Solucionar problemas del Antivirus de Windows Defender al migrar desde una solución de terceros

Se aplica a:

Plataformas

  • Windows

Puede encontrar ayuda aquí si encuentra problemas al migrar desde una solución de seguridad de terceros a Antivirus de Microsoft Defender.

Revisión de registros de eventos

  1. Abra la aplicación Visor de eventos seleccionando el icono Buscar en la barra de tareas y buscando visor de eventos.

    Puede encontrar información sobre Antivirus de Microsoft Defender en Registros > de aplicaciones y servicios de Microsoft > Windows > Windows Defender.

  2. Desde allí, seleccione Abrir debajo de Operativo.

    Al seleccionar un evento en el panel de detalles, se mostrará más información sobre un evento en el panel inferior, en las pestañas General y Detalles .

Antivirus de Microsoft Defender no se iniciará

Este problema se puede manifestar en forma de varios identificadores de evento diferentes, todos los cuales tienen la misma causa subyacente.

Identificadores de eventos asociados

Identificador de evento Nombre de registro Descripción Origen
15 Aplicación Se ha actualizado Windows Defender estado correctamente para SECURITY_PRODUCT_STATE_OFF. Security Center
5007 Microsoft-Windows-Windows Defender/Operational Antivirus de Windows Defender configuración ha cambiado. Si se trata de un evento inesperado, debe revisar la configuración, ya que puede ser el resultado de malware.

Valor anterior: Default\IsServiceRunning = 0x0

Nuevo valor: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1

Windows Defender
5010 Microsoft-Windows-Windows Defender/Operational Antivirus de Windows Defender examen de spyware y otro software potencialmente no deseado está deshabilitado. Windows Defender

Cómo saber si Antivirus de Microsoft Defender no se iniciará porque está instalado un antivirus de terceros

En un dispositivo Windows 10 o Windows 11, si no usa Microsoft Defender para punto de conexión y tiene instalado un antivirus de terceros, Antivirus de Microsoft Defender se desactivará automáticamente. Si usa Microsoft Defender para punto de conexión con un antivirus de terceros instalado, Antivirus de Microsoft Defender se iniciará en modo pasivo, con una funcionalidad reducida.

Sugerencia

El escenario que se acaba de describir solo se aplica a Windows 10 y Windows 11. Otras versiones de Windows tienen respuestas diferentes a Antivirus de Microsoft Defender que se ejecutan junto con software de seguridad de terceros.

Uso de la aplicación Servicios para comprobar si Antivirus de Microsoft Defender está desactivado

Para abrir la aplicación Servicios, seleccione el icono Buscar de la barra de tareas y busque servicios. También puede abrir la aplicación desde la línea de comandos escribiendo services.msc.

La información sobre Antivirus de Microsoft Defender se mostrará en la aplicación Servicios en Windows Defender > Operativo. El nombre del servicio antivirus es Antivirus de Windows Defender Service.

Al comprobar la aplicación, es posible que vea que Antivirus de Windows Defender Service está establecido en manual, pero cuando intenta iniciar este servicio manualmente, recibe una advertencia que indica: El Antivirus de Windows Defender Se inició el servicio de servicio en el equipo local y, a continuación, se detuvo. Algunos servicios se detienen automáticamente si no están en uso por otros servicios o programas.

Esto indica que Antivirus de Microsoft Defender se ha desactivado automáticamente para conservar la compatibilidad con un antivirus de terceros.

Generación de un informe detallado

Para generar un informe detallado sobre las directivas de grupo actualmente activas, abra un símbolo del sistema en el modo Ejecutar como administrador y escriba el siguiente comando:

GPresult.exe /h gpresult.html

Esto generará un informe ubicado en ./gpresult.html. Abra este archivo y es posible que vea los resultados siguientes, en función de cómo se haya desactivado Antivirus de Microsoft Defender.

Resultados de la directiva de grupo
Si la configuración de seguridad se implementa a través de la directiva de grupo (GPO) en el nivel de dominio o local, o a través de System Center Configuration Manager (SCCM)

En el informe GPResults, bajo el encabezado, Windows Components/Antivirus de Windows Defender, es posible que vea algo parecido a la siguiente entrada, lo que indica que Antivirus de Microsoft Defender está desactivado.

Policy Configuración GPO ganador
Desactivar Antivirus de Windows Defender Habilitado Win10-Workstations
Si la configuración de seguridad se implementa a través de la preferencia de directiva de grupo (GPP)

En el encabezado, elemento del Registro (Ruta de acceso de clave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Nombre del valor: DisableAntiSpyware) puede ver algo parecido a la siguiente entrada, lo que indica que Antivirus de Microsoft Defender está desactivado.

DisableAntiSpyware -
GPO ganador Win10-Workstations
Resultado: Correcto
Acción Actualizar
Hive HKEY_LOCAL_MACHINE
Ruta de acceso de clave SOFTWARE\Policies\Microsoft\Windows Defender
Nombre del valor DisableAntiSpyware
Tipo de valor REG_DWORD
Datos del valor 0x1 (1)
Si la configuración de seguridad se implementa a través de la clave del Registro

El informe puede contener el texto siguiente, que indica que Antivirus de Microsoft Defender está desactivado:

Registro (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hexadecimal)

Si la configuración de seguridad se establece en Windows o en la imagen de Windows Server

Es posible que el administrador de creación de imágenes haya establecido la directiva de seguridad DisableAntiSpyware localmente a través deGPEdit.exe, LGPO.exe o modificando el registro en su secuencia de tareas. Puede configurar un identificador de imagen de confianza para Antivirus de Microsoft Defender.

Volver a activar Antivirus de Microsoft Defender

Antivirus de Microsoft Defender se activará automáticamente si no hay ningún otro antivirus activo actualmente. Tendrá que desactivar completamente el antivirus de terceros para asegurarse de que Antivirus de Microsoft Defender se puede ejecutar con funcionalidad completa.

Advertencia

Las soluciones que sugieren que edite los valores de inicio de Windows Defender para wdboot, wdfilter, wdnisdrv, wdnissvc y windefend en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services no son compatibles y pueden forzarle a volver a crear imágenes del sistema.

El modo pasivo está disponible si empieza a usar Microsoft Defender para punto de conexión y un antivirus de terceros junto con Antivirus de Microsoft Defender. El modo pasivo permite Antivirus de Microsoft Defender examinar archivos y actualizarse, pero no corregirá las amenazas. Además, la supervisión del comportamiento a través de Real Time Protection no está disponible en modo pasivo, a menos que se implemente la prevención de pérdida de datos de punto de conexión (DLP).

Otra característica, conocida como examen periódico limitado, está disponible para los usuarios finales cuando Antivirus de Microsoft Defender está configurado para desactivarse automáticamente. Esta característica permite Antivirus de Microsoft Defender examinar archivos periódicamente junto con un antivirus de terceros, con un número limitado de detecciones.

Importante

No se recomienda el examen periódico limitado en entornos empresariales. Las funcionalidades de detección, administración e informes disponibles al ejecutar Antivirus de Microsoft Defender en este modo se reducen en comparación con el modo activo.

Vea también