Question 1

Przeglądanie dzienników zdarzeń

Accepted Answer

Otwórz aplikację Podgląd zdarzeń, wybierając ikonę Search na pasku zadań i wyszukując podgląd zdarzeń.

Informacje o programie antywirusowym Microsoft Defender można znaleźć w obszarze Dzienniki> aplikacji i usługMicrosoft>Windows>Windows Defender.
W tym miejscu wybierz pozycję Otwórz poniżej pozycji Operacje.

Wybranie zdarzenia w okienku szczegółów zawiera więcej informacji o zdarzeniu w dolnym okienku, na kartach Ogólne i Szczegóły .

Question 2

Microsoft Defender program antywirusowy nie uruchamia się.

Accepted Answer

Ten problem może objawiać się w postaci kilku różnych identyfikatorów zdarzeń, z których wszystkie mają tę samą przyczynę.

Skojarzone identyfikatory zdarzeń

Identyfikator zdarzenia 15

Nazwa dziennika: Aplikacja
Opis: Zaktualizowano stan Windows Defender pomyślnie, aby SECURITY_PRODUCT_STATE_OFF.
Źródło: Security Center

Identyfikator zdarzenia 5007

Nazwa dziennika: Microsoft-Windows-Windows Defender/Operational
Opis: konfiguracja programu antywirusowego Microsoft Defender została zmieniona. Jeśli jest to nieoczekiwane zdarzenie, należy przejrzeć ustawienia, ponieważ ten problem może być spowodowany złośliwym oprogramowaniem.
Stara wartość: Default\IsServiceRunning = 0x0
Nowa wartość: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
Źródło: Windows Defender

Identyfikator zdarzenia 5010

Nazwa dziennika: Microsoft-Windows-Windows Defender/Operational
Opis: Microsoft Defender skanowanie antywirusowe pod kątem programów szpiegujących i innych potencjalnie niechcianych programów jest wyłączone.
Źródło: Windows Defender

Jak sprawdzić, czy program antywirusowy Microsoft Defender nie uruchamia się, ponieważ zainstalowano program antywirusowy firmy innej niż Microsoft.

Na urządzeniu Windows 10 lub Windows 11, jeśli nie używasz Ochrona punktu końcowego w usłudze Microsoft Defender i masz zainstalowany program antywirusowy firmy innej niż Microsoft, program antywirusowy Microsoft Defender program antywirusowy jest automatycznie wyłączony. Jeśli używasz programu Ochrona punktu końcowego w usłudze Microsoft Defender z zainstalowanym programem antywirusowym innym niż Microsoft, program antywirusowy Microsoft Defender uruchamia się w trybie pasywnym z ograniczoną funkcjonalnością.

Porada

Opisany wcześniej scenariusz dotyczy tylko Windows 10 i Windows 11. Inne wersje systemu Windows mają różne odpowiedzi na oprogramowanie antywirusowe Microsoft Defender uruchamiane wraz z oprogramowaniem zabezpieczającym firmy innej niż Microsoft.

Użyj aplikacji Usługi, aby sprawdzić, czy program antywirusowy Microsoft Defender jest wyłączony.

Aby otworzyć aplikację Usługi, wybierz ikonę Search na pasku zadań i wyszukaj usługi. Aplikację można również otworzyć z poziomu wiersza polecenia, wpisując plik services.msc.

Informacje o programie antywirusowym Microsoft Defender są wyświetlane w aplikacji Usługi w obszarze Windows Defender>Operational. Nazwa usługi antywirusowej to Microsoft Defender usługa antywirusowa.

Podczas sprawdzania aplikacji może się okazać, że Microsoft Defender usługa antywirusowa jest ustawiona na ręczną, ale podczas próby ręcznego uruchomienia tej usługi zostanie wyświetlone ostrzeżenie. Ostrzeżenie może oznaczać, że usługa antywirusowa Microsoft Defender na komputerze lokalnym została uruchomiona, a następnie zatrzymana. Niektóre usługi są zatrzymywane automatycznie, jeśli nie są używane przez inne usługi lub programy.

Ten problem wskazuje, że program antywirusowy Microsoft Defender został automatycznie wyłączony w celu zachowania zgodności z programem antywirusowym innym niż Microsoft.

