Question 1

Просмотр журналов событий

Accepted Answer

Откройте приложение "Средство просмотра событий", щелкнув значок Поиск на панели задач и найдите средство просмотра событий.

Сведения о антивирусной программе Microsoft Defender см. в разделе Журналы> приложений и службMicrosoft>Windows>Защитник Windows.
После этого выберите Открыть под операционным элементом.

При выборе события в области сведений отображаются дополнительные сведения о событии на нижней панели на вкладках Общие и Сведения .

Question 2

Microsoft Defender антивирусная программа не запускается.

Accepted Answer

Эта проблема может проявляться в виде нескольких различных идентификаторов событий, каждый из которых имеет одну и ту же основную причину.

Связанные идентификаторы событий

Идентификатор события 15

Имя журнала: Приложение
Описание: состояние Защитник Windows успешно обновлено до SECURITY_PRODUCT_STATE_OFF.
Источник: Центр безопасности

Идентификатор события 5007

Имя журнала: Microsoft-Windows-Защитник Windows/Operational
Описание: Microsoft Defender конфигурация антивирусной программы изменилась. Если это непредвиденное событие, следует просмотреть параметры, так как эта проблема может быть вызвана вредоносными программами.
Старое значение: Default\IsServiceRunning = 0x0
Новое значение: HKLM\SOFTWARE\Microsoft\Защитник Windows\IsServiceRunning = 0x1
Источник: Защитник Windows

Идентификатор события 5010

Имя журнала: Microsoft-Windows-Защитник Windows/Operational
Описание: Microsoft Defender антивирусная проверка на наличие шпионских и других потенциально нежелательных программ отключена.
Источник: Защитник Windows

Как определить, не запускается ли антивирусная программа Microsoft Defender из-за установки антивирусной программы сторонних разработчиков.

На Windows 10 или Windows 11 устройстве, если вы не используете Microsoft Defender для конечной точки и у вас установлена антивирусная программа сторонних разработчиков, антивирусная программа Microsoft Defender автоматически отключается. Если вы используете Microsoft Defender для конечной точки с установленной антивирусной программой сторонних разработчиков, антивирусная программа Microsoft Defender запускается в пассивном режиме с ограниченными функциональными возможностями.

Совет

Описанный выше сценарий применяется только к Windows 10 и Windows 11. Другие версии Windows имеют разные ответы на Microsoft Defender антивирусной программы, запущенной вместе с программным обеспечением безопасности сторонних разработчиков.

Используйте приложение "Службы", чтобы проверка, если антивирусная программа Microsoft Defender отключена.

Чтобы открыть приложение Службы, щелкните значок Поиск на панели задач и найдите службы. Вы также можете открыть приложение из командной строки, введя services.msc.

Сведения о антивирусной программе Microsoft Defender перечислены в приложении "Службы" > в разделе Защитник WindowsOperational. Имя антивирусной службы — Microsoft Defender Антивирусная служба.

При проверке приложения вы можете увидеть, что Microsoft Defender антивирусная служба настроена как ручная, но при попытке запустить эту службу вручную вы получите предупреждение. В этом предупреждении может быть указано, что служба антивирусной программы Microsoft Defender на локальном компьютере запущена, а затем остановлена. Некоторые службы останавливаются автоматически, если они не используются другими службами или программами.

Эта проблема указывает на то, что антивирусная программа Microsoft Defender была автоматически отключена для сохранения совместимости с антивирусной программой сторонних разработчиков.

Создание подробного отчета

Подробный отчет об активных групповых политиках можно создать, открыв командную строку в режиме запуска от имени администратора , а затем введя следующую команду:

GPresult.exe /h gpresult.html

Эта команда создает отчет, расположенный в ./gpresult.html. Откройте этот файл, и вы можете увидеть следующие результаты в зависимости от того, как Microsoft Defender антивирусная программа была отключена.

Результаты групповой политики

Если параметры безопасности реализуются с помощью групповой политики (GPO) на уровне домена или локального уровня, либо с помощью System Center Configuration Manager (SCCM)

В отчете GPResults под заголовком Компоненты Windows/антивирусная программа Microsoft Defender может появиться примерно следующая запись, указывающая, что антивирусная программа Microsoft Defender отключена.

Политика: отключение антивирусной программы Microsoft Defender
Параметр: Включено
Выигрыш объекта групповой политики: Win10-Workstations

Если параметры безопасности реализуются с помощью предпочтения групповой политики (GPP)

Под заголовком Элемент реестра (путь к ключу: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, имя значения: DisableAntiSpyware) может появиться что-то вроде следующей записи, указывающей, что антивирусная программа Microsoft Defender отключена.

DisableAntiSpyware
Выигрыш объекта групповой политики: Win10-Workstations
Результат: успех
Общие
Действие: обновление
Properties
Hive: HKEY_LOCAL_MACHINE
Путь к ключу: SOFTWARE\Policies\Microsoft\Защитник Windows
Имя значения: DisableAntiSpyware
Тип значения: REG_DWORD
Данные значения: 0x1 (1)

Если параметры безопасности реализованы с помощью раздела реестра

Отчет может содержать следующий текст, указывающий, что антивирусная программа Microsoft Defender отключена:

Реестр (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (шестнадцатеричный)

Если параметры безопасности установлены в Windows или образе Windows Server

Ваш воображаемый администратор мог задать политику безопасности DisableAntiSpyware локально с помощью GPEdit.exe, LGPO.exeили путем изменения реестра в последовательности задач. Вы можете настроить идентификатор доверенного образа для антивирусной программы Microsoft Defender.

Снова включите антивирусную программу Microsoft Defender

Microsoft Defender антивирусная программа автоматически включается, если в настоящее время не активна другая антивирусная программа. Необходимо отключить антивирусную программу сторонних разработчиков, чтобы антивирусная программа Microsoft Defender могла работать с полной функциональностью.

Предупреждение

Решения, предполагающие изменение начальных значений Защитник Windows для wdboot, wdfilter, wdnisdrv, wdnissvcи windefend вHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, не поддерживаются и могут привести к повторному просмотру образа системы.

Пассивный режим доступен, если вы начинаете использовать Microsoft Defender для конечной точки и антивирусную программу сторонних разработчиков вместе с антивирусной программой Microsoft Defender. Пассивный режим позволяет антивирусной программе Microsoft Defender сканировать файлы и обновлять себя, но не устранять угрозы в пассивном режиме. Кроме того, мониторинг поведения с помощью защиты в режиме реального времени недоступен в пассивном режиме, если не развернута защита от потери данных конечных точек (DLP ).

Другая функция, известная как ограниченное периодическое сканирование, доступна для конечных пользователей, когда Microsoft Defender антивирусная программа настроена на автоматическое отключение. Эта функция позволяет антивирусной программе Microsoft Defender периодически сканировать файлы вместе с антивирусной программой сторонних разработчиков, используя ограниченное количество обнаружений.

Важно!

В корпоративных средах не рекомендуется выполнять ограниченное периодическое сканирование. Возможности обнаружения, управления и создания отчетов, доступные при запуске Microsoft Defender антивирусной программы в этом режиме, сокращаются по сравнению с активным режимом.