Come disattivare temporaneamente il driver di filtro in modalità kernel in Windows

Questo articolo descrive come disattivare il driver di filtro in modalità kernel senza rimuovere il software corrispondente.

Si applica a: Windows Server 2012 R2, Windows 10 tutte le edizioni
Numero KB originale: 816071

Importante

Questo articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nel proprio ambiente specifico. Se si implementa questa soluzione alternativa, seguire i passaggi aggiuntivi appropriati per proteggere il sistema.

Riepilogo

È possibile disattivare il driver di filtro quando si stanno risolvendo i problemi seguenti:

Disabilitare i driver di filtro

Quando si risolve uno di questi problemi, spesso è necessario fare di più che arrestare o disabilitare i servizi associati al software. Anche se si disabilita il componente software, il driver di filtro viene ancora caricato quando si riavvia il computer. Potrebbe essere necessario rimuovere un componente software per individuare la causa di un problema. In alternativa alla rimozione del componente software, è possibile arrestare i servizi pertinenti e disabilitare i driver di filtro corrispondenti nel Registro di sistema. Ad esempio, se si impedisce al software antivirus di analizzare o filtrare i file nel computer, è necessario disabilitare anche i driver di filtro corrispondenti.

Per disabilitare i driver di filtro, è innanzitutto necessario identificare i servizi di terze parti e i driver di filtro corrispondenti. Dopo aver eseguito questa operazione, seguire questa procedura.

Avviso

L'esecuzione di questa procedura potrebbe rendere il computer o la rete più vulnerabile agli attacchi di utenti malintenzionati o di programmi software dannosi, quali i virus. Questa soluzione alternativa non è consigliata, ma fornisce queste informazioni in modo che sia possibile implementare questa soluzione alternativa a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.

Importante

Un programma antivirus è progettato per proteggere il computer da virus. Non è necessario scaricare o aprire file da origini non attendibili, visitare siti Web non attendibili o aprire allegati di posta elettronica quando il programma antivirus è disabilitato.

Per altre informazioni sui virus del computer, vedere Come prevenire e rimuovere virus e altri malware.

  1. Arrestare tutti i servizi che appartengono al pacchetto software.

  2. Impostare il tipo di avvio su Disabilitato. A tal fine, attenersi alla seguente procedura:

    1. Fare clic su Start, fare clic su Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Servizi.
    2. Nel riquadro Dettagli fare clic con il pulsante destro del mouse sul servizio da configurare e quindi scegliere Proprietà.
    3. Nella scheda Generale fare clic su Disabilitato nella casella Tipo di avvio .
  3. Impostare la chiave del Registro di sistema Start dei driver di filtro corrispondenti su 0x4. Il valore 0x4 disabiliterà il driver di filtro. A tale scopo, attenersi alla seguente procedura.

    Importante

    In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.

    1. Avviare l'editor del Registro di sistema
    2. Creare un backup dell'hive del Registro di sistema HKEY_LOCAL_MACHINE\System.
    3. Individuare e quindi fare clic sulla sottochiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
    4. Fare clic sulla voce relativa al driver di filtro da disabilitare.
    5. Fare doppio clic sull'impostazione Avvia registro di sistema e quindi impostarla su un valore di 0x4.

    Nota

    Questa voce del Registro di sistema ha in genere un valore di 0x3.

  4. Riavviare il computer.

La maggior parte dei software antivirus usa driver di filtro che interagiscono con un servizio per la ricerca di virus. Questi driver di filtro vengono ancora caricati dopo la disattivazione del servizio. Questi driver di filtro analizzano i file quando vengono aperti e chiusi su un disco rigido. Ai fini della risoluzione dei problemi, rimuovere temporaneamente il software antivirus o contattare il produttore del software per determinare se è disponibile una versione più recente.

Esempio di driver di filtro

Questa sezione descrive alcuni dei nomi tipici dei driver di filtro in base al prodotto:

Antivirus

  • Inoculan: INO_FLPY e INO_FLTR
  • Norton: SYMEVENT, NAVAP, NAVEN e NAVEX
  • McAfee (NAI): NaiFiltr e NaiFsRec
  • Trend Micro: Tmfilter.sys e Vsapint.sys

Agente di backup

  • Agente di backup per i file aperti: Ofant.sys

  • Aprire Gestione transazioni da Veritas BackupExec: Otman.sys (Otman4.sys o Otman5.sys)

    Nota

    Prestare attenzione se si disabilitano questi driver di filtro usando il metodo descritto in questo articolo. In questo caso, è possibile che venga visualizzato un messaggio di errore di arresto 0x7b .

    Il messaggio di errore stop 0x7b Inaccessible_Boot_Device può verificarsi se sono presenti le chiavi del Registro di sistema seguenti e contengono riferimenti al driver Otman5 quando il driver Otman5.sys non esiste sul disco rigido o se il driver è impostato su disabilitato.

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325 -11CE-BFC1-08002BE10318}\UpperFilters

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A -11D0-BEC7-08002BE2092F}\UpperFilters

      Se viene visualizzato il messaggio di errore stop 0x7b, è necessario eseguire il backup di queste chiavi del Registro di sistema ed eliminare il riferimento a Otman5.

Impostazioni del Registro di sistema dei driver

Nella tabella seguente sono elencate le impostazioni valide e la relativa descrizione per le impostazioni del Registro di sistema Start e Type del driver:

Nome valore Impostazione valore Descrizione dell'impostazione del valore
Avvia 0 = SERVICE_BOOT_START Ntldr o Osloader precarica il driver in modo che sia in memoria all'avvio del computer.

Questi driver vengono inizializzati poco prima dei driver SERVICE_SYSTEM_START.
Avvia 1 = SERVICE_SYSTEM_START Il driver viene caricato e inizializzato dopo l'inizializzazione dei driver SERVICE_BOOT_START.
Avvia 2 = SERVICE_AUTO_START Service Control Manager (SCM) avvia il driver o il servizio.
Avvia 3 = SERVICE_DEMAND_START SCM deve avviare il driver o il servizio su richiesta.
Avvia 4 = SERVICE_DISABLED Il driver o il servizio non viene caricato o inizializzato.
Tipo 1 = SERVICE_KERNEL_DRIVER Driver di dispositivo.
Tipo 2 = SERVICE_FILE_SYSTEM_DRIVER Driver del file system in modalità kernel.
Tipo 8 = SERVICE_RECOGNIZER_DRIVER Driver di riconoscimento del file system.

Dichiarazione di non responsabilità sulle informazioni di terze parti

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, si consiglia di raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni utilizzando TSS per le questioni relative alla distribuzione.