Generowanie szczegółowego raportu

Możesz wygenerować szczegółowy raport dotyczący aktualnie aktywnych zasad grupy, otwierając wiersz polecenia w trybie Uruchom jako administrator , a następnie wprowadzając następujące polecenie:

GPresult.exe /h gpresult.html

To polecenie generuje raport znajdujący się na stronie ./gpresult.html. Otwórz ten plik i mogą zostać wyświetlone następujące wyniki w zależności od sposobu wyłączenia programu antywirusowego Microsoft Defender.

Wyniki zasad grupy

Jeśli ustawienia zabezpieczeń są implementowane za pośrednictwem zasad grupy (GPO) na poziomie domeny lub lokalnej, lub za pośrednictwem programu System Center Configuration Manager (SCCM)

W raporcie GPResults pod nagłówkiem Składniki systemu Windows/program antywirusowy Microsoft Defender może zostać wyświetlony podobny do następującego wpisu wskazującego, że program antywirusowy Microsoft Defender jest wyłączony.

Zasady: Wyłącz program antywirusowy Microsoft Defender
Ustawienie: włączone
Zwycięski obiekt zasad grupy: Win10-Workstations

Jeśli ustawienia zabezpieczeń są implementowane za pośrednictwem preferencji zasad grupy (GPP)

W obszarze nagłówka Element rejestru (Ścieżka klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Nazwa wartości: DisableAntiSpyware) może zostać wyświetlony następujący wpis wskazujący, że program antywirusowy Microsoft Defender jest wyłączony.

DisableAntiSpyware
Zwycięski obiekt zasad grupy: Win10-Workstations
Wynik: Powodzenie
Ogólne
Akcja: aktualizacja
Właściwości
Gałąź: HKEY_LOCAL_MACHINE
Ścieżka klucza: SOFTWARE\Policies\Microsoft\Windows Defender
Nazwa wartości: DisableAntiSpyware
Typ wartości: REG_DWORD
Dane wartości: 0x1 (1)

Jeśli ustawienia zabezpieczeń są implementowane za pośrednictwem klucza rejestru

Raport może zawierać następujący tekst wskazujący, że program antywirusowy Microsoft Defender jest wyłączony:

Rejestr (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (szesnastkowa)

Jeśli ustawienia zabezpieczeń są ustawione w systemie Windows lub obrazie systemu Windows Server

Administrator wyobrażający sobie mógł ustawić zasady zabezpieczeń DisableAntiSpyware lokalnie za pośrednictwem GPEdit.exe, LGPO.exelub przez zmodyfikowanie rejestru w sekwencji zadań. Możesz skonfigurować identyfikator zaufanego obrazu dla programu antywirusowego Microsoft Defender.

Włącz ponownie program antywirusowy Microsoft Defender

Microsoft Defender program antywirusowy automatycznie włącza się, jeśli żaden inny program antywirusowy nie jest obecnie aktywny. Należy wyłączyć program antywirusowy firmy innej niż Microsoft, aby upewnić się, że program antywirusowy Microsoft Defender może działać z pełną funkcjonalnością.

Ostrzeżenie

Rozwiązania sugerujące edytowanie wartości początkowych Windows Defender dla wdboot, wdfilter, wdnisdrv, wdnissvci windefend w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services są nieobsługiwane i mogą wymusić ponowne utworzenie obrazu systemu.

Tryb pasywny jest dostępny w przypadku rozpoczęcia korzystania z programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i oprogramowania antywirusowego innej firmy niż Microsoft wraz z programem antywirusowym Microsoft Defender. Tryb pasywny umożliwia programowi antywirusowemu Microsoft Defender skanowanie plików i aktualizowanie samych plików, ale nie koryguje zagrożeń w trybie pasywnym. Ponadto monitorowanie zachowania za pośrednictwem ochrony w czasie rzeczywistym nie jest dostępne w trybie pasywnym, chyba że wdrożono ochronę przed utratą danych punktu końcowego (DLP ).

Inna funkcja, znana jako ograniczone skanowanie okresowe, jest dostępna dla użytkowników końcowych, gdy program antywirusowy Microsoft Defender jest ustawiony na automatyczne wyłączanie. Ta funkcja umożliwia programowi antywirusowemu Microsoft Defender okresowe skanowanie plików wraz z programem antywirusowym innym niż Microsoft przy użyciu ograniczonej liczby wykryć.

Ważna

Ograniczone okresowe skanowanie nie jest zalecane w środowiskach przedsiębiorstwa. Możliwości wykrywania, zarządzania i raportowania dostępne podczas uruchamiania programu antywirusowego Microsoft Defender w tym trybie są ograniczone w porównaniu z trybem aktywnym.