Bloqueando drivers de filtro do sistema de arquivos herdados
A partir do Windows 10, versão 1607, administradores e desenvolvedores de drivers podem usar uma configuração de registro para bloquear e desbloquear drivers de filtro do sistema de arquivos herdados. Os drivers de filtro do sistema de arquivos herdados são anexados diretamente à pilha do sistema de arquivos e não usam o Gerenciador de Filtros.
Este artigo descreve a configuração do registro e o evento inserido no log de eventos do sistema quando um filtro FS (sistema de arquivos herdados) é bloqueado. Ele também descreve como verificar se o sistema operacional tem drivers FS herdados em execução.
Como bloquear drivers herdados
Use a chave de registro IoBlockLegacyFsFilters para indicar se o sistema bloqueia drivers de filtro FS herdados. Quando bloqueados, todos os drivers de filtro FS herdados são impedidos de carregar. Para que as alterações do registro entrem em vigor, execute uma reinicialização do sistema.
A chave do registro deve ser criada no seguinte caminho do registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\I/O System
A tabela a seguir descreve os valores DWORD válidos para a chave IoBlockLegacyFsFilters.
| Valor IoBlockLegacyFsFilters | Descrição |
|---|---|
| 1 | Os drivers de filtro FS herdados são impedidos de carregar ou anexar a volumes de armazenamento. |
| 0 | Os drivers de filtro FS herdados não estão bloqueados. Esse é o comportamento padrão. |
A figura a seguir mostra a aparência da chave no Editor do Registro.
Exemplo: quando um driver herdado é bloqueado para carregar
Um evento de erro é registrado no log de eventos do sistema quando um driver de filtro FS herdado é impedido de carregar, conforme mostrado aqui:
| Propriedade de evento | Descrição |
|---|---|
| Nome do Log | Sistema |
| Origem | Microsoft-Windows-Kernel-IO |
| Data | 12/29/2015 2:55:05 PM |
| ID do evento | 1205 |
| Categoria da Tarefa | Nenhum |
| Nível | Erro |
| Palavras-chave | |
| Usuário | CONTOSO\user |
| Computador | user.domain.corp.contoso.com |
| Descrição | O Windows está configurado para bloquear filtros FS herdados. Nome do filtro: \Driver\sfilter |
Como verificar se os drivers legados estão em execução
Para determinar quais filtros são drivers de filtro FS herdados e se eles estão em execução, você pode executar as seguintes etapas:
- Abra um Prompt de Comando com privilégios elevados clicando e segurando (ou clicando com o botão direito do mouse) no ícone de cmd.exe e selecionando Executar como administrador.
- Digite:
fltmc filters - Procure drivers legados, eles são aqueles com um valor Frame de <Legacy>.
Neste exemplo, três filtros estão em execução. Os drivers de filtro FS herdados — AVLegacy e EncryptionLegacy — são marcados com o valor Frame <Legacy>. AVMiniFilter não tem o valor Frame <Legacy> porque é um driver de minifiltro (ele não se conecta diretamente à pilha FS e usa o Gerenciador de Filtros).
C:\Windows\system32>fltmc filters
Filter Name Num Instances Altitude Frame
------------------------------ ------------- ------------ -----
AVLegacy 389998.99 <Legacy>
EncryptionLegacy 149998.99 <Legacy>
AVMiniFilter 3 328000 0
Se você vir que os drivers herdados ainda estão em execução depois de bloquear os drivers de filtro FS herdados, certifique-se de reinicializar o sistema depois de definir a chave de registro IoBlockLegacyFsFilters. A configuração não entra em vigor até depois de uma reinicialização.
Se o sistema tiver drivers de filtro FS herdados, trabalhe com os respectivos desenvolvedores de filtro para obter a versão do minifiltro do driver FS. Para obter informações sobre como portar drivers de filtro FS herdados para drivers de minifiltro que usam o modelo do Gerenciador de Filtros, consulte Diretrizes para portar drivers de filtro herdados.