Descrição do recurso de proteção de arquivo do Windows

Traduções deste artigo Traduções deste artigo
ID do artigo: 222193 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve o recurso WFP (Proteção de arquivos do Windows).

Mais Informações

A WFP impede que os programas substituam arquivos de importância crítica do sistema do Windows. Os programas não devem substituir esses arquivos porque eles são usados pelo sistema operacional e por outros programas. A proteção desses arquivos evita o surgimento de problemas com programas e com o sistema operacional.

A WFP protege os arquivos de importância crítica do sistema instalados como parte do Windows (por exemplo, arquivos com extensões .dll, .exe, .ocx e .sys, e algumas fontes True Type). A WFP usa as assinaturas de arquivo e os arquivos de catálogo gerados pela assinatura de código para verificar se os arquivos do sistema protegidos correspondem às versões corretas da Microsoft. A substituição de arquivos do sistema protegidos é oferecida apenas pelos seguintes mecanismos:
  • Instalação do Windows Service Pack com o uso de Update.exe
  • Hotfixes instalados com o uso de Hotfix.exe ou Update.exe
  • O sistema operacional atualiza usando Winnt32.exe
  • Windows Update
Se um programa usar um método diferente para substituir os arquivos protegidos, a WFP restaurará os arquivos originais. O Windows Installer adere à WFP ao instalar arquivos de importância crítica do sistema e chama a WFP com uma solicitação para instalar ou substituir o arquivo protegido ao invés de tentar instalar ou substituir um arquivo protegido.

Como o recurso WFP funciona

O recurso WFP oferece proteção aos arquivos do sistema, usando dois mecanismos. O primeiro mecanismo é executado em segundo plano. Esta proteção é acionada depois que a WFP recebe uma notificação de alteração de pasta para um arquivo em um diretório protegido. Depois de receber essa notificação, a WFP determina qual arquivo foi alterado. Se o arquivo estiver protegido, a WFP irá consulta a assinatura em um arquivo de catálogo para determinar se o novo arquivo é a versão correta. Se o arquivo não for a versão correta, a WFP substitui esse novo arquivo da pasta cache (se ele estiver nessa pasta) ou da origem de instalação. A WFP procura o arquivo correto nos seguintes locais, nesta ordem:
  1. A pasta cache (por padrão, %systemroot%\system32\dllcache).
  2. O caminho de instalação de rede, se o sistema foi instalado usando a instalação de rede.
  3. O CD-ROM do Windows, se o sistema foi instalado pelo CD-ROM.
Se a WFP localizar o arquivo na pasta cache ou se a origem de instalação for automaticamente localizada, a WFP substituirá silenciosamente o arquivo. Se a WFP não localizar automaticamente o arquivo em qualquer um destes locais, uma das seguintes mensagens de erro será exibida, na qual nome_do_arquivo é o nome do arquivo que foi substituído e produto é o produto Windows que você está usando:
  • Proteção de arquivo do Windows
    Arquivos requeridos para a execução apropriada do Windows foram substituídos por versões não identificadas. Para manter a estabilidade do sistema, o Windows deve restaurar as versões originais desses arquivos. Insira o CD-ROM do produto agora.
  • Proteção de arquivo do Windows
    Arquivos requeridos para a execução apropriada do Windows foram substituídos por versões não identificadas. Para manter a estabilidade do sistema, o Windows deve restaurar as versões originais desses arquivos. O local de rede do qual os arquivos devem ser copiados, \\servidor\compartilhamento, não está disponível. Entre em contato com o administrador ou insira produto agora.
Observação Se administrador não estiver conectado, a WFP não irá exibir nenhuma destas caixas de diálogo. Nesta situação, a WFP exibe a caixa de diálogo depois que um administrador faz logon. A WFP pode aguardar administrador fazer logon nas seguintes situações:
  • A entrada do Registro SFCShowProgress não foi encontrada ou está definida para 1, e o servidor está definido para verificar sempre que o computador for iniciado. Nesta situação, a WFP aguarda um logon no console. Por isso, o servidor RPC não inicia até que o exame seja realizada. O computador fica sem nenhuma proteção durante este tempo.

    Observação Ainda é possível mapear unidades de rede, usar arquivos de sistema e usar os Serviços de terminal para fazer logon no servidor. A WFP não considera as operações como sendo um logon no console e mantém aguardando indefinidamente.
  • A WFP tem de restaurar um arquivo de um compartimento de rede. A situação pode ocorrer se o arquivo não estiver presente na pasta Dllcache ou se o arquivo estiver corrompido. Nesta situação, a WFP pode não ter as credenciais corretas para acessar o compartilhamento da mídia de instalação com base na rede.
O segundo mecanismo de proteção fornecido pelo recurso WFP é a ferramenta Verificador de arquivos de sistema (Sfc.exe). No final da Instalação do modo GUI, a ferramenta Verificador de arquivos de sistema examina todos os arquivos protegidos para verificar se eles não foram modificados pelos programas instalados por uma instalação autônoma. A ferramenta Verificador de arquivos de sistema também verifica todos os arquivos de catálogo usados para o rastreamento das versões de arquivo corretas. Se qualquer um dos arquivos de catálogo não for encontrado ou estiver danificado, a WFP renomeia o arquivo de catálogo afetado e recupera uma versão em cache desse arquivo pela pasta cache. Se uma cópia em cache do arquivo de catálogo não estiver disponível na pasta cache, o recurso WFP solicitará a recuperação de uma nova cópia do arquivo de catálogo.

