Editar

Compartilhar via


Solucionar problemas Microsoft Defender Antivírus durante a migração de uma solução não Microsoft

Aplica-se a:

Plataformas

  • Windows

Use este artigo para resolve problemas durante a migração de uma solução de segurança não Microsoft para Microsoft Defender Antivírus.

Revisar logs de eventos

  1. Abra o aplicativo visualizador de eventos selecionando o ícone Pesquisa na barra de tarefas e procurando o visualizador de eventos.

    Informações sobre Microsoft Defender Antivírus podem ser encontradas em Logs de Aplicativos e Serviços>Microsoft>Windows>Windows Defender.

  2. A partir daí, selecione Abrir abaixo de Operacional.

    Selecionar um evento no painel de detalhes mostra mais informações sobre um evento no painel inferior, nas guias Geral e Detalhes .

Microsoft Defender Antivírus não é iniciado.

Esse problema pode se manifestar na forma de várias IDs de eventos diferentes, todas com a mesma causa subjacente.

IDs de evento associadas

ID do evento 15

  • Nome do log: aplicativo
  • Descrição: Windows Defender status atualizado com êxito para SECURITY_PRODUCT_STATE_OFF.
  • Fonte: Central de Segurança

ID do evento 5007

  • Nome do log: Microsoft-Windows-Windows Defender/Operational
  • Descrição: Microsoft Defender Configuração antivírus foi alterada. Se esse for um evento inesperado, você deverá examinar as configurações, pois esse problema pode ser devido ao malware.
    Valor antigo: Default\IsServiceRunning = 0x0
    Novo valor: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
  • Fonte: Windows Defender

ID do evento 5010

  • Nome do log: Microsoft-Windows-Windows Defender/Operational
  • Descrição: Microsoft Defender A verificação antivírus para spyware e outros softwares potencialmente indesejados está desabilitada.
  • Fonte: Windows Defender

Como saber se Microsoft Defender Antivírus não é iniciado porque um antivírus não Microsoft está instalado.

Em um dispositivo Windows 10 ou Windows 11, se você não estiver usando Microsoft Defender para Ponto de Extremidade e tiver um antivírus não Microsoft instalado, Microsoft Defender Antivírus será desativado automaticamente. Se você estiver usando Microsoft Defender para Ponto de Extremidade com um antivírus não Microsoft instalado, Microsoft Defender Antivírus começa no modo passivo, com funcionalidade reduzida.

Dica

O cenário descrito anteriormente aplica-se apenas a Windows 10 e Windows 11. Outras versões do Windows têm respostas diferentes para Microsoft Defender Antivírus que está sendo executado junto com software de segurança não Microsoft.

Use o aplicativo Services para marcar se Microsoft Defender Antivírus estiver desativado.

Para abrir o aplicativo Serviços, selecione o ícone Pesquisa na barra de tarefas e pesquise por serviços. Você também pode abrir o aplicativo da linha de comando digitando services.msc.

Informações sobre Microsoft Defender Antivírus estão listadas no aplicativo Serviços em Windows Defender>Operational. O nome do serviço antivírus é Microsoft Defender Serviço Antivírus.

Ao verificar o aplicativo, você pode ver que Microsoft Defender Serviço antivírus está definido como manual, mas quando você tenta iniciar esse serviço manualmente, você recebe um aviso. O aviso pode dizer que o serviço Microsoft Defender Antivírus no Computador Local começou e depois parou. Alguns serviços param automaticamente se não estiverem em uso por outros serviços ou programas.

Esse problema indica que Microsoft Defender Antivírus foi automaticamente desativado para preservar a compatibilidade com um antivírus não Microsoft.

Gerar um relatório detalhado

Você pode gerar um relatório detalhado sobre políticas de grupo atualmente ativas abrindo um prompt de comando no modo Executar como administrador e inserindo o seguinte comando:

GPresult.exe /h gpresult.html

Esse comando gera um relatório localizado em ./gpresult.html. Abra este arquivo e você pode ver os resultados a seguir, dependendo de como Microsoft Defender Antivírus foi desativado.

Resultados da política de grupo
Se as configurações de segurança forem implementadas por meio de GPO (política de grupo) no domínio ou no nível local ou por meio do System center configuration manager (SCCM)

No relatório GPResults, no título, Componentes do Windows/Microsoft Defender Antivírus, você pode ver algo como a entrada a seguir, indicando que Microsoft Defender Antivírus está desativado.

  • Política: Desativar Microsoft Defender Antivírus
  • Configuração: Habilitado
  • GPO vencedor: Win10-Workstations
Se as configurações de segurança forem implementadas por meio da GPP (preferência de política de grupo)

No título, item Registro (Caminho da chave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Nome do valor: DisableAntiSpyware), você pode ver algo como a seguinte entrada, indicando que Microsoft Defender Antivírus está desativado.

  • DisableAntiSpyware
  • GPO vencedor: Win10-Workstations
  • Resultado: Êxito
  • Geral
  • Ação: atualizar
  • Propriedades
  • Hive: HKEY_LOCAL_MACHINE
  • Caminho da chave: SOFTWARE\Policies\Microsoft\Windows Defender
  • Nome do valor: DisableAntiSpyware
  • Tipo de valor: REG_DWORD
  • Dados de valor: 0x1 (1)
Se as configurações de segurança forem implementadas por meio da chave do registro

O relatório pode conter o seguinte texto, indicando que Microsoft Defender Antivírus está desativado:

Registro (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hex)

Se as configurações de segurança forem definidas no Windows ou na imagem do Windows Server

Seu administrador de imaginação pode ter definido a política de segurança, DisableAntiSpyware, localmente por meio deGPEdit.exe, LGPO.exeou modificando o registro em sua sequência de tarefas. Você pode configurar um Identificador de Imagem Confiável para Microsoft Defender Antivírus.

Ativar Microsoft Defender Antivírus

Microsoft Defender Antivírus ativa automaticamente se nenhum outro antivírus estiver ativo no momento. Você precisa desativar o antivírus não Microsoft para garantir que Microsoft Defender Antivírus possa ser executado com a funcionalidade completa.

Aviso

Soluções que sugerem que você edite os valores de início Windows Defender para wdboot, wdfilter, wdnisdrv, , wdnissvce windefend em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services não são compatíveis e podem forçá-lo a reimagear seu sistema.

O modo passivo estará disponível se você começar a usar Microsoft Defender para Ponto de Extremidade e um antivírus não Microsoft junto com Microsoft Defender Antivírus. O modo passivo permite que Microsoft Defender Antivírus examine arquivos e se atualize, mas não corrige ameaças no modo passivo. Além disso, o monitoramento de comportamento por meio da Proteção em Tempo Real não está disponível no modo passivo, a menos que a DLP (prevenção contra perda de dados) do Ponto de Extremidade seja implantada.

Outro recurso, conhecido como verificação periódica limitada, está disponível para usuários finais quando Microsoft Defender Antivírus está definido para desativar automaticamente. Esse recurso permite que Microsoft Defender Antivírus examine arquivos periodicamente ao lado de um antivírus não Microsoft, usando um número limitado de detecções.

Importante

A verificação periódica limitada não é recomendada em ambientes corporativos. Os recursos de detecção, gerenciamento e relatório disponíveis ao executar Microsoft Defender Antivírus nesse modo são reduzidos em comparação ao modo ativo.