从第三方解决方案迁移时解决 Microsoft Defender 防病毒软件问题
适用于:
平台
- Windows
如果从第三方安全解决方案迁移到防病毒Microsoft Defender时遇到问题,可在此处找到帮助。
查看事件日志
通过选择任务栏中的 搜索 图标并搜索 事件查看器,打开事件查看器应用。
有关Microsoft Defender防病毒的信息可以在应用程序和服务日志>Microsoft>Windows>下找到Windows Defender。
在此处,选择“操作”下方的“打开”。
从“详细信息”窗格中选择事件会在“ 常规 ”和“ 详细信息 ”选项卡下的下窗格中显示有关事件的详细信息。
Microsoft Defender防病毒不会启动
此问题可以以多个不同事件 ID 的形式出现,所有这些 ID 都有相同的根本原因。
关联的事件 ID
| 事件 ID | 日志名称 | 说明 | 源 |
|---|---|---|---|
| 15 | Application | 已成功更新Windows Defender状态以SECURITY_PRODUCT_STATE_OFF。 | 安全中心 |
| 5007 | Microsoft-Windows-Windows Defender/Operational | Microsoft Defender防病毒配置已更改。 如果这是意外事件,则应查看设置,因为这可能是恶意软件的结果。 旧值: Default\IsServiceRunning = 0x0 新值:HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1 |
Windows Defender |
| 5010 | Microsoft-Windows-Windows Defender/Operational | Microsoft Defender禁用对间谍软件和其他可能不需要的软件的防病毒扫描。 | Windows Defender |
如何判断是否因为安装了第三方防病毒而无法启动Microsoft Defender防病毒
在Windows 10或Windows 11设备上,如果不使用Microsoft Defender for Endpoint,并且安装了第三方防病毒,则Microsoft Defender防病毒将自动关闭。 如果在安装第三方防病毒的情况下使用Microsoft Defender for Endpoint,则Microsoft Defender防病毒将以被动模式启动,功能会降低。
提示
刚才描述的方案仅适用于Windows 10和Windows 11。 其他版本的 Windows 对与第三方安全软件一起运行的防病毒Microsoft Defender有不同的响应。
使用 Services 应用检查是否关闭Microsoft Defender防病毒
若要打开“服务”应用,请从任务栏中选择 “搜索 ”图标并搜索 服务。 也可以通过键入 services.msc 从命令行打开应用。
有关Microsoft Defender防病毒的信息将列在 Windows Defender>Operational 下的服务应用中。 防病毒服务名称Microsoft Defender防病毒服务。
检查应用时,你可能会看到Microsoft Defender防病毒服务已设置为手动,但当你尝试手动启动此服务时,你会收到一条警告,指出“本地计算机上的Microsoft Defender防病毒服务服务已启动,然后停止。如果某些服务未被其他服务或程序使用,则它们会自动停止。
这表明Microsoft Defender防病毒已自动关闭,以保持与第三方防病毒的兼容性。
生成详细报表
通过在 “以管理模式运行 ”中打开命令提示符,然后输入以下命令,可以生成有关当前活动组策略的详细报告:
GPresult.exe /h gpresult.html
这将生成位于 ./gpresult.html的报表。 打开此文件,可能会看到以下结果,具体取决于禁用防病毒Microsoft Defender。
组策略结果
如果安全设置是通过组策略 (GPO 在域或本地级别) 实现的,或者通过 System center configuration manager (SCCM)
在 GPResults 报表中,在标题“Windows 组件/Microsoft Defender防病毒”下,你可能会看到如下条目,指示已关闭Microsoft Defender防病毒。
| Policy | Setting | 赢得 GPO |
|---|---|---|
| 关闭Microsoft Defender防病毒 | 已启用 | Win10-Workstations |
如果安全设置是通过组策略首选项实现的, (GPP)
在标题下,注册表项 (键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender,值名称:DisableAntiSpyware) ,你可能会看到如下条目,指示已关闭Microsoft Defender防病毒。
| DisableAntiSpyware | - |
|---|---|
| 赢得 GPO | Win10-Workstations |
| 结果:成功 | |
| 操作 | 更新 |
| Hive | HKEY_LOCAL_MACHINE |
| 密钥路径 | SOFTWARE\Policies\Microsoft\Windows Defender |
| 值名称 | DisableAntiSpyware |
| 值类型 | REG_DWORD |
| 值数据 | 0x1 (1) |
如果安全设置是通过注册表项实现的
报表可能包含以下文本,指示禁用Microsoft Defender防病毒软件:
注册表 (regedit.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (十六进制)
如果在 Windows 或 Windows Server 映像中设置了安全设置
假想管理员可能已通过GPEdit.exe、 LGPO.exe或修改其任务序列中的注册表在本地设置安全策略 DisableAntiSpyware。 可以为Microsoft Defender防病毒配置受信任的映像标识符。
重新打开Microsoft Defender防病毒
Microsoft Defender如果没有其他防病毒软件当前处于活动状态,则防病毒将自动启用。 你需要完全关闭第三方防病毒,以确保Microsoft Defender防病毒可以完全运行。
警告
建议在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中编辑 wdboot、wdfilter、wdnisdrv、wdnissvc 和 windefend 的Windows Defender起始值的解决方案不受支持,并且可能会强制你重新映像系统。
如果开始将Microsoft Defender for Endpoint和第三方防病毒与Microsoft Defender防病毒结合使用,则可以使用被动模式。 被动模式允许Microsoft Defender防病毒扫描文件并自行更新,但不会修正威胁。 此外,除非部署终结点数据丢失防护 (DLP) ,否则通过实时保护进行的行为监视在被动模式下不可用。
当将防病毒Microsoft Defender设置为自动关闭时,最终用户可使用另一项功能(称为有限定期扫描)。 此功能允许Microsoft Defender防病毒使用数量有限的检测定期扫描第三方防病毒文件。
重要
不建议在企业环境中进行有限的定期扫描。 与活动模式相比,在此模式下运行Microsoft Defender防病毒时可用的检测、管理和报告功能会减少。
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint