Beschreibung des Features "Windows-Dateischutz"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 222193 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D41929
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt das Feature "Windows-Dateischutz".

Weitere Informationen

Der Windows-Dateischutz verhindert, dass Programme wichtige Windows-Systemdateien ersetzen. Programme dürfen diese Dateien nicht überschreiben, weil sie vom Betriebssystem und von anderen Programmen verwendet werden. Durch den Schutz dieser Dateien werden Probleme mit Programmen und dem Betriebssystem verhindert.

Der Windows-Dateischutz schützt wichtige Systemdateien, die als Teil von Windows installiert werden (zum Beispiel Dateien mit den Erweiterungen ".dll", ".exe", ".ocx" und ".sys" sowie einige TrueType-Schriftarten). Der Windows-Dateischutz verwendet die Dateisignaturen und Katalogdateien, die von der Codesignatur generiert werden, um zu überprüfen, ob es sich bei den geschützten Systemdateien um die korrekten Microsoft-Versionen handelt. Der Ersatz geschützter Systemdateien wird nur über die folgenden Mechanismen unterstützt:
  • Windows Service Pack-Installation mittels "Update.exe"
  • Hotfix-Installation mittels "Hotfix.exe" oder "Update.exe"
  • Betriebssystem-Upgrade mittels "Winnt32.exe"
  • Windows Update
Wenn ein Programm eine andere Methode zum Ersetzen geschützter Dateien verwendet, stellt der Windows-Dateischutz die Originaldateien wieder her. Der Windows Installer richtet sich bei der Installation wichtiger Systemdateien nach dem Windows-Dateischutz und ruft diesen mit einer Anforderung auf, die geschützte Datei zu installieren oder zu ersetzen, statt dies selbst durchzuführen.

So funktioniert der Windows-Dateischutz

Der Windows-Dateischutz verwendet zwei Schutzmechanismen, um Systemdateien zu schützen. Das erste Schutzmechanismus wird im Hintergrund ausgeführt. Dieser Schutz wird ausgelöst, nachdem der Windows-Dateischutz für eine Datei in einem geschützten Verzeichnis eine Benachrichtigung über eine Verzeichnisänderung erhalten hat. Nachdem der Windows-Dateischutz diese Benachrichtigung erhalten hat, stellt er fest, welche Datei geändert wurde. Falls die Datei geschützt ist, sucht der Windows-Dateischutz nach der Dateisignatur in einer Katalogdatei, um zu überprüfen, ob die neue Datei in der richtigen Version vorliegt. Wenn die Datei nicht die richtige Version aufweist, ersetzt der Windows-Dateischutz die neue Datei durch die Datei aus dem Cacheordner (falls sie sich dort befindet) oder aus der Installationsquelle. Der Windows-Dateischutz sucht in der angegebenen Reihenfolge an den folgenden Orten nach der korrekten Datei:
  1. Cacheordner (standardmäßig "%Systemroot%\System32\Dllcache").
  2. Netzwerk-Installationspfad, wenn das System über das Netzwerk installiert wurde.
  3. Windows-CD, wenn das System von CD installiert wurde.
Findet der Windows-Dateischutz die Datei im Cacheordner oder wird die Installationsquelle automatisch gefunden, wird die Datei unbemerkt vom Windows-Dateischutz ersetzt, und ein Ereignis etwa folgenden Inhalts wird im Systemprotokoll protokolliert.
Ereigniskennung: 64001
Quelle: Windows-Dateischutz
Beschreibung: Es wurde versucht, die geschützte Systemdatei "c:\winnt\system32\ file_name" zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten. Die Dateiversion der ungültigen Datei ist x.x:x.x.

Wenn der Windows-Dateischutz die Datei nicht automatisch an einem dieser Orte finden kann, wird eine der folgenden Meldungen angezeigt, wobei Dateiname der Name der Datei und Produkt das von Ihnen verwendete Windows-Produkt ist:
  • Windows-Dateischutz
    Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, durch unbekannte Versionen ersetzt. Windows muss die Originalversionen dieser Dateien wiederherstellen, um die Systemstabilität beizubehalten. Legen Sie die Produkt-CD jetzt ein.
  • Windows-Dateischutz
    Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, durch unbekannte Versionen ersetzt. Windows muss die Originalversionen dieser Dateien wiederherstellen, um die Systemstabilität beizubehalten. Der Netzwerkpfad \\Server\Freigabe, von dem die Dateien kopiert werden sollen, ist nicht verfügbar. Wenden Sie sich an den Administrator, oder legen Sie Produkt-CD jetzt ein.
Hinweis Wenn kein Administrator angemeldet ist, kann der Windows-Dateischutz keines dieser Dialogfelder anzeigen. In diesem Fall wird das Dialogfeld angezeigt, nachdem ein Administrator angemeldet ist. In den folgenden Szenarien wartet der Windows-Dateischutz möglicherweise, bis sich ein Administrator anmeldet:
  • Der Registrierungseintrag "SFCShowProgess fehlt" oder ist auf "1" gesetzt, und der Server ist so eingestellt, dass bei jedem Starten des Computers gescannt wird. In diesem Fall wartet der Windows-Dateischutz auf eine Konsolenanmeldung. Deshalb startet der RPC-Server vor der Durchführung des Scans nicht. Während dieses Zeitraums ist der Computer ungeschützt.

