Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender Antivirus
Plattformer
- Windows
Du finner hjelp her hvis du støter på problemer under overføring fra en tredjeparts sikkerhetsløsning til Microsoft Defender Antivirus.
Se gjennom hendelseslogger
Åpne Appen for hendelsesvisningsprogram ved å velge søkeikonet på oppgavelinjen og søke etter hendelsesvisningsprogram.
Du finner informasjon om Microsoft Defender Antivirus under Programmer og tjenestelogger>i Microsoft>Windows>Windows Defender.
Derfra velger du Åpne under Drift.
Hvis du velger en hendelse fra detaljruten, vises mer informasjon om en hendelse i den nedre ruten under fanene Generelt og Detaljer .
Microsoft Defender Antivirus starter ikke
Dette problemet kan manifestere seg i form av flere forskjellige hendelses-ID-er, som alle har samme underliggende årsak.
Tilknyttede hendelses-IDer
Hendelses-ID 15
- Loggnavn: Program
- Beskrivelse: Oppdatert Windows Defender status for å SECURITY_PRODUCT_STATE_OFF.
- Kilde: Sikkerhetssenter
Hendelses-ID 5007
- Loggnavn: Microsoft-Windows-Windows Defender/drift
- Beskrivelse: Microsoft Defender antiviruskonfigurasjon er endret. Hvis dette er en uventet hendelse, bør du se gjennom innstillingene, da dette kan være et resultat av skadelig programvare.
Gammel verdi: Default\IsServiceRunning = 0x0
Ny verdi: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1 - Kilde: Windows Defender
Hendelses-ID 5010
- Loggnavn: Microsoft-Windows-Windows Defender/drift
- Beskrivelse: Microsoft Defender antivirusskanning etter spionprogrammer og annen potensielt uønsket programvare er deaktivert.
- Kilde: Windows Defender
Slik finner du ut om Microsoft Defender Antivirus ikke starter fordi et tredjeparts antivirus er installert
Hvis du ikke bruker Microsoft Defender for endepunkt på en Windows 10 eller Windows 11 enhet, og du har installert et antivirus fra en tredjepart, deaktiveres Microsoft Defender Antivirus automatisk. Hvis du bruker Microsoft Defender for endepunkt med et tredjeparts antivirus installert, starter Microsoft Defender Antivirus i passiv modus, med redusert funksjonalitet.
Tips
Scenarioet som nettopp er beskrevet, gjelder bare for Windows 10 og Windows 11. Andre versjoner av Windows har ulike svar på Microsoft Defender Antivirus kjøres sammen med tredjeparts sikkerhetsprogramvare.
Bruk Tjenester-appen til å kontrollere om Microsoft Defender Antivirus er slått av
Hvis du vil åpne Tjenester-appen, velger du søkeikonet fra oppgavelinjen og søker etter tjenester. Du kan også åpne appen fra kommandolinjen ved å skrive services.msc.
Informasjon om Microsoft Defender Antivirus vises i Tjenester-appen under Windows Defender>Operational. Navnet på antivirustjenesten er Microsoft Defender Antivirustjeneste.
Når du kontrollerer appen, kan det hende du ser at Microsoft Defender Antivirus-tjenesten er satt til manuell, men når du prøver å starte denne tjenesten manuelt, får du en advarsel om at tjenesten Microsoft Defender Antivirustjeneste på lokal datamaskin startet og deretter stoppet. Noen tjenester stopper automatisk hvis de ikke er i bruk av andre tjenester eller programmer.
Dette indikerer at Microsoft Defender Antivirus er slått av automatisk for å bevare kompatibilitet med et tredjeparts antivirusprogram.
Generer en detaljert rapport
Du kan generere en detaljert rapport om gjeldende aktive gruppepolicyer ved å åpne en ledetekst i Kjør som administratormodus og deretter skrive inn følgende kommando:
GPresult.exe /h gpresult.html
Dette genererer en rapport på ./gpresult.html. Åpne denne filen, og du kan se følgende resultater, avhengig av hvordan Microsoft Defender Antivirus ble slått av.
