排查从非 Microsoft 解决方案迁移时Microsoft Defender防病毒问题

适用于:

平台

  • Windows

使用本文解决从非 Microsoft 安全解决方案迁移到Microsoft Defender防病毒时出现的问题。

查看事件日志

  1. 通过选择任务栏中的搜索图标并搜索事件查看器,打开事件查看器应用。

    有关Microsoft Defender防病毒的信息,请参阅应用程序和服务日志>Microsoft>Windows>Windows Defender

  2. 从该处,选择“操作”下的“打开”。

    从详细信息窗格中选择事件可在下窗格中的“ 常规 ”和“ 详细信息 ”选项卡下显示有关事件的详细信息。

Microsoft Defender防病毒无法启动。

此问题可能以多个不同的事件 ID 的形式出现,所有这些事件 ID 都有相同的根本原因。

关联的事件 ID

事件 ID 15

  • 日志名称:应用程序
  • 说明:已成功将Windows Defender状态更新为SECURITY_PRODUCT_STATE_OFF。
  • 来源:安全中心

事件 ID 5007

  • 日志名称:Microsoft-Windows-Windows Defender/Operational
  • 说明:Microsoft Defender防病毒配置已更改。 如果这是意外事件,则应查看设置,因为此问题可能是由恶意软件引起的。
    旧值: Default\IsServiceRunning = 0x0
    新值:HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
  • 来源:Windows Defender

事件 ID 5010

  • 日志名称:Microsoft-Windows-Windows Defender/Operational
  • 说明:禁用Microsoft Defender间谍软件和其他可能不需要的软件的防病毒扫描。
  • 来源:Windows Defender

如何判断是否由于安装了非 Microsoft 防病毒而无法启动Microsoft Defender防病毒。

在Windows 10或Windows 11设备上,如果未使用 Microsoft Defender for Endpoint,并且安装了非 Microsoft 防病毒,则会自动关闭Microsoft Defender防病毒。 如果使用安装了非 Microsoft 防病毒的 Microsoft Defender for Endpoint,Microsoft Defender防病毒在被动模式下启动,但功能会降低。

提示

前面所述的方案仅适用于Windows 10和Windows 11。 其他版本的 Windows 对Microsoft Defender防病毒与非 Microsoft 安全软件一起运行有不同的响应

如果关闭Microsoft Defender防病毒,请使用服务应用检查。

若要打开“服务”应用,请从任务栏中选择“搜索”图标,然后搜索服务。 还可以通过键入 services.msc 从命令行打开应用。

有关Microsoft Defender防病毒的信息在“Windows Defender>Operational”下的“服务”应用中列出。 防病毒服务名称Microsoft Defender防病毒服务

检查应用时,你可能会看到Microsoft Defender防病毒服务设置为手动,但尝试手动启动此服务时,会收到警告。 警告可能显示“本地计算机上的Microsoft Defender防病毒服务服务已启动,然后停止。如果某些服务未由其他服务或程序使用,则它们会自动停止。

此问题指示Microsoft Defender防病毒已自动关闭,以保持与非 Microsoft 防病毒的兼容性。

生成详细报告

可以通过在 “以管理员身份运行” 模式下打开命令提示符,然后输入以下命令,生成有关当前活动组策略的详细报告:

GPresult.exe /h gpresult.html

此命令生成位于 ./gpresult.html的报表。 打开此文件,你可能会看到以下结果,具体取决于关闭Microsoft Defender防病毒的方式。

组策略结果
如果通过域或本地级别的组策略 (GPO) 或通过 System Center 配置管理器 (SCCM)

在 GPResults 报表的“Windows 组件/Microsoft Defender防病毒”标题下,你可能会看到类似于以下条目的内容,指示Microsoft Defender防病毒已关闭。

  • 策略:关闭Microsoft Defender防病毒
  • 设置:已启用
  • 赢得 GPO:Win10-Workstations
如果通过组策略首选项 (GPP) 实现安全设置

在标题下,注册表项 (项路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender,值名称:DisableAntiSpyware) ,你可能会看到类似于以下条目的内容,指示Microsoft Defender防病毒已关闭。

  • DisableAntiSpyware
  • 赢得 GPO:Win10-Workstations
  • 结果:成功
  • 常规
  • 操作:更新
  • Properties
  • 配置单元: HKEY_LOCAL_MACHINE
  • 键路径:SOFTWARE\Policies\Microsoft\Windows Defender
  • 值名称:DisableAntiSpyware
  • 值类型:REG_DWORD
  • 值数据:0x1 (1)
如果通过注册表项实现安全设置

报告可能包含以下文本,指示Microsoft Defender防病毒已关闭:

注册表 (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (十六进制)

如果在 Windows 或 Windows Server 映像中设置了安全设置

想象中的管理员可能通过 GPEdit.exeLGPO.exe或修改任务序列中的注册表在本地设置了安全策略 DisableAntiSpyware。 可以为防病毒Microsoft Defender配置受信任的映像标识符

重新打开Microsoft Defender防病毒

如果当前没有其他防病毒处于活动状态,Microsoft Defender防病毒会自动打开。 你需要关闭非 Microsoft 防病毒,以确保Microsoft Defender防病毒可以运行完整功能。

警告

建议编辑 、、wdfilterwdnisdrvwdnissvcwindefend 中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesWindows Defender起始值wdboot的解决方案不受支持,并可能强制你重新创建系统映像。

如果开始使用 Microsoft Defender for Endpoint 和非 Microsoft 防病毒和 Microsoft Defender 防病毒,则被动模式可用。 被动模式允许Microsoft Defender防病毒扫描文件和更新自身,但它不会在被动模式下修正威胁。 此外,除非部署了终结点数据丢失防护 (DLP) ,否则通过实时保护进行的行为监视在被动模式下不可用。

当Microsoft Defender防病毒设置为自动关闭时,最终用户可以使用另一项功能(称为有限定期扫描)。 此功能允许Microsoft Defender防病毒使用有限数量的检测定期扫描非 Microsoft 防病毒文件。

重要

不建议在企业环境中进行有限的定期扫描。 与活动模式相比,在此模式下运行 Microsoft Defender 防病毒时可用的检测、管理和报告功能会减少。