Condividi tramite

Come disattivare temporaneamente il driver di filtro in modalità kernel in Windows

  • Articolo

Questo articolo descrive come disattivare il driver di filtro in modalità kernel senza rimuovere il software corrispondente.

Numero KB originale: 816071

Importante

Questo articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nell'ambiente specifico. Se si implementa questa soluzione alternativa, eseguire eventuali passaggi aggiuntivi appropriati per proteggere il sistema.

Riepilogo

È possibile disattivare il driver di filtro quando si risocludono i problemi seguenti:

Disabilitare i driver di filtro

Quando si risolve uno di questi problemi, spesso è necessario fare più di arrestare o disabilitare i servizi associati al software. Anche se si disabilita il componente software, il driver di filtro viene ancora caricato quando si riavvia il computer. Potrebbe essere necessario rimuovere un componente software per individuare la causa di un problema. In alternativa alla rimozione del componente software, è possibile arrestare i servizi pertinenti e disabilitare i driver di filtro corrispondenti nel Registro di sistema. Ad esempio, se si impedisce al software antivirus di analizzare o filtrare i file nel computer, è necessario disabilitare anche i driver di filtro corrispondenti.

Per disabilitare i driver di filtro, è necessario innanzitutto identificare i servizi di terze parti e i driver di filtro corrispondenti. Dopo aver eseguito questa operazione, seguire questa procedura.

Avviso

Questa soluzione alternativa può rendere il computer o la rete più vulnerabile agli attacchi da parte di utenti malintenzionati o da software dannoso, ad esempio virus. Questa soluzione alternativa non è consigliata, ma fornisce queste informazioni in modo da poter implementare questa soluzione alternativa a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.

Importante

Un programma antivirus è progettato per proteggere il computer da virus. Non è necessario scaricare o aprire file da origini non attendibili, visitare siti Web non attendibili o aprire allegati di posta elettronica quando il programma antivirus è disabilitato.

Per altre informazioni sui virus informatici, vedere Come prevenire e rimuovere virus e altri malware.

  1. Arrestare tutti i servizi che appartengono al pacchetto software.

  2. Impostare Tipo di avvio su Disabilitato. A tale scopo, effettuare i passaggi seguenti:

    1. Fare clic su Start, fare clic su Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Servizi.
    2. Nel riquadro Dettagli fare clic con il pulsante destro del mouse sul servizio da configurare e quindi scegliere Proprietà.
    3. Nella scheda Generale fare clic su Disabilitato nella casella Tipo di avvio.

  3. Impostare la chiave del Registro di sistema Start dei driver di filtro corrispondenti su 0x4. Un valore di 0x4 disabiliterà il driver di filtro. A tale scopo, eseguire la procedura seguente.

    Importante

    In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

    1. Avviare l'editor del Registro di sistema.
    2. Creare un backup dell'hive del Registro di sistema HKEY_LOCAL_MACHINE\System.
    3. Individuare e quindi fare clic sulla sottochiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicesdel Registro di sistema.
    4. Fare clic sulla voce relativa al driver di filtro da disabilitare.
    5. Fare doppio clic sull'impostazione avvia registro e quindi impostarla su un valore di 0x4.

    Note

    Questa voce del Registro di sistema ha in genere un valore di 0x3.

  4. Riavviare il computer.

La maggior parte del software antivirus usa driver di filtro che interagiscono con un servizio per cercare virus. Questi driver di filtro vengono ancora caricati dopo la disattivazione del servizio. Questi driver di filtro analizzano i file quando vengono aperti e chiusi su un disco rigido. Ai fini della risoluzione dei problemi, rimuovere temporaneamente il software antivirus o contattare il produttore del software per determinare se è disponibile una versione più recente.

Esempio di driver di filtro

Questa sezione descrive alcuni dei nomi tipici dei driver di filtro per prodotto:

Antivirus

  • Inoculan: INO_FLPY e INO_FLTR
  • Norton: SYMEVENT, NAVAP, NAVEN e NAVEX
  • McAfee (NAI): NaiFiltr e NaiFsRec
  • Trend Micro: Tmfilter.sys e Vsapint.sys

Agente di Backup

  • Agente di backup per file aperti: Ofant.sys

  • Aprire Transaction Manager da Veritas BackupExec: Otman.sys (Otman4.sys o Otman5.sys)

    Note

    Prestare attenzione se si disabilitano questi driver di filtro usando il metodo descritto in questo articolo. In questo caso, è possibile che venga visualizzato un messaggio di errore di arresto 0x7b .

    Il messaggio di errore di arresto 0x7b Inaccessible_Boot_Device può verificarsi se esistono le chiavi del Registro di sistema seguenti e contengono riferimenti al driver Otman5 quando il driver Otman5.sys non esiste sul disco rigido o se il driver è impostato su disabilitato.

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325 -11CE-BFC1-08002BE10318}\UpperFilters

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A -11D0-BEC7-08002BE2092F}\UpperFilters

      Se si verifica l'arresto 0x7b messaggio di errore, è necessario eseguire il backup di queste chiavi del Registro di sistema ed eliminare il riferimento Otman5.

Impostazioni del Registro di sistema dei driver

Nella tabella seguente sono elencate le impostazioni valide e la relativa descrizione per le impostazioni del Registro di sistema Start e Type del driver:

Nome valore Impostazione valore Descrizione dell'impostazione del valore
Inizio 0 = SERVICE_BOOT_START Ntldr o Osloader precarica il driver in modo che sia in memoria all'avvio del computer.

Questi driver vengono inizializzati poco prima dei driver SERVICE_SYSTEM_START.
Inizio 1 = SERVICE_SYSTEM_START Il driver carica e inizializza dopo l'inizializzazione dei driver SERVICE_BOOT_START.
Inizio 2 = SERVICE_AUTO_START Service Control Manager (SCM) avvia il driver o il servizio.
Inizio 3 = SERVICE_DEMAND_START SCM deve avviare il driver o il servizio su richiesta.
Inizio 4 = SERVICE_DISABLED Il driver o il servizio non carica o inizializza.
Type 1 = SERVICE_KERNEL_DRIVER Driver.
Type 2 = SERVICE_FILE_SYSTEM_DRIVER Driver del file system in modalità kernel.
Type 8 = SERVICE_RECOGNIZER_DRIVER Driver di riconoscimento del file system.

Dichiarazione di non responsabilità sulle informazioni di terze parti

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, si consiglia di raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni utilizzando TSS per le questioni relative alla distribuzione.