Gruppepolicyresultater
Hvis sikkerhetsinnstillinger implementeres via gruppepolicy (GPO) på domenet eller lokalt nivå, eller om System Center Configuration Manager (SCCM)
I GPResults-rapporten, under overskriften Windows Components/Microsoft Defender Antivirus, kan det hende du ser noe lignende følgende oppføring, som angir at Microsoft Defender Antivirus er slått av.
- Policy: Slå av Microsoft Defender Antivirus
- Innstilling: Aktivert
- Vinnende gruppepolicyobjekt: Win10-Workstations
Hvis sikkerhetsinnstillinger implementeres via gruppepolicyinnstillinger (GPP)
Under overskriften Registry item (Key path: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Value name: DisableAntiSpyware) kan du se noe sånt som følgende oppføring, som angir at Microsoft Defender Antivirus er slått av.
- DisableAntiSpyware
- Vinnende GPO: Win10-Workstations
- Resultat: Vellykket
- Generelle
- Handling: Oppdater
- Egenskaper
- Struktur: HKEY_LOCAL_MACHINE
- Nøkkelbane: SOFTWARE\Policies\Microsoft\Windows Defender
- Verdinavn: DisableAntiSpyware
- Verditype: REG_DWORD
- Verdidata: 0x1 (1)
Hvis sikkerhetsinnstillinger implementeres via registernøkkelen
Rapporten kan inneholde følgende tekst, som angir at Microsoft Defender Antivirus er deaktivert:
Register (regedit.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hex)
Hvis sikkerhetsinnstillinger er angitt i Windows eller Windows Server-avbildningen
Systemansvarlig kan ha angitt sikkerhetspolicyen DisableAntiSpyware, lokalt via GPEdit.exe, LGPO.exeeller ved å endre registeret i oppgavesekvensen. Du kan konfigurere en klarert bildeidentifikator for Microsoft Defender Antivirus.
Slå antivirusprogrammet Microsoft Defender på igjen
Microsoft Defender Antivirus aktiveres automatisk hvis ingen andre antivirusprogrammer er aktive. Du må slå tredjeparts antivirus helt av for å sikre at Microsoft Defender Antivirus kan kjøre med full funksjonalitet.
Advarsel
Løsninger som tyder på at du redigerer Windows Defender startverdier for wdboot, wdfilter, wdnisdrv, wdnissvc og windefend i HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services støttes ikke, og kan tvinge deg til å bilde systemet på nytt.
Passiv modus er tilgjengelig hvis du begynner å bruke Microsoft Defender for endepunkt og et tredjeparts antivirus sammen med Microsoft Defender Antivirus. Passiv modus gjør det mulig for Microsoft Defender Antivirus å skanne filer og oppdatere seg selv, men det vil ikke utbedre trusler. I tillegg er atferdsovervåking via Sanntidsbeskyttelse ikke tilgjengelig under passiv modus, med mindre hindring av tap av data fra endepunkt (DLP) distribueres.
En annen funksjon, kjent som begrenset periodisk skanning, er tilgjengelig for sluttbrukere når Microsoft Defender Antivirus er satt til å slå av automatisk. Denne funksjonen gjør det mulig for Microsoft Defender Antivirus å skanne filer regelmessig sammen med et tredjeparts antivirus, ved hjelp av et begrenset antall gjenkjenninger.
Viktig
Begrenset periodisk skanning anbefales ikke i bedriftsmiljøer. Gjenkjennings-, administrasjons- og rapporteringsfunksjonene som er tilgjengelige når du kjører Microsoft Defender Antivirus i denne modusen, reduseres sammenlignet med aktiv modus.
Tips
Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:
- Angi innstillinger for Microsoft Defender for endepunkt på macOS
- Microsoft Defender for endepunkt på Mac
- Innstillinger for macOS-antiviruspolicy for Microsoft Defender Antivirus for Intune
- Angi innstillinger for Microsoft Defender for endepunkt på Linux
- Microsoft Defender for endepunkt på Linux
- Konfigurer Defender for endepunkt på Android-funksjoner
- Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner