Deskripsi fitur Proteksi Berkas Windows

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 222193 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menjelaskan perlindungan berkas Windows (WFP) fitur.

INFORMASI LEBIH LANJUT

Perlindungan Berkas Windows (WFP) mencegah program dari menggantikan berkas sistem Windows yang kritis. Program harus tidak menimpa ini file karena mereka digunakan oleh sistem operasi dan program lain. Melindungi file ini mencegah masalah dengan program dan operasi sistem.

WFP melindungi kritis sistem berkas yang diinstal sebagai bagian Windows (misalnya, berkas dengan ekstensi .dll, .exe, .ocx, dan .sys dan beberapa jenis benar font). WFP menggunakan berkas tanda tangan dan berkas katalog yang dihasilkan oleh kode penandatanganan untuk memverifikasi apakah berkas sistem terlindungi adalah yang benar Versi Microsoft. Penggantian berkas sistem terlindungi didukung hanya melalui mekanisme berikut:
  • Instalasi paket layanan Windows menggunakan Update.exe
  • Perbaikan terbaru yang diinstal menggunakan Hotfix.exe atau Update.exe
  • Upgrade sistem operasi yang menggunakan Winnt32.exe
  • Pembaruan Windows
Jika program menggunakan metode yang berbeda untuk menggantikan dilindungi file, WFP mengembalikan file asli. Windows Installer mematuhi WFP ketika menginstal sistem kritis file dan panggilan WFP dengan permintaan untuk menginstal atau mengganti berkas yang dilindungi alih-alih mencoba untuk menginstal atau mengganti dilindungi file itu sendiri.

Bagaimana fitur WFP bekerja

Fitur WFP memberikan perlindungan untuk sistem file menggunakan dua mekanisme. Mekanisme pertama berjalan di latar belakang. Perlindungan ini adalah dipicu setelah WFP menerima pemberitahuan perubahan direktori untuk file dalam direktori dilindungi. Setelah WFP menerima pemberitahuan ini, WFP menentukan file ini diubah. Jika file yang dilindungi, WFP mendongak berkas tanda tangan di berkas katalog untuk menentukan apakah file baru adalah versi yang benar. Jika file bukanlah versi yang benar, WFP menggantikan berkas baru dengan file dari Map cache (jika dalam cache folder) atau dari sumber instalasi. WFP mencari file yang benar di lokasi-lokasi berikut, dengan urutan ini:
  1. Map cache (secara default, % systemroot%\system32\dllcache).
  2. Menginstal jaringan jalan, jika sistem diinstal menggunakan Instal jaringan.
  3. CD-ROM Windows, apabila sistem menginstal dari CD-ROM.
Jika WFP menemukan file dalam cache folder atau jika sumber instalasi terletak secara otomatis, WFP diam-diam menggantikan berkas dan log peristiwa yang menyerupai berikut ini dalam log sistem:
Event ID: 64001
Sumber: Perlindungan berkas Windows
Keterangan: File penggantian upaya berkas_name c:\winnt\system32\ berkas sistem terlindungi. File ini dikembalikan ke versi asli untuk menjaga stabilitas sistem. Versi berkas dari sistem berkas adalah x.x:x.x.

Jika tidak dapat WFP secara otomatis menemukan file di salah satu lokasi ini, Anda menerima salah satu dari Setelah pesan, di mana berkas_name adalah nama berkas yang digantikan dan produk adalah Produk Windows Anda menggunakan:
  • Perlindungan Berkas Windows
    File diperlukan untuk Windows untuk menjalankan dengan benar telah digantikan oleh Versi yang tidak diakui. Untuk menjaga stabilitas sistem, Windows harus mengembalikan Versi asli dari file-file ini. Masukkan Andaproduk CD-ROM sekarang.
  • Perlindungan Berkas Windows
    File diperlukan untuk Windows untuk menjalankan dengan benar telah digantikan oleh Versi yang tidak diakui. Untuk menjaga stabilitas sistem, Windows harus mengembalikan Versi asli dari file-file ini. Lokasi jaringan dari mana file harus disalin, \\Server\berbagi, tidak tersedia. Hubungi administrator sistem atau menyisipkanproduk CD-ROM sekarang.
Catatan Jika administrator tidak logon, WFP tidak menampilkan baik kotak dialog ini. Dalam situasi ini, WFP menampilkan kotak dialog setelah Administrator log on. WFP mungkin menunggu untuk administrator untuk login dalam skenario berikut:
  • Entri registri SFCShowProgress hilang atau diset ke 1, dan server diatur untuk memindai setiap kali komputer dimulai. Dalam situasi ini, WFP menunggu untuk logon konsol. Oleh karena itu, RPC server tidak mulai sampai scan dilakukan. Komputer telah tidak ada perlindungan selama waktu ini.

    Catatan Anda masih dapat memetakan drive jaringan, penggunaan sistem file, dan penggunaan Layanan Terminal untuk log on ke server. WFP tidak mempertimbangkan operasi ini sebagai konsol logon, dan terus menunggu selamanya.
  • WFP telah untuk memulihkan file dari jaringan berbagi. Situasi ini dapat terjadi jika berkas tidak hadir dalam Dllcache folder atau jika file rusak. Dalam situasi ini, WFP mungkin tidak memiliki mandat yang benar untuk mengakses berbagi dari media instalasi berbasis jaringan.
Perlindungan kedua mekanisme yang disediakan oleh fitur WFP adalah pemeriksa berkas sistem Alat (Sfc.exe). Pada akhir penataan GUI mode, alat pemeriksa berkas sistem dapat memindai semua berkas terlindung untuk memastikan bahwa mereka tidak diubah oleh program yang telah diinstal dengan menggunakan penginstalan yang tidak dijaga. Sistem Alat Pemeriksa Berkas juga memeriksa semua berkas katalog yang digunakan untuk melacak versi berkas yang benar. Jika salah satu berkas katalog yang hilang atau rusak, WFP mengubah nama berkas katalog terpengaruh dan akan mengambil versi cache file dari map cache. Jika salinan cache berkas katalog ini tidak tersedia di cache folder, fitur WFP permintaan media yang tepat untuk mengambil baru salinan berkas katalog.

Alat pemeriksa berkas sistem memberi administrator kemampuan untuk memindai semua berkas terlindung untuk memverifikasi mereka Versi. Alat Pemeriksa Berkas Sistem juga memeriksa dan "mengisi kembali" cache folder (secara default, % SystemRoot%\System32\Dllcache). Jika map cache menjadi rusak atau tidak dapat digunakan, Anda dapat menggunakan salah SFC /scanonce perintah atau SFC /scanboot perintah pada prompt perintah untuk memperbaiki isi folder.

The
SfcScan
nilai dalam kunci registri berikut memiliki tiga pengaturan yang mungkin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Pengaturan untuk
SfcScan
nilai adalah:
  • 0x0
    = Jangan memindai file yang dilindungi setelah restart. (Default nilai)
  • 0x00000001
    = memindai semua file dilindungi setelah setiap kali restart (ditetapkan jika SFC /scanboot dijalankan).
  • 0x2
    = memindai semua dilindungi file satu kali setelah restart (ditetapkan jika SFC /scanonce dijalankan).
Secara default, semua sistem file cache dalam cache folder, dan ukuran default cache adalah 400 MB. Karena dari ruang disk pertimbangan, ini mungkin tidak diinginkan untuk mempertahankan versi cache semua sistem file dalam cache folder. Untuk mengubah ukuran cache, mengubah membuat
SFCQuota
nilai dalam kunci registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
WFP toko diverifikasi versi file dalam Dllcache folder pada hard disk. Jumlah file cache ditentukan oleh membuat
SFCQuota
nilai (ukuran default adalah 0xFFFFFFFF, atau 400 MB). The Administrator dapat membuat pengaturan
SFCQuota
nilai sebagai besar atau kecil yang diperlukan. Catatan bahwa jika Anda menetapkan
SFCQuota
nilai untuk
0xffffffff
, WFP fitur cache semua berkas sistem terlindungi (sekitar 2.700 file).

Ada dua kasus di mana cache folder mungkin tidak berisi salinan dari semua file yang dilindungi, terlepas dari nilai SFCQuota:
  1. Ruang disk tidak cukup.

    Di bawah Windows XP, WFP berhenti mempopulasikan folder Dllcache ketika kurang (600 MB + ukuran maksimum berkas halaman) ruang tersedia pada hard disk.
    Di bawah Windows 2000, WFP berhenti mempopulasikan Dllcache folder ketika kurang dari 600 MB ruang tersedia pada hard disk.
  2. Instalasi jaringan.

    Ketika Windows 2000 atau Windows XP diinstal melalui jaringan, file dalam direktori i386\lang tidak diisi dalam Dllcache folder.
Selain itu, semua pengandar pada berkas Driver.cab dilindungi, tapi mereka tidak dihuni dalam Dllcache folder. WFP dapat memulihkan berkas ini dari file Driver.cab secara langsung tanpa persetujuan pengguna untuk sumber Media. Namun, berjalan SFC/scannow perintah mengisi file dari file Driver.cab ke Dllcache folder.

Apabila WFP mendeteksi perubahan file dan file terpengaruh adalah tidak dalam cache folder, WFP memeriksa versi file yang berubah sistem operasi saat ini menggunakan. Jika file yang saat ini dalam menggunakan adalah versi yang benar, WFP salinan versi file ke cache folder. Jika file yang saat ini digunakan tidak versi yang benar, atau jika file yang tidak di-cache di cache folder, WFP berusaha untuk mencari sumber instalasi. Apabila WFP tidak dapat menemukan sumber instalasi, WFP meminta administrator untuk memasukkan media yang tepat untuk mengganti berkas atau cache Versi file.

The
SFCDllCacheDir
nilai)
REG_EXPAND_SZ
) pada registri berikut kunci menentukan lokasi Dllcache folder.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Data nilai default untuk SFCDllCacheDir nilai
% SystemRoot%\System32
. The
SFCDllCacheDir
nilai dapat jalan lokal. Secara default,
SFCDllCacheDir
nilai tidak terdaftar di
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
kunci registri. Untuk mengubah lokasi cache, Anda harus menambahkan ini nilai.

Ketika Windows dimulai, WFP sinkronisasi (salinan) pengaturan WFP dari kunci registri berikut
Perlindungan berkas NT\Windows HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows
ke kunci registri berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Oleh karena itu, jika
SfcScan
,
SFCQuota
, atau
SFCDllCacheDir
nilai itu ada dalam
Perlindungan berkas NT\Windows HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows
subkunci, nilai-nilai diutamakan nilai-nilai yang sama di
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
subkunci.
Untuk informasi lebih lanjut tentang fitur WFP, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
222473Pengaturan registri untuk perlindungan berkas Windows
Untuk informasi lebih lanjut tentang alat pemeriksa berkas sistem pada Windows XP dan Windows Server 2003, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
310747Penjelasan tentang Pemeriksa Berkas Sistem (Sfc.exe) pada Windows XP dan Windows Server 2003
Untuk informasi lebih lanjut tentang alat pemeriksa berkas sistem pada Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
222471Penjelasan tentang Windows 2000 pemeriksa berkas sistem (Sfc.exe)

REFERENSI

Untuk informasi lebih lanjut tentang fitur WFP, kunjungi Web site Microsoft berikut:
http://msdn2.Microsoft.com/en-us/library/aa382551.aspx
Untuk informasi lebih lanjut tentang Windows Installer dan WFP, kunjungi berikut Microsoft Web site:
http://msdn2.Microsoft.com/en-us/library/aa372820.aspx

Properti

ID Artikel: 222193 - Kajian Terakhir: 20 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Kata kunci: 
kbinfo kbmt KB222193 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:222193

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com