Felsök Microsoft Defender Antivirus när du migrerar från en lösning från tredje part

Gäller för:

Du hittar hjälp här om du stöter på problem när du migrerar från en säkerhetslösning från tredje part till Microsoft Defender Antivirus.

Granska händelseloggar

  1. Öppna appen Loggboken genom att välja sökikonen i Aktivitetsfältet och söka efter loggboken.

    Information om Microsoft Defender Antivirus finns under Program- och tjänstloggar > Microsoft > Windows > Windows Defender.

  2. Därifrån väljer du Öppna under Drift.

    Om du väljer en händelse i informationsfönstret visas mer information om en händelse i det nedre fönstret, under flikarna Allmänt och Information.

Microsoft Defender Antivirus startar inte

Det här problemet kan visa sig i form av flera olika händelse-ID, som alla har samma underliggande orsak.

Associerade händelse-ID

Händelse-ID Loggnamn Beskrivning Source
15 Program Uppdaterade Windows Defender statusen för att SECURITY_PRODUCT_STATE_OFF. Säkerhetscenter
5007 Microsoft-Windows-Windows Defender/Operational Windows Defender Antivirus Konfiguration har ändrats. Om det är en oväntad händelse bör du granska inställningarna eftersom det kan vara resultatet av skadlig programvara.

Gammalt värde: Default\IsServiceRunning = 0x0

Nytt värde: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1

Windows Defender
5010 Microsoft-Windows-Windows Defender/Operational Windows Defender Antivirus sökning efter spionprogram och annan potentiellt oönskad programvara inaktiveras. Windows Defender

Så här ser du Microsoft Defender Antivirus antivirusprogrammet inte startar eftersom ett antivirusprogram från tredje part är installerat

Om du Windows 10 en Windows 11-enhet, och du inte använder Microsoft Defender för Endpoint och har ett antivirus installerat från tredje part, inaktiveras Microsoft Defender Antivirus automatiskt. Om du använder Microsoft Defender för Endpoint med ett antivirus installerat från tredje Microsoft Defender Antivirus kommer Microsoft Defender Antivirus att starta i passivt läge, med nedsatt funktionalitet.

Tips

Det scenario som beskrivs ovan gäller endast för Windows 10 och Windows 11. Andra versioner av Windows olika svar på Microsoft Defender Antivirus som körs tillsammans med säkerhetsprogramvara från tredje part.

Använda appen Tjänster för att kontrollera Microsoft Defender Antivirus är inaktiverat

Öppna appen Tjänster genom att välja sökikonen i Aktivitetsfältet och söka efter tjänster. Du kan också öppna appen från kommandoraden genom att skriva services.msc.

Information om Microsoft Defender Antivirus listas i services-appen under drift Windows Defender > Drift. Antivirustjänstens namn är Windows Defender Antivirus tjänst.

När du kontrollerar appen kan det hända att Windows Defender Antivirus-tjänsten är inställd på manuell, men när du försöker starta den här tjänsten manuellt får du ett varningsmeddelande om att tjänsten Windows Defender Antivirus-tjänsten på lokal dator har startats och sedan stoppats. Vissa tjänster stoppas automatiskt om de inte används av andra tjänster eller program.

Det här innebär Microsoft Defender Antivirus har inaktiverats automatiskt för att bevara kompatibiliteten med ett antivirusprogram från tredje part.

Skapa en detaljerad rapport

Du kan generera en detaljerad rapport om aktiva gruppprinciper genom att öppna en kommandotolk i läget Kör som administratör och sedan ange följande kommando:

GPresult.exe /h gpresult.html

En rapport som finns på ./gpresult.html skapas. Öppna den här filen så kan du se följande resultat, beroende på hur Microsoft Defender Antivirus var inaktiverat.

Grupprincipresultat
Om säkerhetsinställningarna implementeras via grupprincip (GPO) på domännivå eller lokal nivå, eller via System Center Configuration Manager (SCCM)

I rapporten GPResults, under rubriken Windows Components/Windows Defender Antivirus, kanske du ser något i enlighet med följande post, som anger att Microsoft Defender Antivirus är inaktiverat.

Princip Inställning Vinnande GPO
Inaktivera Windows Defender Antivirus Aktiverad Win10-Workstations
Om säkerhetsinställningarna implementeras via grupprincipinställning (GPP)

Under rubriken Registerobjekt (Nyckelsökväg: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Värdenamn: DisableAntiSpyware) kan det hända att följande post ser ut ungefär så här, som anger att Microsoft Defender Antivirus är inaktiverat.

DisableAntiSpyware -
Vinnande GPO Win10-Workstations
Resultat: Lyckades
Åtgärd Update
Registreringsdatafil HKEY_LOCAL_MACHINE
Nyckelsökväg SOFTWARE\Policies\Microsoft\Windows Defender
Värdenamn DisableAntiSpyware
Värdetyp REG_DWORD
Värdedata 0x1 (1)
Om säkerhetsinställningarna implementeras via registernyckeln

Rapporten kan innehålla följande text, som anger att Microsoft Defender Antivirus är inaktiverat:

Register (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hex)

Om säkerhetsinställningarna anges i Windows eller Windows Server-bild

Den imaginära administratören kan ha angett säkerhetsprincipen DisableAntiSpyware, lokalt via GPEdit.exe, LGPO.exe eller genom att ändra registret i aktivitetssekvensen. Du kan konfigurera en betrodd bildidentifierare för Microsoft Defender Antivirus.

Aktivera Microsoft Defender Antivirus igen

Microsoft Defender Antivirus att aktiveras automatiskt om inget annat antivirusprogram är aktivt. Du måste inaktivera antivirusprogrammet från tredje part helt för att säkerställa att Microsoft Defender Antivirus kan köras med fullständiga funktioner.

Varning

Lösningar som föreslår att du redigerar Windows Defender-startvärdena för wdboot, wdfilter, wdnisdrv, wdnissvc och windefend i HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services stöds inte och kan tvinga dig att avbildninga systemet igen.

Passiv form är tillgängligt om du börjar använda Microsoft Defender för Endpoint och ett antivirus från tredje part tillsammans med Microsoft Defender Antivirus. Med passivt läge Microsoft Defender Antivirus söka igenom filer och uppdatera sig själva, men det kommer inte att åtgärda hot. Dessutom är inte övervakning av beteende via realtidsskydd tillgängligt under passivt läge, om inte Endpoint data loss prevention (DLP) har distribuerats.

En annan funktion, som kallas begränsad regelbundengenomsökning, är tillgänglig för slutanvändare när Microsoft Defender Antivirus är inställd på att inaktiveras automatiskt. Med den här Microsoft Defender Antivirus du söka igenom filer med jämna mellanrum tillsammans med ett antivirusprogram från tredje part, med ett begränsat antal identifieringar.

Viktigt

Begränsad regelbunden genomsökning rekommenderas inte i företagsmiljöer. De funktioner för identifiering, hantering och rapportering som är tillgängliga när Microsoft Defender Antivirus i det här läget minskar jämfört med aktivt läge.

Se även