Como desativar temporariamente o driver de filtro do modo kernel no Windows

Artigo
02/19/2024

Este artigo descreve como desativar o driver de filtro do modo kernel sem remover o software correspondente.

Aplica-se a: Windows Server 2012 R2, Windows 10 - todas as edições
Número de KB original: 816071

Importante

Este artigo contém informações que mostram como ajudar a reduzir as configurações de segurança ou como desativar recursos de segurança em um computador. Você pode fazer essas alterações para contornar um problema específico. Antes de fazer essas alterações, recomendamos que você avalie os riscos associados à implementação dessa solução alternativa em seu ambiente específico. Se você implementar essa solução alternativa, siga as etapas adicionais apropriadas para ajudar a proteger seu sistema.

Resumo

Talvez você queira desativar o driver de filtro quando estiver solução de problemas dos seguintes problemas:

Problemas de cópia de arquivo ou backup.
Erros de programa que ocorrem quando você está abrindo arquivos de unidades de rede ou está salvando arquivos em unidades de rede. Para obter mais informações sobre esses erros de programa, confira Desempenho lento da rede ao abrir um arquivo localizado em uma pasta compartilhada em um computador de rede remota.
A ID do evento 2022 errou as mensagens que ocorrem no log do sistema, por exemplo:

Desabilitar drivers de filtro

Quando você está solução de problemas de qualquer um desses problemas, com frequência, você precisa fazer mais do que apenas parar ou desabilitar os serviços associados ao software. Mesmo que você desabilite o componente de software, o driver de filtro ainda será carregado quando você reinicia o computador. Você pode ser forçado a remover um componente de software para encontrar a causa de um problema. Como alternativa à remoção do componente de software, você pode parar os serviços relevantes e desabilitar os drivers de filtro correspondentes no registro. Por exemplo, se você impedir que o software antivírus examine ou filtrar arquivos em seu computador, também deverá desabilitar os drivers de filtro correspondentes.

Para desabilitar drivers de filtro, primeiro você deve identificar serviços de terceiros e seus drivers de filtro correspondentes. Depois de fazer isso, siga estas etapas.

Aviso

Essa solução alternativa pode tornar seu computador ou rede mais vulnerável a ataques de usuários mal-intencionados ou softwares mal-intencionados, como vírus. Não recomendamos essa solução alternativa, mas estamos fornecendo essas informações para que você possa implementar essa solução alternativa a seu próprio critério. Você é responsável pelo uso dessa solução alternativa.

Importante

Um programa antivírus foi projetado para ajudar a proteger seu computador contra vírus. Você não deve baixar ou abrir arquivos de fontes em que não confia, visitar sites em que não confia ou abrir anexos de email quando seu programa antivírus estiver desabilitado.

Para obter mais informações sobre vírus de computador, consulte Como prevenir e remover vírus e outros malwares.

Pare todos os serviços que pertencem ao pacote de software.
Defina o tipo de Inicialização como Desabilitado. Para fazer isso, siga estas etapas:
1. Clique em Iniciar, clique em Painel de Controle, clique duas vezes em Ferramentas Administrativas e clique duas vezes em Serviços.
2. No painel Detalhes , clique com o botão direito do mouse no serviço que você deseja configurar e clique em Propriedades.
3. Na guia Geral , clique em Desabilitado na caixa Tipo de inicialização .
Defina a chave Iniciar registro dos drivers de filtro correspondentes como 0x4. Um valor de 0x4 desabilitará o driver de filtro. Para fazer isso, execute as etapas a seguir.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.
1. Inicie o Editor do Registro.
2. Crie um backup do hive do registro HKEY_LOCAL_MACHINE\System.
3. Localize e clique na subchave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicesdo registro .
4. Clique na entrada do driver de filtro que você deseja desabilitar.
5. Clique duas vezes na configuração Iniciar registro e defina-a como um valor de 0x4.
Observação

Normalmente, essa entrada de registro tem um valor de 0x3.
Reinicie o computador.

A maioria dos softwares antivírus usa drivers de filtro que trabalham em conjunto com um serviço para verificar vírus. Esses drivers de filtro ainda são carregados depois que o serviço é desativado. Esses drivers de filtro verificam arquivos à medida que são abertos e fechados em um disco rígido. Para fins de solução de problemas, remova temporariamente o software antivírus ou entre em contato com o fabricante do software para determinar se uma versão mais recente está disponível.

Exemplo de drivers de filtro

Esta seção descreve alguns dos nomes típicos do driver de filtro por produto:

Antivírus

Inoculan: INO_FLPY e INO_FLTR
Norton: SYMEVENT, NAVAP, NAVEN e NAVEX
McAfee (NAI): NaiFiltr e NaiFsRec
Trend Micro: Tmfilter.sys e Vsapint.sys

Agente de backup

Agente de Backup para Arquivos Abertos: Ofant.sys
Abrir o Gerenciador de Transações do Veritas BackupExec: Otman.sys (Otman4.sys ou Otman5.sys)

Observação

Tenha cuidado se você desabilitar esses drivers de filtro usando o método descrito neste artigo. Se você fizer isso, poderá receber uma mensagem de erro parar 0x7b .

A mensagem de erro parar 0x7b Inaccessible_Boot_Device pode ocorrer se as seguintes chaves de registro existirem e conter referências ao driver Otman5 quando o driver Otman5.sys não existir no disco rígido ou se o driver estiver definido como desabilitado.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325 -11CE-BFC1-08002BE10318}\UpperFilters
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A -11D0-BEC7-08002BE2092F}\UpperFilters
  
  Se você tiver a mensagem de erro parar 0x7b, faça backup dessas chaves do registro e exclua a referência Otman5.

Configurações do registro de driver

A tabela a seguir lista as configurações válidas e sua descrição para as configurações de registro iniciar e digitar do driver:

Nome do valor	Configuração de valor	Descrição da Configuração de Valor
Início	0 = SERVICE_BOOT_START	Ntldr ou Osloader pré-carrega o driver para que ele esteja na memória quando o computador é iniciado. Esses drivers são inicializados pouco antes do SERVICE_SYSTEM_START drivers.
Início	1 = SERVICE_SYSTEM_START	O driver carrega e inicializa depois que SERVICE_BOOT_START drivers são inicializados.
Início	2 = SERVICE_AUTO_START	O SCM (Service Control Manager) inicia o driver ou o serviço.
Início	3 = SERVICE_DEMAND_START	O SCM deve iniciar o driver ou o serviço sob demanda.
Início	4 = SERVICE_DISABLED	O driver ou o serviço não carrega nem inicializa.
Tipo	1 = SERVICE_KERNEL_DRIVER	Driver de dispositivo.
Tipo	2 = SERVICE_FILE_SYSTEM_DRIVER	Driver do sistema de arquivos no modo kernel.
Tipo	8 = SERVICE_RECOGNIZER_DRIVER	Driver de reconhecimento do sistema de arquivos.

Aviso de isenção de responsabilidade para informações de terceiros

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas relacionados à implantação.