Windows Defender 的 “实时保护” 功能可拦截 98% 以上的恶意软件攻击,但用户常因误操作或第三方软件干扰遇到无法启用的问题,这会使系统面临安全风险。本文整理了从基础排查到深度修复的 12 种解决方案,帮助用户恢复该功能,保障
系统安全。
第三方
杀毒软件(如 McAfee、Norton、Kaspersky 等)可能通过修改注册表等方式禁用 Defender。
- 解决方案:
- 从控制面板卸载冲突软件。
- 使用专用卸载工具(如 Norton Removal Tool)清除残留。
- 重启后,通过 PowerShell 命令
Get-MpComputerStatus | Select-Object AMRunningMode验证,正常应返回 “Normal”。
企业环境中,管理员可能通过组策略全局禁用 Defender(
Windows 11 专业版路径:
计算机配置 > 管理模板 > Windows 组件 > Microsoft Defender 防病毒 > 关闭 Microsoft Defender 防病毒)。
- 修复步骤:
- 按 Win+R 输入
gpedit.msc打开组策略编辑器。
- 导航至上述路径,将策略状态改为 “未配置”。
- 执行
gpupdate /force刷新策略。
- 在事件查看器(Windows 日志 > 系统)中查找来源为 “GroupPolicy” 的 4114 事件,确认策略变更。
Defender 实时保护依赖 4 个关键服务:
Windows Defender Antivirus Service(WinDefend)、Windows Defender Advanced Threat Protection Service(Sense)、Windows Defender Network Inspection System(WdNisSvc)、Windows Defender Firewall Authorization Driver(Mpssvc)。
net stop WinDefend && net stop Sense && net stop WdNisSvc && net stop Mpssvc
net start WinDefend && net start Sense && net start WdNisSvc && net start Mpssvc
系统升级或优化软件可能将服务启动类型改为 “手动”,导致重启后防护失效。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"Start"=dword:00000002 ; 2=自动启动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sense]
"Start"=dword:00000002
路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection,确保以下键值为 0:
- DisableRealtimeMonitoring(实时监控)
- DisableOnAccessProtection(访问保护)
- DisableBehaviorMonitoring(行为监控)
- 批量修复脚本(PowerShell):
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection"
$keys = @("DisableRealtimeMonitoring","DisableOnAccessProtection","DisableBehaviorMonitoring")
foreach ($key in $keys) {
if (-not (Test-Path "$regPath\$key")) {
New-ItemProperty -Path $regPath -Name $key -PropertyType DWORD -Value 0 -Force
} else {
Set-ItemProperty -Path $regPath -Name $key -Value 0
}
}
- 打开 Windows 安全中心 > 病毒和威胁防护。
- 进入 “管理设置”> 关闭 “篡改防护”。
- 修改完成后重新启用。
系统文件损坏可能导致 Defender 失效,按顺序执行:
sfc /scannow ; 基础文件修复
DISM /Online /Cleanup-Image /RestoreHealth ; 系统映像修复
- 进度监控:SFC 进度可在事件查看器(Windows 日志 > Application,来源为 “Microsoft-Windows-SFC”)跟踪;DISM 进度显示在命令行,耗时约 15-30 分钟。
针对升级导致的组件损坏,执行深度重置:
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver
通过 PowerShell 重新部署核心组件:
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Add-AppxPackage -Register "C:\Program Files\WindowsApps\Microsoft.SecHealthUI_*\AppxManifest.xml" -DisableDevelopmentMode
若故障源于近期系统变更:
- 打开控制面板 > 恢复 > 打开系统还原。
- 选择 Defender 正常工作时的还原点(建议 3 天内)。
- 还原后通过
Get-MpPreference | Select-Object -Property RealTimeProtectionEnabled验证,应返回 True。
通过最小化系统环境定位冲突:
- 按 Win+R 输入
msconfig打开系统配置。
- 在 “服务” 选项卡勾选 “隐藏所有 Microsoft 服务”,点击 “全部禁用”。
- 在 “启动” 选项卡打开任务管理器,禁用所有启动项。
- 重启后测试 Defender,逐步启用服务 / 启动项定位冲突源。
设置自动更新:Set-MpPreference -SignatureUpdateInterval 1(每 1 小时检查更新)。
创建实时监控脚本(PowerShell):
while ($true) {
$status = (Get-MpComputerStatus).RealTimeProtectionEnabled
if ($status -eq $false) {
Send-MailMessage -To "admin@example.com" -Subject "Defender防护失效" -Body "实时保护已关闭!" -SmtpServer "smtp.example.com"
}
Start-Sleep -Seconds 3600 ; 每小时检查一次
}
定期导出防护相关注册表:reg export "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" C:\Defender_Backup.reg
修复 Windows Defender 实时保护失效需多维度排查,从服务到注册表层层干预。据
微软 2025 年安全报告,及时修复可降低 83% 的恶意软件攻击概率。建议个人用户每月检查防护状态,企业通过组策略强制启用并定期审计,构建可持续的
系统安全体系。
