L'ordine di ricerca sicuro delle DLL è un comportamento di caricamento di Windows che fa sì che il sistema cerchi prima le posizioni di sistema attendibili rispetto a percorsi meno affidabili, come la directory di lavoro corrente. Il suo scopo è ridurre il DLL hijacking, in cui un attaccante inserisce una libreria malevola con il nome corretto in una directory che un programma controllerà per prima. Se viene caricata la DLL sbagliata, il codice dell'attaccante viene eseguito all'interno di un processo altrimenti legittimo.
Questo è importante perché il caricamento delle DLL è comune e spesso automatico. Gli attaccanti abusano di un ordine di ricerca debole per far caricare alle applicazioni firmate moduli ostili da directory scrivibili dall'utente o dell'applicazione. I difensori usano un ordine di ricerca sicuro, il controllo delle applicazioni e la telemetria del caricamento dei moduli per individuare percorsi sospetti e librerie inattese. In pratica, rafforzare il comportamento di ricerca delle DLL aiuta a trasformare un semplice conflitto di nomi in un attacco fallito invece che in una via di esecuzione del codice.