    Hinweis Es ist weiterhin möglich, Netzlaufwerke zuzuordnen und die Terminaldienste zum Anmelden auf diesem Server verwenden. Der Windows-Dateischutz betrachtet diese Operationen nicht als Konsolenanmeldung und wartet unendlich.
  • Der Windows-Dateischutz muss eine Datei über eine Netzwerkfreigabe wiederherstellen. Diese Situation kann auftreten, wenn die Datei im Ordner "Dllcache" nicht vorhanden oder beschädigt ist. In diesem Fall hat der Windows-Dateischutz möglicherweise nicht die korrekten Anmeldeinformationen, um auf die Netzwerkfreigabe des Installationsmediums im Netz zugreifen zu können.
Der zweite Schutzmechanismus, den der Windows-Dateischutz zur Verfügung stellt, ist das Systemdatei-Überprüfungsprogramm (Sfc.exe). Am Ende der Installation im GUI-Modus durchsucht das Systemdatei-Überprüfungsprogramm alle geschützten Dateien, um sicherzustellen, dass sie nicht von Programmen geändert wurden, die im Rahmen einer unbeaufsichtigten Installation installiert wurden. Das Systemdatei-Überprüfungsprogramm überprüft außerdem alle Katalogdateien, die zur Verfolgung der richtigen Dateiversionen verwendet werden. Sollten Katalogdateien fehlen oder beschädigt sein, benennt der Windows-Dateischutz die betroffenen Katalogdateien um und ruft zwischengespeicherte Versionen der Dateien aus dem Cacheordner ab. Wenn sich keine zwischengespeicherte Kopie der betreffenden Katalogdatei im Cacheordner befindet, fordert der Windows-Dateischutz eine neue Kopie der Katalogdatei von den entsprechenden Medien an.

Mit dem Systemdatei-Überprüfungsprogramm hat ein Administrator die Möglichkeit, alle geschützten Dateien zu scannen, um zu überprüfen, ob sie in der richtigen Version vorliegen. Das Systemdatei-Überprüfungsprogramm überprüft zudem den Cacheordner (standardmäßig "%SystemRoot%\System32\Dllcache") und stellt fehlende oder fehlerhafte Dateien gegebenenfalls wieder her. Sollte der Cacheordner beschädigt oder unbrauchbar sein, können Sie die Befehle sfc /scanonce oder sfc /scanboot in eine Eingabeaufforderung eingeben, um die Inhalte dieses Ordners reparieren zu lassen.

Der Wert
SfcScan
in folgendem Registrierungsschlüssel kann drei Einstellungen haben:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Mögliche Einstellungen für den Wert
SfcScan
:
  • 0x0
    = geschützte Dateien werden nach einem Neustart nicht gescannt. (Standardwert)
  • 0x1
    = alle geschützten Dateien werden nach jedem Neustart gescannt (wird gesetzt, wenn sfc /scanboot ausgeführt wird).
  • 0x2
    = alle geschützten Dateien werden nach einem Neustart einmal gescannt (wird gesetzt, wenn sfc /scanonce ausgeführt wird).
Alle Systemdateien werden standardmäßig im Cacheordner zwischengespeichert, dessen Standardgröße 400 MB beträgt. Aufgrund von Überlegungen den Speicherplatz betreffend ist es möglicherweise nicht wünschenswert, zwischengespeicherte Versionen aller Systemdateien im Cacheordner aufzubewahren. Wenn Sie die Größe des Caches ändern möchten, ändern Sie die Einstellung des Wertes
SFCQuota
in folgendem Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Der Windows-Dateischutz speichert überprüfte Dateiversionen im Ordner "Dllcache" auf der Festplatte. Die Anzahl der zwischengespeicherten Dateien wird durch die Einstellung des Werts
SFCQuota
bestimmt (die Standardgröße ist 0xFFFFFFFF oder 400 MB). Die Einstellung
SFCQuota
kann vom Systemadministrator auf eine beliebige Größe gesetzt werden. Beachten Sie Folgendes: Wenn der Wert für
SFCQuota
auf
0xFFFFFFFF
eingestellt wird, führt der Windows-Dateischutz eine Zwischenspeicherung aller geschützten Systemdateien (ungefähr 2700 Dateien) durch.