A ferramenta Verificador de arquivos de sistema oferece ao administrador a capacidade de examinar todos os arquivos protegidos para verificar suas versões. Além disso, verifica e preenche novamente a pasta cache (por padrão, %SystemRoot%\System32\Dllcache). Se a pasta cache estiver danificada ou não puder ser usada, será possível usar o comando sfc /scanonce ou sfc /scanboot em um prompt de comando para reparar o conteúdo da pasta.

O valor
SfcScan
na seguinte chave do Registro têm três configurações possíveis:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
As configurações para o valor
SfcScan
são:
  • 0x0
    = não examia arquivos protegidos após a reinicialização. (Valor padrão)
  • 0x1
    = pesquisa todos os arquivos protegidos após cada reinício (definir se sfc /scanboot é executado).
  • 0x2
    = pesquisa todos os arquivos protegidos uma vez após o reinício (definir se sfc /scanonce é executado).
Por padrão, todos os arquivos de sistema são armazenados em cache na pasta cache, sendo que o tamanho padrão do cache é de 400 MB. Devido às considerações de espaço em disco, pode não ser desejável manter versões em cache de todos os arquivos de sistema na pasta cache. Para alterar o tamanho do cache, altere a configuração do valor
SFCQuota
na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
A WFP armazena as versões de arquivos verificados na pasta Dllcache no disco rígido. O número de arquivos em cache é determinado pela configuração do valor
SFCQuota
(o tamanho padrão é 0xFFFFFFFF ou 400 MB). O administrador pode configurar valor
SFCQuota
como grande ou pequena, conforme necessário. Observe que se você definir o valor
SFCQuota
para
0xFFFFFFFF
, o recurso WFP irá armazenar em cache todos os arquivos de sistema protegidos (aproximadamente 2.700 arquivos).

Há dois casos em que a pasta cache pode não ter cópias de todos os arquivos protegidos, independente do valor SFCQuota:
  1. Quando não houver espaço suficiente em disco.

    No Windows XP, a WFP pára de preencher a pasta Dllcache quando menos de (600 MB + tamanho máximo do arquivo de paginação) de espaço estiverem disponíveis no disco rígido.
    No Windows 2000, a WFP pára de preencher a pasta Dllcache quando menos de 600 MB de espaço estiverem disponíveis no disco rígido.
  2. Instalação de rede.

    Quando o Windows 2000 ou o Windows XP estiver instalado na rede, os arquivos contidos na pasta i386\lang não serão preenchidos na pasta Dllcache.
Além disso, todos os drivers no arquivo Driver.cab estão protegidos, mas não são preenchidos nas pastas Dllcache. A WFP pode restaurar estes arquivos diretamente pelo arquivo Driver.cab sem solicitar a mídia de origem ao usuário. No entanto, se você executar o comando sfc /scannow, irá preencher os arquivos do arquivo Driver.cab na pasta Dllcache.

Se a WFP detectar uma alteração de arquivo e o arquivo afetado não estiver na pasta cache, a WFP irá examinar a versão do arquivo alterado que o sistema operacional estiver usando no momento. Se o arquivo atualmente em uso estiver na versão correta, a WFP copiará essa versão do arquivo para a pasta cache. Se o arquivo que estiver em uso não corresponder à versão correta ou se ele não estiver armazenado em cache na pasta cache, a WFP tentará localizar a origem da instalação. Se a WFP não localizar a origem da instalação, ela solicitará a administrador que insira a mídia adequada para substituir o arquivo ou a versão do arquivo armazenado em cache.

O valor
SFCDllCacheDir
(
REG_EXPAND_SZ
) na seguinte chave do Registro especifica o local da pasta Dllcache.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Os dados do valor padrão do valor SFCDllCacheDir são
%SystemRoot%\System32
. O valor
SFCDllCacheDir
pode ser um caminho local. Por padrão, o valor
SFCDllCacheDir
não é listado na chave do Registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
. Para modificar o local de cache é necessário adicionar esse valor.

Quando o Windows inicializa, a WFP sincroniza (copia) as configurações da WFP da seguinte chave do Registro
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
para a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Por isso, se os valores
SfcScan
,
SFCQuota
ou
SFCDllCacheDir
estiverem presentes na subchave
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
, terão preferência sobre os mesmos valores na subchave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
.
Para obter mais informações sobre o recurso WFP, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
222473 Configurações do Registro para a WFP
Para obter mais informações sobre a ferramenta Verificador de arquivos de sistema no Windows XP e no Windows Server 2003, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
310747 Descrição do Verificador de arquivos de sistema (Sfc.exe) do Windows XP e do Windows Server 2003
Para obter mais informações sobre a ferramenta Verificador de arquivos de sistema no Windows 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
222471 Descrição do Verificador de arquivos de sistema do Windows 2000 (Sfc.exe)

Referências

Para obter mais informações sobre o recurso WFP, visite o seguinte site da Microsoft (em inglês):
http://msdn.microsoft.com/library/en-us/wfp/setup/windows_file_protection_start_page.asp
Para obter mais informações sobre o Windows Installer e a WFP, visite o seguinte site da Microsoft (em inglês):
http://msdn.microsoft.com/library/en-us/msi/setup/windows_file_protection_on_windows_2000_and_windows_xp.asp

Propriedades

ID do artigo: 222193 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 12.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbinfo KB222193

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com