Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender Antivirus
Plattformar
- Windows
Använd den här artikeln för att lösa problem vid migrering från en säkerhetslösning som inte kommer från Microsoft till Microsoft Defender Antivirus.
Granska händelseloggar
Öppna appen Loggboken genom att välja ikonen Search i aktivitetsfältet och söka efter loggboken.
Information om Microsoft Defender Antivirus finns under Program- och tjänstloggar>Microsoft>Windows>Windows Defender.
Därifrån väljer du Öppna under Drift.
Om du väljer en händelse i informationsfönstret visas mer information om en händelse i det nedre fönstret, under flikarna Allmänt och Information .
Microsoft Defender Antivirus startar inte.
Det här problemet kan visas i form av flera olika händelse-ID:t, som alla har samma underliggande orsak.
Associerade händelse-ID:t
Händelse-ID 15
- Loggnamn: Program
- Beskrivning: Uppdaterade Windows Defender status till SECURITY_PRODUCT_STATE_OFF.
- Källa: Security Center
Händelse-ID 5007
- Loggnamn: Microsoft-Windows-Windows Defender/Operational
-
Beskrivning: Microsoft Defender antiviruskonfigurationen har ändrats. Om det här är en oväntad händelse bör du granska inställningarna eftersom det här problemet kan bero på skadlig kod.
Gammalt värde: Default\IsServiceRunning = 0x0
Nytt värde: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1 - Källa: Windows Defender
Händelse-ID 5010
- Loggnamn: Microsoft-Windows-Windows Defender/Operational
- Beskrivning: Microsoft Defender Antivirusgenomsökning efter spionprogram och annan potentiellt oönskad programvara är inaktiverad.
- Källa: Windows Defender
Så här anger du om Microsoft Defender Antivirus inte startar eftersom ett antivirusprogram som inte kommer från Microsoft är installerat.
Om du inte använder Microsoft Defender för Endpoint på en Windows 10 eller Windows 11 enhet och du har ett antivirusprogram som inte kommer från Microsoft installerat inaktiveras Microsoft Defender Antivirus automatiskt. Om du använder Microsoft Defender för Endpoint med ett antivirusprogram som inte kommer från Microsoft installerat startar Microsoft Defender Antivirus i passivt läge, med nedsatt funktionalitet.
Tips
Scenariot som beskrevs tidigare gäller endast för Windows 10 och Windows 11. Andra versioner av Windows har olika svar på Microsoft Defender Antivirus som körs tillsammans med säkerhetsprogram som inte kommer från Microsoft.
Använd services-appen för att kontrollera om Microsoft Defender Antivirus är inaktiverat.
Öppna appen Services genom att välja ikonen Search i aktivitetsfältet och söka efter tjänster. Du kan också öppna appen från kommandoraden genom att skriva services.msc.
Information om Microsoft Defender Antivirus visas i appen Tjänster under Windows Defender>Operational. Antivirustjänstens namn är Microsoft Defender Antivirus Service.
När du kontrollerar appen kan du se att Microsoft Defender Antivirus Service är inställt på manuell, men när du försöker starta den här tjänsten manuellt får du en varning. Varningen kan vara att tjänsten Microsoft Defender Antivirus Service på den lokala datorn startades och sedan stoppades. Vissa tjänster stoppas automatiskt om de inte används av andra tjänster eller program.
Det här problemet indikerar att Microsoft Defender Antivirus inaktiverades automatiskt för att bevara kompatibiliteten med ett antivirusprogram som inte kommer från Microsoft.
Generera en detaljerad rapport
Du kan generera en detaljerad rapport om aktiva grupprinciper genom att öppna en kommandotolk i läget Kör som administratör och sedan ange följande kommando:
GPresult.exe /h gpresult.html
Det här kommandot genererar en rapport som finns på ./gpresult.html. Öppna den här filen så kan följande resultat visas, beroende på hur Microsoft Defender Antivirus stängdes av.
