Felsök Microsoft Defender Antivirus när du migrerar från en lösning från tredje part

Gäller för:

Plattformar

  • Windows

Du kan få hjälp här om du stöter på problem när du migrerar från en säkerhetslösning från tredje part till Microsoft Defender Antivirus.

Granska händelseloggar

  1. Öppna appen Loggboken genom att välja sökikonen i aktivitetsfältet och söka efter loggboken.

    Information om Microsoft Defender Antivirus finns under Program- och tjänstloggar > Microsoft > Windows > Windows Defender.

  2. Därifrån väljer du Öppna under Drift.

    Om du väljer en händelse i informationsfönstret visas mer information om en händelse i det nedre fönstret, under flikarna Allmänt och Information .

Microsoft Defender Antivirus startar inte

Det här problemet kan visas i form av flera olika händelse-ID:t, som alla har samma underliggande orsak.

Associerade händelse-ID:t

Händelse-ID Loggnamn Beskrivning Source
15 Program Windows Defender status har uppdaterats till SECURITY_PRODUCT_STATE_OFF. Security Center
5007 Microsoft-Windows-Windows Defender/Operational Windows Defender Antivirus Konfigurationen har ändrats. Om det här är en oväntad händelse bör du granska inställningarna eftersom det kan bero på skadlig kod.

Gammalt värde: Default\IsServiceRunning = 0x0

Nytt värde: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1

Windows Defender
5010 Microsoft-Windows-Windows Defender/Operational Windows Defender Antivirus genomsökning efter spionprogram och annan potentiellt oönskad programvara är inaktiverad. Windows Defender

Så här anger du om Microsoft Defender Antivirus inte startar eftersom ett antivirusprogram från tredje part har installerats

Om du inte använder Microsoft Defender för Endpoint på en Windows 10 eller Windows 11 enhet och du har ett antivirusprogram från tredje part installerat inaktiveras Microsoft Defender Antivirus automatiskt. Om du använder Microsoft Defender för Endpoint med ett antivirusprogram från tredje part installerat startar Microsoft Defender Antivirus i passivt läge med nedsatt funktionalitet.

Tips

Scenariot som precis beskrivs gäller endast för Windows 10 och Windows 11. Andra versioner av Windows har olika svar på Microsoft Defender Antivirus som körs tillsammans med säkerhetsprogramvara från tredje part.

Använd services-appen för att kontrollera om Microsoft Defender Antivirus är inaktiverat

Öppna appen Tjänster genom att välja ikonen Sök i aktivitetsfältet och söka efter tjänster. Du kan också öppna appen från kommandoraden genom att skriva services.msc.

Information om Microsoft Defender Antivirus visas i appen Tjänster under Windows Defender > Drift. Antivirustjänstens namn är Windows Defender Antivirus Service.

När du kontrollerar appen kan du se att Windows Defender Antivirus Service är inställd på manuell, men när du försöker starta den här tjänsten manuellt får du en varning om att tjänsten Windows Defender Antivirus Service på den lokala datorn startades och sedan stoppades. Vissa tjänster stoppas automatiskt om de inte används av andra tjänster eller program.

Detta indikerar att Microsoft Defender Antivirus har inaktiverats automatiskt för att bevara kompatibiliteten med ett antivirusprogram från tredje part.

Generera en detaljerad rapport

Du kan generera en detaljerad rapport om aktiva grupprinciper genom att öppna en kommandotolk i läget Kör som administratör och sedan ange följande kommando:

GPresult.exe /h gpresult.html

Då genereras en rapport som finns på ./gpresult.html. Öppna den här filen så kan följande resultat visas, beroende på hur Microsoft Defender Antivirus stängdes av.

Grupprincipresultat
Om säkerhetsinställningar implementeras via grupprincip (GPO) på domän- eller lokal nivå, eller via System Center Configuration Manager (SCCM)

I GPResults-rapporten, under rubriken Windows Components/Windows Defender Antivirus, kan du se något som liknar följande post, vilket indikerar att Microsoft Defender Antivirus är inaktiverat.

Politik Inställning Vinnande grupprincipobjekt
Inaktivera Windows Defender Antivirus Aktiverad Win10-Workstations
Om säkerhetsinställningar implementeras via grupprincipinställningar (GPP)

Under rubriken Registerobjekt (Nyckelsökväg: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Värdenamn: DisableAntiSpyware) kan du se något som liknar följande post, vilket indikerar att Microsoft Defender Antivirus är inaktiverat.

DisableAntiSpyware -
Vinnande grupprincipobjekt Win10-Workstations
Resultat: Lyckades
Åtgärd Update
Registreringsdatafilen HKEY_LOCAL_MACHINE
Nyckelsökväg SOFTWARE\Policies\Microsoft\Windows Defender
Värdenamn DisableAntiSpyware
Värdetyp REG_DWORD
Värdedata 0x1 (1)
Om säkerhetsinställningar implementeras via registernyckeln

Rapporten kan innehålla följande text som anger att Microsoft Defender Antivirus är inaktiverad:

Register (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hex)

Om säkerhetsinställningar anges i Windows eller i avbildningen av Windows Server

Din inbillade administratör kan ha angett säkerhetsprincipen DisableAntiSpyware lokalt via GPEdit.exe, LGPO.exe eller genom att ändra registret i aktivitetssekvensen. Du kan konfigurera en betrodd bildidentifierare för Microsoft Defender Antivirus.

Aktivera Microsoft Defender Antivirus igen

Microsoft Defender Antivirus aktiveras automatiskt om inget annat antivirusprogram är aktivt. Du måste stänga av antivirusprogrammet från tredje part helt och hållet för att säkerställa att Microsoft Defender Antivirus kan köras med fullständig funktionalitet.

Varning

Lösningar som föreslår att du redigerar Windows Defender startvärden för wdboot, wdfilter, wdnisdrv, wdnissvc och windefend i HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services stöds inte och kan tvinga dig att avbildninga systemet igen.

Passivt läge är tillgängligt om du börjar använda Microsoft Defender för Endpoint och ett antivirusprogram från tredje part tillsammans med Microsoft Defender Antivirus. Passivt läge gör att Microsoft Defender Antivirus kan genomsöka filer och uppdatera sig själv, men det kommer inte att åtgärda hot. Dessutom är beteendeövervakning via realtidsskydd inte tillgängligt i passivt läge, såvida inte DLP (Endpoint Data Loss Prevention) distribueras.

En annan funktion, som kallas begränsad periodisk genomsökning, är tillgänglig för slutanvändare när Microsoft Defender Antivirus är inställd på att stängas av automatiskt. Med den här funktionen kan Microsoft Defender Antivirus genomsöka filer regelbundet tillsammans med ett antivirusprogram från tredje part med ett begränsat antal identifieringar.

Viktigt

Begränsad regelbunden genomsökning rekommenderas inte i företagsmiljöer. Identifierings-, hanterings- och rapporteringsfunktionerna som är tillgängliga när du kör Microsoft Defender Antivirus i det här läget minskas jämfört med aktivt läge.

Se även