In zwei Fällen werden unabhängig vom eingestellten SFCQuota-Wert nicht alle geschützten Dateien im Cacheordner zwischengespeichert:
  1. Nicht genügend Festplattenspeicher.

    Unter Windows XP stoppt der Windows-Dateischutz die Zwischenspeicherung im Ordner "Dllcache", wenn auf der Festplatte weniger als 600 MB + Maximalgröße der Auslagerungsdatei an freiem Festplattenspeicher verfügbar ist.
    Unter Windows 2000 stoppt der Windows-Dateischutz die Zwischenspeicherung im Ordner "Dllcache", wenn auf der Festplatte weniger als 600 MB an freiem Festplattenspeicher verfügbar ist.
  2. Netzwerkinstallation.

    Bei einer Installation von Windows 2000 oder Windows XP über das Netzwerk werden Dateien aus dem Ordner "i386\lang" nicht im Ordner "Dllcache" zwischengespeichert.
Außerdem werden alle Treiber aus der Datei "Driver.cab" zwar geschützt, aber nicht in den Ordner "Dllcache" geschrieben. Der Windows-Dateischutz kann diese Dateien direkt aus der Datei "Driver.cab" wiederherstellen, ohne den Benutzer nach dem Quellmedium zu fragen. Durch die Ausführung des Befehls sfc /scannow werden die Dateien aus der Datei "Driver.cab" jedoch in den Ordner "Dllcache" geschrieben.

Wenn der Windows-Dateischutz eine Dateiänderung erkennt, und die betroffene Datei befindet sich nicht im Cacheordner, überprüft der Windows-Dateischutz die Version der geänderten Datei, die derzeit vom Betriebssystem verwendet wird. Wenn die derzeit verwendete Version die richtige Version ist, kopiert der Windows-Dateischutz diese Version der Datei in den Cacheordner. Wenn es sich bei der betroffenen Datei nicht um die richtige Version handelt oder die Datei nicht im Cacheordner zwischengespeichert ist, versucht der Windows-Dateischutz, die Installationsquelle zu finden. Kann die Installationsquelle nicht gefunden werden, fordert der Windows-Dateischutz den Administrator auf, das entsprechende Medium einzulegen, um die Datei oder die zwischengespeicherte Dateiversion ersetzen zu können.

Der Wert
SFCDllCacheDir
(
REG_EXPAND_SZ
) in dem folgenden Registrierungsschlüssel gibt den Pfad des Ordners "Dllcache" an.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Der Standardwert für SFCDllCacheDir lautet
%SystemRoot%\System32
. Der Wert
SFCDllCacheDir
kann ein lokaler Pfad sein. Der Wert
SFCDllCacheDir
ist standardmäßig nicht im Registrierungsschlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
aufgelistet. Sie müssen diesen Wert hinzufügen, um den Ordner für die Zwischenspeicherung zu ändern.

Beim Starten von Windows kopiert der Windows-Dateischutz seine Einstellungen vom Registrierungsschlüssel
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
in den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Daher erhalten die Werte
SfcScan
,
SFCQuota
oder
SFCDllCacheDir
, wenn sie im Teilschlüssel
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
vorhanden sind, den Vorrang gegenüber denselben Werten im Teilschlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
.
Weitere Informationen zum Windows-Dateischutz finden Sie im folgenden Artikel der Microsoft Knowledge Base:
222473 Registrierungseinstellungen für Windows-Dateischutz
Weitere Informationen zum Systemdatei-Überprüfungsprogramm in Windows XP und Windows Server 2003 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
310747 Beschreibung des Systemdatei-Überprüfungsprogramms (Sfc.exe) von Windows XP und Windows Server 2003
Weitere Informationen zum Systemdatei-Überprüfungsprogramm in Windows 2000 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
222471 Das Systemdatei-Überprüfungsprogramm von Windows 2000

Informationsquellen

Weitere Informationen zum Windows-Dateischutz finden Sie auf folgender Website von Microsoft:
http://msdn.microsoft.com/de-de/library/aa382551(VS.85).aspx
Weitere Informationen zu Windows Installer und dem Windows-Dateischutz finden Sie auf folgender Website von Microsoft:
http://msdn.microsoft.com/de-de/library/aa372820(VS.85).aspx

Eigenschaften

Artikel-ID: 222193 - Geändert am: Freitag, 26. März 2010 - Version: 12.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbinfo KB222193
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com