Grupprincipresultat
Om säkerhetsinställningar implementeras via grupprincip (GPO) på domän- eller lokal nivå, eller via System Center Configuration Manager (SCCM)
I GPResults-rapporten, under rubriken Windows-komponenter/Microsoft Defender Antivirus, kan du se något som liknar följande post, vilket indikerar att Microsoft Defender Antivirus är inaktiverat.
- Princip: Inaktivera Microsoft Defender Antivirus
- Inställning: Aktiverad
- Vinnande grupprincipobjekt: Win10-Workstations
Om säkerhetsinställningar implementeras via grupprincipinställningar (GPP)
Under rubriken Registerobjekt (Nyckelsökväg: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Värdenamn: DisableAntiSpyware)kan du se något som liknar följande post, vilket indikerar att Microsoft Defender Antivirus är inaktiverat.
- DisableAntiSpyware
- Vinnande grupprincipobjekt: Win10-Workstations
- Resultat: Lyckades
- Allmänt
- Åtgärd: Uppdatera
- Egenskaper
- Hive: HKEY_LOCAL_MACHINE
- Nyckelsökväg: SOFTWARE\Policies\Microsoft\Windows Defender
- Värdenamn: DisableAntiSpyware
- Värdetyp: REG_DWORD
- Värdedata: 0x1 (1)
Om säkerhetsinställningar implementeras via registernyckeln
Rapporten kan innehålla följande text som anger att Microsoft Defender Antivirus är inaktiverat:
Register (regedit.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (hex)
Om säkerhetsinställningar har angetts i Windows eller i Windows Server-avbildningen
Din inbillade administratör kan ha angett säkerhetsprincipen DisableAntiSpyware, lokalt via GPEdit.exe, LGPO.exeeller genom att ändra registret i aktivitetssekvensen. Du kan konfigurera en betrodd avbildningsidentifierare för Microsoft Defender Antivirus.
Aktivera Microsoft Defender Antivirus igen
Microsoft Defender Antivirus aktiveras automatiskt om inget annat antivirusprogram är aktivt. Du måste inaktivera antivirusprogrammet som inte kommer från Microsoft för att säkerställa att Microsoft Defender Antivirus kan köras med fullständiga funktioner.
Varning
Lösningar som tyder på att du redigerar Windows Defender startvärden för wdboot, wdfilter, wdnisdrv, wdnissvcoch windefend i HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services stöds inte, och kan tvinga dig att återskapa systemet.
Passivt läge är tillgängligt om du börjar använda Microsoft Defender för Endpoint och ett antivirusprogram som inte kommer från Microsoft tillsammans med Microsoft Defender Antivirus. Passivt läge gör att Microsoft Defender Antivirus kan söka igenom filer och uppdatera sig själv, men det åtgärdar inte hot i passivt läge. Dessutom är beteendeövervakning via realtidsskydd inte tillgängligt i passivt läge, såvida inte DLP (Endpoint Data Loss Prevention) distribueras.
En annan funktion, som kallas begränsad periodisk genomsökning, är tillgänglig för slutanvändare när Microsoft Defender Antivirus är inställt på att stängas av automatiskt. Med den här funktionen kan Microsoft Defender Antivirus genomsöka filer regelbundet tillsammans med ett antivirusprogram som inte kommer från Microsoft, med hjälp av ett begränsat antal identifieringar.
Viktigt
Begränsad regelbunden genomsökning rekommenderas inte i företagsmiljöer. Identifierings-, hanterings- och rapporteringsfunktionerna som är tillgängliga när du kör Microsoft Defender Antivirus i det här läget minskas jämfört med aktivt läge.
Tips
Om du letar efter antivirusrelaterad information för andra plattformar läser du:
- Ange inställningar för Microsoft Defender för Endpoint på macOS
- Microsoft Defender för Endpoint för Mac
- macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
- Ange inställningar för Microsoft Defender för Endpoint i Linux
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner