Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Tämän artikkelin avulla voit ratkaista ongelmia siirryttäessä microsoftin ulkopuolisesta suojausratkaisusta Microsoft Defender virustentorjuntaan.
Tarkastele tapahtumalokeja
Avaa Tapahtumienvalvonta-sovellus valitsemalla tehtäväpalkista Haku-kuvake ja etsimällä tapahtumien katseluohjelmaa.
Tietoja Microsoft Defender virustentorjuntaohjelmasta on kohdassa Sovellukset ja palvelut Lokit>Microsoft>Windows>Windows Defender.
Valitse sieltä Avaakohdassa Toiminta.
Kun valitset tapahtuman tietoruudusta, näet lisätietoja tapahtumasta alemmassa ruudussa Yleiset- ja Tiedot-välilehtien alla.
Microsoft Defender virustentorjunta ei käynnisty.
Tämä ongelma voi ilmetä usean eri tapahtumatunnuksen muodossa, joilla kaikilla on sama taustalla oleva syy.
Liittyvät tapahtumatunnukset
Tapahtuman tunnus 15
- Lokin nimi: Sovellus
- Kuvaus: Windows Defender tila päivitettiin onnistuneesti SECURITY_PRODUCT_STATE_OFF.
- Lähde: Tietoturvakeskus
Tapahtuman tunnus 5007
- Lokin nimi: Microsoft-Windows-Windows Defender/Operational
- Kuvaus: Microsoft Defender virustentorjunta-määritykset ovat muuttuneet. Jos tämä on odottamaton tapahtuma, tarkista asetukset, koska tämä ongelma voi johtua haittaohjelmista.
Vanha arvo: Default\IsServiceRunning = 0x0
Uusi arvo: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1 - Lähde: Windows Defender
Tapahtuman tunnus 5010
- Lokin nimi: Microsoft-Windows-Windows Defender/Operational
- Kuvaus: Microsoft Defender vakoiluohjelmien ja muiden mahdollisesti ei-toivottujen ohjelmien virustentorjuntaohjelmisto on poistettu käytöstä.
- Lähde: Windows Defender
Mistä tietää, jos Microsoft Defender virustentorjuntaohjelma ei käynnisty, koska asennettuna on muu kuin Microsoftin virustentorjunta.
Jos et käytä Windows 10 tai Windows 11 laitteessa Microsoft Defender for Endpoint ja sinulla on asennettuna muu kuin Microsoftin virustentorjuntaohjelma, Microsoft Defender virustentorjunta poistetaan automaattisesti käytöstä. Jos käytössäsi on Microsoft Defender for Endpoint, johon on asennettu muu kuin Microsoftin virustentorjuntaohjelma, Microsoft Defender virustentorjunta käynnistyy passiivitilassa rajoitetuin toimin.
Vihje
Aiemmin kuvattu skenaario koskee vain Windows 10 ja Windows 11. Muilla Windows-versioilla on erilaiset vastaukset siihen, Microsoft Defender virustentorjunta suoritetaan yhdessä muiden kuin Microsoftin suojausohjelmistojen kanssa.
Services-sovelluksen avulla voit tarkistaa, onko Microsoft Defender virustentorjunta poistettu käytöstä.
Avaa Palvelut-sovellus valitsemalla Haku-kuvake tehtäväpalkista ja etsimällä palveluita. Voit myös avata sovelluksen komentoriviltä kirjoittamalla services.msc.
Tietoja Microsoft Defender virustentorjunta on lueteltu Palvelut-sovelluksessa kohdassa Windows Defender>Operational. Virustentorjuntapalvelun nimi on Microsoft Defender virustentorjuntapalvelu.
Tarkistaessasi sovellusta saatat huomata, että Microsoft Defender virustentorjuntapalvelu on asetettu manuaaliseen käyttöön, mutta kun yrität käynnistää tämän palvelun manuaalisesti, saat varoituksen. Varoituksessa saattaa sanoa, että paikallisen tietokoneen Microsoft Defender virustentorjuntapalvelu käynnistyi ja pysähtyi. Jotkin palvelut pysähtyvät automaattisesti, jos muut palvelut tai ohjelmat eivät käytä niitä.
Tämä ongelma ilmaisee, että Microsoft Defender virustentorjunta poistettiin automaattisesti käytöstä yhteensopivuuden säilyttämiseksi muun kuin Microsoftin virustentorjuntaohjelman kanssa.
Luo yksityiskohtainen raportti
Voit luoda yksityiskohtaisen raportin aktiivisista ryhmäkäytännöistä avaamalla komentokehotteen Suorita järjestelmänvalvojana -tilassa ja antamalla seuraavan komennon:
GPresult.exe /h gpresult.html
Tämä komento luo raportin, jonka sijainti on ./gpresult.html. Avaa tämä tiedosto, niin saatat nähdä seuraavat tulokset sen mukaan, miten Microsoft Defender virustentorjunta poistettiin käytöstä.
Ryhmäkäytännön tulokset
Jos suojausasetukset otetaan käyttöön ryhmäkäytännön (GPO) kautta toimialueella tai paikallisella tasolla tai System center configuration Managerin (SCCM) kautta
GPResults-raportin otsikon Windowsin osat/Microsoft Defender virustentorjunta alla saattaa näkyä jotain seuraavankaltaista, mikä ilmaisee, että Microsoft Defender virustentorjunta on poistettu käytöstä.
- Käytäntö: Poista Microsoft Defender virustentorjunta käytöstä
- Asetus: käytössä
- Voittoisa ryhmäkäytäntöobjekti: Win10-Workstations
Jos suojausasetukset otetaan käyttöön ryhmäkäytännön (GPP) kautta
Rekisterikohde (Avainpolku: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Arvon nimi: DisableAntiSpyware) -otsikon alla saattaa näkyä jotain seuraavankaltaista, mikä ilmaisee, että Microsoft Defender virustentorjunta on poistettu käytöstä.
- DisableAntiSpyware
- Voittoisa ryhmäkäytäntöobjekti: Win10-Workstations
- Tulos: Onnistui
- Yleiset
- Toiminto: Päivitä
- Majoituspaikkaa
- Rakenne: HKEY_LOCAL_MACHINE
- Avainpolku: SOFTWARE\Policies\Microsoft\Windows Defender
- Arvon nimi: DisableAntiSpyware
- Arvotyyppi: REG_DWORD
- Arvotiedot: 0x1 (1)
Jos suojausasetukset otetaan käyttöön rekisteriavaimen kautta
Raportti saattaa sisältää seuraavan tekstin, joka ilmaisee, että Microsoft Defender virustentorjunta on poistettu käytöstä:
Rekisteri (regedit.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (heksa)
Jos suojausasetukset on määritetty Windowsissa tai Windows Serverin näköistiedostossa
Imagining-järjestelmänvalvojasi on saattanut määrittää suojauskäytännön , DisableAntiSpyware, paikallisesti GPEdit.exe, LGPO.exekautta tai muokkaamalla rekisteriä tehtäväjärjestyksessään. Voit määrittää luotetun kuvatunnuksen Microsoft Defender virustentorjuntaa varten.
Ota virustentorjunta Microsoft Defender takaisin käyttöön
Microsoft Defender Virustentorjunta käynnistyy automaattisesti, jos mikään muu virustentorjunta ei ole tällä hetkellä aktiivinen. Sinun on poistettava muu kuin Microsoftin virustentorjunta käytöstä, jotta Microsoft Defender virustentorjunta voidaan suorittaa täydellä toiminnolla.
Varoitus
Ratkaisut, jotka ehdottavat, että muokkaat Windows Defender aloitusarvoja ille wdboot, wdfilter, wdnisdrv, wdnissvcja windefend inHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services, eivät ole tuettuja, ja ne saattavat pakottaa sinut käyttämään järjestelmääsi uudelleen.
Passiivitila on käytettävissä, jos aloitat Microsoft Defender for Endpoint ja muun kuin Microsoftin virustentorjunnan käytön yhdessä Microsoft Defender virustentorjunnan kanssa. Passiivitilassa Microsoft Defender virustentorjunta voi tarkistaa tiedostot ja päivittää itsensä, mutta se ei korjaa uhkia passiivitilassa. Lisäksi toiminnan valvonta reaaliaikaisessa suojauksessa ei ole käytettävissä passiivitilassa, ellei päätepisteen tietojen menetyksen estämistä (DLP) ole otettu käyttöön.
Toinen ominaisuus, jota kutsutaan rajoitetuksi jaksoittaiseksi skannaukseksi, on loppukäyttäjien käytettävissä, kun Microsoft Defender virustentorjunta on määritetty sammumaan automaattisesti. Tämän ominaisuuden avulla Microsoft Defender virustentorjuntaohjelma voi tarkistaa tiedostot säännöllisesti muiden kuin Microsoftin virustentorjuntaohjelman rinnalla käyttämällä rajoitettua määrää tunnistuksia.
Tärkeää
Rajoitettua säännöllistä skannausta ei suositella yritysympäristöissä. Virustentorjuntaa Microsoft Defender suoritettaessa käytettävissä olevia tunnistamis-, hallinta- ja raportointiominaisuuksia vähennetään aktiiviseen tilaan verrattuna.
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
- Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Macissa
- macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpoint Linuxissa
- Defender for Endpointin ominaisuuksien määrittäminen Androidissa
- Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä