Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
Usare questo articolo per risolvere i problemi durante la migrazione da una soluzione di sicurezza non Microsoft a Microsoft Defender Antivirus.
Esaminare i log eventi
Aprire l'app Visualizzatore eventi selezionando l'icona Search nella barra delle applicazioni e cercando visualizzatore eventi.
Informazioni su Microsoft Defender Antivirus sono disponibili in Registri> applicazioni e serviziMicrosoft>Windows> Windows Defender.
Da qui selezionare Apri sotto Operativo.
Se si seleziona un evento nel riquadro dei dettagli, vengono visualizzate altre informazioni su un evento nel riquadro inferiore, nelle schede Generale e Dettagli .
Microsoft Defender Antivirus non viene avviato.
Questo problema può manifestarsi sotto forma di diversi ID evento, tutti con la stessa causa sottostante.
ID evento associato
ID evento 15
- Nome log: Applicazione
- Descrizione: stato Windows Defender aggiornato correttamente per SECURITY_PRODUCT_STATE_OFF.
- Origine: Centro sicurezza
ID evento 5007
- Nome log: Microsoft-Windows-Windows Defender/Operational
-
Descrizione: Microsoft Defender Configurazione antivirus è stata modificata. Se si tratta di un evento imprevisto, è consigliabile esaminare le impostazioni in quanto questo problema potrebbe essere dovuto a malware.
Valore precedente: Default\IsServiceRunning = 0x0
Nuovo valore: HKLM\SOFTWARE\Microsoft\Windows Defender\IsServiceRunning = 0x1 - Origine: Windows Defender
ID evento 5010
- Nome log: Microsoft-Windows-Windows Defender/Operational
- Descrizione: Microsoft Defender l'analisi antivirus per lo spyware e altri software potenzialmente indesiderati è disabilitata.
- Origine: Windows Defender
Come stabilire se Microsoft Defender Antivirus non viene avviato perché è installato un antivirus non Microsoft.
In un dispositivo Windows 10 o Windows 11, se non si usa Microsoft Defender per endpoint e si dispone di un antivirus non Microsoft installato, Microsoft Defender Antivirus viene disattivato automaticamente. Se si usa Microsoft Defender per endpoint con un antivirus non Microsoft installato, Microsoft Defender Antivirus viene avviato in modalità passiva, con funzionalità ridotte.
Consiglio
Lo scenario descritto in precedenza si applica solo a Windows 10 e Windows 11. Altre versioni di Windows hanno risposte diverse a Microsoft Defender antivirus in esecuzione insieme al software di sicurezza non Microsoft.
Usare l'app Servizi per verificare se Microsoft Defender Antivirus è disattivato.
Per aprire l'app Servizi, selezionare l'icona Search dalla barra delle applicazioni e cercare servizi. È anche possibile aprire l'app dalla riga di comando digitando services.msc.
Le informazioni su Microsoft Defender Antivirus sono elencate nell'app Servizi in Windows Defender>Operational. Il nome del servizio antivirus è Microsoft Defender Servizio antivirus.
Durante il controllo dell'app, è possibile che Microsoft Defender servizio antivirus sia impostato su manuale, ma quando si tenta di avviare il servizio manualmente, viene visualizzato un avviso. L'avviso potrebbe essere Il servizio servizio antivirus Microsoft Defender nel computer locale è stato avviato e quindi arrestato. Alcuni servizi si arrestano automaticamente se non sono in uso da altri servizi o programmi.
Questo problema indica che Microsoft Defender Antivirus è stato disattivato automaticamente per mantenere la compatibilità con un antivirus non Microsoft.
Generare un report dettagliato
È possibile generare un report dettagliato sui criteri di gruppo attualmente attivi aprendo un prompt dei comandi in modalità Esegui come amministratore e quindi immettendo il comando seguente:
GPresult.exe /h gpresult.html
Questo comando genera un report in ./gpresult.html. Aprire questo file e potrebbero essere visualizzati i risultati seguenti, a seconda di come Microsoft Defender Antivirus è stato disattivato.
Risultati di Criteri di gruppo
Se le impostazioni di sicurezza vengono implementate tramite Criteri di gruppo (GPO) a livello di dominio o locale o tramite System Center Configuration Manager (SCCM)
All'interno del report GPResults, sotto l'intestazione Componenti di Windows/Microsoft Defender Antivirus, potrebbe essere visualizzata una voce simile alla seguente, che indica che Microsoft Defender Antivirus è disattivato.
- Criterio: disattivare Microsoft Defender Antivirus
- Impostazione: Abilitata
- Oggetto Criteri di gruppo vincente: Win10-Workstations
Se le impostazioni di sicurezza vengono implementate tramite la preferenza criteri di gruppo (GPP)
Sotto l'intestazione Elemento del Registro di sistema (percorso chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender, Nome valore: DisableAntiSpyware), potrebbe essere visualizzato un elemento simile alla voce seguente, che indica che Microsoft Defender Antivirus è disattivato.
- DisableAntiSpyware
- Oggetto Criteri di gruppo vincente: Win10-Workstations
- Risultato: Operazione riuscita
- Generale
- Azione: Aggiorna
- Properties
- Hive: HKEY_LOCAL_MACHINE
- Percorso chiave: SOFTWARE\Policies\Microsoft\Windows Defender
- Nome valore: DisableAntiSpyware
- Tipo di valore: REG_DWORD
- Dati valore: 0x1 (1)
Se le impostazioni di sicurezza vengono implementate tramite la chiave del Registro di sistema
Il report potrebbe contenere il testo seguente, che indica che Microsoft Defender Antivirus è disattivato:
Registro di sistema (regedit.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender DisableAntiSpyware (dword) 1 (esadecimale)
Se le impostazioni di sicurezza sono impostate in Windows o nell'immagine di Windows Server
L'amministratore che si immagina potrebbe aver impostato i criteri di sicurezza DisableAntiSpyware in locale tramite GPEdit.exe, LGPO.exeo modificando il Registro di sistema nella sequenza di attività. È possibile configurare un identificatore di immagine attendibile per Microsoft Defender Antivirus.
Riattivare Microsoft Defender Antivirus
Microsoft Defender Antivirus si attiva automaticamente se nessun altro antivirus è attualmente attivo. È necessario disattivare l'antivirus non Microsoft per assicurarsi che Microsoft Defender antivirus possa essere eseguito con funzionalità complete.
Avviso
Le soluzioni che suggeriscono di modificare i valori di avvio Windows Defender per wdboot
, wdfilter
, wdnisdrv
, wdnissvc
e windefend
in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
non sono supportate e potrebbero forzare la ricreazione dell'immagine del sistema.
La modalità passiva è disponibile se si inizia a usare Microsoft Defender per endpoint e un antivirus non Microsoft insieme a Microsoft Defender Antivirus. La modalità passiva consente Microsoft Defender Antivirus di analizzare i file e aggiornarsi, ma non corregge le minacce in modalità passiva. Inoltre, il monitoraggio del comportamento tramite Protezione in tempo reale non è disponibile in modalità passiva, a meno che non venga distribuita la prevenzione della perdita dei dati degli endpoint .
Un'altra funzionalità, nota come analisi periodica limitata, è disponibile per gli utenti finali quando Microsoft Defender Antivirus è impostato per la disattivazione automatica. Questa funzionalità consente Microsoft Defender Antivirus di analizzare periodicamente i file insieme a un antivirus non Microsoft, usando un numero limitato di rilevamenti.
Importante
L'analisi periodica limitata non è consigliata negli ambienti aziendali. Le funzionalità di rilevamento, gestione e creazione di report disponibili quando si esegue Microsoft Defender Antivirus in questa modalità vengono ridotte rispetto alla modalità attiva.
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS