針對從非 Microsoft 解決方案移轉時 Microsoft Defender 防病毒軟體進行疑難解答

1. 選取任務列中的 搜尋 圖示，並搜尋事件查看器，以開啟事件查看器應用程式。

   如需 Microsoft Defender 防病毒軟體的相關信息，請參閱Microsoft>Windows> 應用程式和服務記錄>Windows Defender。

2. 從該處，選取 [操作] 下方的 [開啟]。

   從詳細數據窗格中選取事件，會在 [一 般 ] 和 [詳細數據] 索引卷標下方，顯示下方窗格中事件的 詳細 資訊。

此問題可能以數種不同事件標識符的形式來表示，而這些標識碼都有相同的基礎原因。

相關聯的事件標識碼

事件標識碼 15

• 記錄檔名稱：應用程式
• 描述：已成功更新 Windows Defender 狀態以SECURITY_PRODUCT_STATE_OFF。
• 來源：資訊安全中心

事件標識碼 5007

• 記錄檔名稱：Microsoft-Windows-Windows Defender/Operational
• 描述：Microsoft Defender 防病毒軟體組態已變更。 如果這是非預期的事件，您應該檢閱設定，因為此問題可能是因為惡意代碼所造成。
  舊值： Default\IsServiceRunning = 0x0
  新值：HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1
• 來源：Windows Defender

事件標識碼 5010

• 記錄檔名稱：Microsoft-Windows-Windows Defender/Operational
• 描述：Microsoft Defender 停用間諜軟體和其他潛在垃圾軟體的防病毒軟體掃描。
• 來源：Windows Defender

如何判斷 Microsoft Defender 防病毒軟體是否因為已安裝非 Microsoft 防病毒軟體而無法啟動。

在 Windows 10 或 Windows 11 裝置上，如果您不是使用 適用於端點的 Microsoft Defender，而且您已安裝非 Microsoft 防病毒軟體，則會自動關閉 Microsoft Defender 防病毒軟體。 如果您使用已安裝非 Microsoft 防病毒軟體的 適用於端點的 Microsoft Defender，Microsoft Defender 防病毒軟體會從被動模式開始，並降低功能。

使用服務應用程式來檢查 Microsoft Defender 防病毒軟體是否已關閉。

若要開啟服務應用程式，請從任務欄中選取 搜尋 圖示並搜尋服務。 您也可以輸入 services.msc，從命令行開啟應用程式。

Microsoft Defender 防病毒軟體的相關信息會列在 Windows Defender>Operational 下的 Services 應用程式內。 防病毒軟體服務名稱 Microsoft Defender 防病毒軟體服務。

檢查應用程式時，您可能會看到 Microsoft Defender 防病毒軟體服務已設定為手動，但是當您嘗試手動啟動此服務時，您會收到警告。 警告可能表示本機電腦上的 Microsoft Defender 防病毒軟體服務已啟動，然後停止。某些服務如果未由其他服務或程式使用，則會自動停止。

此問題表示 Microsoft Defender 防病毒軟體已自動關閉，以維持與非 Microsoft 防病毒軟體的相容性。

產生詳細報告

您可以在 [以系統 管理模式執行 ] 中開啟命令提示字元，然後輸入下列命令，以產生目前作用中組策略的詳細報告：

GPresult.exe /h gpresult.html

此命令會產生位於 ./gpresult.html的報表。 開啟此檔案，您可能會看到下列結果，視 Microsoft Defender 防病毒軟體關閉的方式而定。

組策略結果

如果透過組策略實作安全性設定 (網域或本機層級的 GPO) ，或透過 System Center Configuration Manager (SCCM)

在 GPResults 報表的 [Windows 元件/Microsoft Defender 防病毒軟體] 標題底下，您可能會看到類似下列專案的內容，指出 Microsoft Defender 防病毒軟體已關閉。

• 原則：關閉 Microsoft Defender 防病毒軟體
• 設定：已啟用
• 贏得 GPO：Win10-Workstations

如果透過組策略喜好設定實作安全性設定 (GPP)

在標題底下，登錄專案 (機碼路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender、值名稱：DisableAntiSpyware) ，您可能會看到類似下列專案，表示 Microsoft Defender 防病毒軟體已關閉。

• DisableAntiSpyware
• 贏得 GPO：Win10-Workstations
• 結果：成功
• 一般
• 動作：更新
• 屬性
• 登錄區：HKEY_LOCAL_MACHINE
• 主要路徑：SOFTWARE\Policies\Microsoft\Windows Defender
• 數值名稱：DisableAntiSpyware
• 實值類型：REG_DWORD
• 值數據：0x1 (1)

如果安全性設定是透過登錄機碼實作

報表可能包含下列文字，指出 Microsoft Defender 防病毒軟體已關閉：

登錄 (regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (十六進位)

如果在 Windows 或 Windows Server 映像中設定安全性設定

您的虛設系統管理員可能已透過GPEdit.exe、LGPO.exe或修改其工作順序中的登錄，在本機設定安全策略 DisableAntiSpyware。 您可以設定 Microsoft Defender 防病毒軟體的受信任映像標識碼。

重新開啟 Microsoft Defender 防病毒軟體

如果目前沒有其他防病毒軟體，Microsoft Defender 防病毒軟體會自動開啟。 您必須關閉非 Microsoft 防病毒軟體，以確保 Microsoft Defender 防病毒軟體可以完整功能執行。

如果您開始使用 適用於端點的 Microsoft Defender 和非 Microsoft 防病毒軟體以及 Microsoft Defender 防病毒軟體，則可以使用被動模式。 被動模式可讓 Microsoft Defender 防病毒軟體掃描檔案並自行更新，但不會補救被動模式的威脅。 此外，除非部署端點數據外洩防護 (DLP ) ，否則無法在被動模式中使用透過即時保護進行行為監視。

當 Microsoft Defender 防病毒軟體設定為自動關閉時，使用者可以使用另一項稱為有限定期掃描的功能。 這項功能可讓 Microsoft Defender 防病毒軟體使用有限數量的偵測，定期掃描檔案與非 Microsoft 防病毒軟體。

另請參閱

• Microsoft Defender 防病毒軟體相容性
• 在 Windows 安全性 應用程式中 Microsoft Defender 防病毒軟體