appen til å kontrollere om Microsoft Defender Antivirus er slått av.
Hvis du vil åpne Tjenester-appen, velger du Søk-ikonet fra oppgavelinjen og søker etter tjenester. Du kan også åpne appen fra kommandolinjen ved å skrive inn services.msc.
Informasjon om Microsoft Defender Antivirus er oppført i Tjenester-appen under Windows Defender>Operational. Navnet på antivirustjenesten er Microsoft Defender Antivirustjeneste.
Når du kontrollerer appen, ser du kanskje at Microsoft Defender Antivirus-tjenesten er satt til manuell, men når du prøver å starte denne tjenesten manuelt, får du en advarsel. Advarselen kan si at tjenesten Microsoft Defender antivirustjeneste på lokal datamaskin startet og deretter stoppet. Noen tjenester stopper automatisk hvis de ikke er i bruk av andre tjenester eller programmer.
Dette problemet indikerer at Microsoft Defender Antivirus ble slått av automatisk for å bevare kompatibilitet med et antivirus som ikke er Fra Microsoft.
Generer en detaljert rapport
Du kan generere en detaljert rapport om gjeldende aktive gruppepolicyer ved å åpne en ledetekst i Kjør som administratormodus , og deretter skrive inn følgende kommando:
GPresult.exe /h gpresult.html
Denne kommandoen genererer en rapport som er plassert på ./gpresult.html. Åpne denne filen, og du kan se følgende resultater, avhengig av hvordan Microsoft Defender Antivirus ble slått av.
Gruppepolicyresultater
Hvis sikkerhetsinnstillinger implementeres via gruppepolicy (GPO) på domenet eller lokalt nivå, eller gjennom System Center Configuration Manager (SCCM)
I GPResults-rapporten, under overskriften Windows Components/Microsoft Defender Antivirus, kan det hende du ser noe lignende følgende oppføring, som angir at Microsoft Defender Antivirus er slått av.
- Policy: Slå av Microsoft Defender Antivirus
- Innstilling: Aktivert
- Vinnende gruppepolicyobjekt: Win10-Workstations
Hvis sikkerhetsinnstillinger implementeres via gruppepolicyinnstillinger (GPP)
Under overskriften Registry item (Key path: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Value name: DisableAntiSpyware) kan du se noe sånt som følgende oppføring, som angir at Microsoft Defender Antivirus er slått av.
- DisableAntiSpyware
- Vinnende GPO: Win10-Workstations
- Resultat: Vellykket
- Generelle
- Handling: Oppdater
- Egenskaper
- Struktur: HKEY_LOCAL_MACHINE
- Nøkkelbane: SOFTWARE\Policies\Microsoft\Windows Defender
- Verdinavn: DisableAntiSpyware
- Verditype: REG_DWORD
- Verdidata: 0x1 (1)
Hvis sikkerhetsinnstillinger implementeres via registernøkkelen
Rapporten kan inneholde følgende tekst, som angir at Microsoft Defender Antivirus er slått av:
Register (regedit.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hex)
Hvis sikkerhetsinnstillinger er angitt i Windows eller Windows Server-avbildningen
Systemansvarlig kan ha angitt sikkerhetspolicyen DisableAntiSpyware lokalt via GPEdit.exe, LGPO.exeeller ved å endre registeret i oppgavesekvensen. Du kan konfigurere en klarert bildeidentifikator for Microsoft Defender Antivirus.
Slå antivirusprogrammet Microsoft Defender på igjen
Microsoft Defender Antivirus aktiveres automatisk hvis ingen andre antivirusprogrammer er aktive. Du må deaktivere antivirusprogrammet som ikke er fra Microsoft, for å sikre at Microsoft Defender Antivirus kan kjøre med full funksjonalitet.
Advarsel
Løsninger som tyder på at du redigerer Windows Defender startverdier for wdboot, wdfilter, wdnisdrv, wdnissvcog windefend iHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, støttes ikke, og kan tvinge deg til å frarøde systemet på nytt.
Passiv modus er tilgjengelig hvis du begynner å bruke Microsoft Defender for endepunkt og et ikke-Microsoft-antivirus sammen med Microsoft Defender Antivirus. Passiv modus gjør det mulig for Microsoft Defender Antivirus å skanne filer og oppdatere seg selv, men det utbedrer ikke trusler i passiv modus. I tillegg er ikke virkemåteovervåking via Sanntidsbeskyttelse tilgjengelig i passiv modus, med mindre hindring av datatap i endepunkt (DLP) distribueres.
En annen funksjon, kjent som begrenset periodisk skanning, er tilgjengelig for sluttbrukere når Microsoft Defender Antivirus er satt til å slå av automatisk. Denne funksjonen gjør det mulig for Microsoft Defender Antivirus å skanne filer regelmessig sammen med et antivirus som ikke er fra Microsoft, ved hjelp av et begrenset antall gjenkjenninger.
Viktig
Begrenset periodisk skanning anbefales ikke i bedriftsmiljøer. Funksjonene for gjenkjenning, administrasjon og rapportering som er tilgjengelige når du kjører Microsoft Defender Antivirus i denne modusen, reduseres sammenlignet med aktiv modus.
Tips
Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:
- Angi innstillinger for Microsoft Defender for endepunkt på macOS
- Microsoft Defender for endepunkt på Mac
- Innstillinger for macOS-antiviruspolicy for Microsoft Defender Antivirus for Intune
- Angi innstillinger for Microsoft Defender for endepunkt på Linux
- Microsoft Defender for endepunkt på Linux
- Konfigurer Defender for endepunkt på Android-funksjoner
- Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner