وصف لميزه "حماية ملفات Windows"


الملخص


تصف هذه المقالة ميزه "حماية ملفات Windows" (WFP).

مزيد من المعلومات


يمنع حماية ملفات windows (WFP) البرامج من استبدال ملفات نظام Windows الهامه. لا يجب علي البرامج الكتابة فوق هذه الملفات لأنها تستخدم نظام التشغيل والبرامج الأخرى. يؤدي حماية هذه الملفات إلى منع حدوث مشاكل تتعلق بالبرامج ونظام التشغيل. يقوم WFP بحماية ملفات النظام الهامه التي تم تثبيتها كجزء من Windows (علي سبيل المثال ، الملفات ذات الملحق .dll و .exe و .ocx و. يستخدم WFP التواقيع الخاصة بالملفات وملفات الكتالوج التي يتم إنشاؤها بواسطة توقيع التعليمات البرمجية للتحقق من ان ملفات النظام المحمية هي إصدارات Microsoft الصحيحة. يتم دعم استبدال ملفات النظام المحمية فقط من خلال أليات التالية:
  • تثبيت Windows Service Pack باستخدام update.exe
  • الإصلاحات العاجلة المثبتة باستخدام التحديث العاجل .exe أو update.exe
  • ترقيات نظام التشغيل باستخدام الملف Winnt32
  • Windows Update
إذا كان البرنامج يستخدم طريقه مختلفه لاستبدال الملفات المحمية ، سيقوم WFP باستعادة الملفات الاصليه. يلتزم Windows Installer ب WFP عند تثبيت ملفات النظام الهامه والمكالمات باستخدام طلب لتثبيت الملف المحمي أو استبداله بدلا من محاولة تثبيت ملف محمي أو استبداله.

كيفيه عمل ميزه WFP

توفر ميزه WFP حماية ملفات النظام باستخدام أليتين. يتم تشغيل اليه الاولي في الخلفية. يتم تشغيل هذه الحماية بعد ان يتلقى WFP اعلاما بتغيير الدليل لملف في دليل محمي. بعد ان يتلقى WFP هذا الاعلام ، يحدد WFP الملف الذي تم تغييره. إذا كان الملف محميا ، فيبحث WFP عن توقيع الملف في ملف كتالوج لتحديد ما إذا كان الملف الجديد هو الإصدار الصحيح. إذا لم يكن الملف هو الإصدار الصحيح ، فيستبدل WFP الملف الجديد بالملف من مجلد ذاكره التخزين المؤقت (إذا كان في مجلد ذاكره التخزين المؤقت) أو من مصدر التثبيت. يبحث WFP عن الملف الصحيح في المواقع التالية ، بالترتيب التالي:
  1. مجلد ذاكره التخزين المؤقت (افتراضيا ،%systemroot%\system32\dllcache).
  2. مسار تثبيت الشبكة ، إذا تم تثبيت النظام باستخدام تثبيت الشبكة.
  3. القرص المضغوط الخاص ب Windows ، إذا تم تثبيت النظام من قرص مضغوط.
إذا عثر WFP علي الملف في مجلد ذاكره التخزين المؤقت أو إذا كان مصدر التثبيت موجودا بشكل تلقائي ، سيقوم WFP بصمت باستبدال الملف وتسجيل الحدث الذي يشبه ما يلي في سجل النظام:
معرف الحدث 64001: وصف حماية الملفات في Windows: تمت محاولة استبدال الملف علي c:\winnt\system32\ ملف النظام المحمي file_name. تمت استعاده هذا الملف إلى الإصدار الأصلي للمحافظة علي استقرار النظام. إصدار الملف الخاص بملف النظام هو x:x.x.
إذا تعذر علي WFP العثور علي الملف تلقائيا في اي من هذه المواقع ، ستتلقى أحدي الرسائل التالية ، حيث يكون file_name اسم الملف الذي تم استبداله والمنتج هو منتج Windows الذي تستخدمه:
  • تم استبدال بروتيكتيونفيليس ملفات windows المطلوبة لنظام التشغيل Windows بشكل صحيح بالإصدارات غير المعروفة. للمحافظة علي استقرار النظام ، يجب علي Windows استعاده الإصدارات الاصليه من هذه الملفات. قم بادراج القرص المضغوطللمنتج الخاص بك الآن.
  • تم استبدال بروتيكتيونفيليس ملفات windows المطلوبة لنظام التشغيل Windows بشكل صحيح بالإصدارات غير المعروفة. للمحافظة علي استقرار النظام ، يجب علي Windows استعاده الإصدارات الاصليه من هذه الملفات. موقع الشبكة الذي يجب نسخ هذه الملفات منه ، وهو \ \server\share، غير متوفر. اتصل بمسؤول النظام أو قم بادراج قرص مضغوطللمنتج الآن.
ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. إذا لم يكن المسؤول قد قام بتسجيل الدخول ، فلا يمكن ل WFP عرض اي من مربعات الحوار التالية. في هذه الحالة ، يعرض WFP مربع الحوار بعد ان يقوم المسؤول بتسجيل الدخول. يمكن ل WFP الانتظار ريثما يقوم المسؤول بتسجيل الدخول في السيناريوهات التالية:
  • إدخال السجل سفكشووبروجريس مفقود أو تم تعيينه إلى 1 ، وتم تعيين الخادم لمسحه في كل مره يتم فيها تشغيل الكمبيوتر. في هذه الحالة ، ينتظر WFP إلى تسجيل الدخول إلى وحده التحكم. ولذلك ، لا يبدا خادم RPC حتى يتم تنفيذ الفحص. لا يحتوي الكمبيوتر علي حماية في الوقت الحالي.ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. ما زال بإمكانك تعيين محركات أقراص الشبكة واستخدام ملفات النظام واستخدام الخدمات الطرفية لتسجيل الدخول إلى الخادم. لا تاخذ حماية هذه العمليات كتسجيل دخول إلى وحده التحكم ، ستحتفظ بالانتظار بشكل غير محدود.
  • يجب علي WFP استعاده ملف من مشاركه عبر الشبكة. قد يحدث هذا الموقف إذا لم يكن الملف موجودا في المجلد Dllcache أو إذا كان الملف تالفا. في هذه الحالة ، قد لا يتوفر لدي WFP بيانات الاعتماد الصحيحة للوصول إلى المشاركة من وسائط التثبيت المستندة إلى الشبكة.
اليه الحماية الثانية التي يتم توفيرها بواسطة ميزه WFP هي أداه "مدقق ملفات النظام" (Sfc.exe). في نهاية الاعداد الخاص ب GUI ، تقوم أداه "مدقق ملفات النظام" بفحص كل الملفات المحمية للتاكد من انه لم يتم تعديلها بواسطة البرامج التي تم تثبيتها باستخدام تثبيت غير مراقب. تقوم أداه "مدقق ملفات النظام" أيضا بالتحقق من كل ملفات الكتالوج التي يتم استخدامها لتعقب إصدارات الملفات الصحيحة. إذا لم تكن اي من ملفات الكتالوجات مفقوده أو معطوبة ، سيقوم WFP باعاده تسميه ملف الكتالوج المتاثر ويسترد إصدارا مخزنا مؤقتا لهذا الملف من مجلد ذاكره التخزين المؤقت. إذا لم تكن النسخة المخزنة مؤقتا من ملف الكتالوج متوفرة في مجلد ذاكره التخزين المؤقت ، ستطلب ميزه WFP توفر الوسائط المناسبة لاسترداد نسخه جديده من ملف الكتالوج. تتيح أداه "مدقق ملفات النظام" للمسؤول امكانيه فحص كل الملفات المحمية للتحقق من إصداراتها. تقوم أداه "مدقق ملفات النظام" أيضا بالتحقق من مجلد ذاكره التخزين المؤقتة وريبوبولاتيسه (بشكل افتراضي ،%SystemRoot%\System32\Dllcache). إذا أصبح مجلد ذاكره التخزين المؤقت معطوبا أو غير قابل للاستخدام ، يمكنك استخدام اما الأمر sfc/scanonce أو الأمر sfc/scanboot في موجه الأوامر لإصلاح محتويات المجلد. تتضمن القيمة سفكسكان في مفتاح التسجيل التالي ثلاثه إعدادات ممكنة:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
إعدادات قيمه سفكسكان هي:
  • 0x0 = عدم فحص الملفات المحمية بعد أعاده التشغيل. (القيمة الافتراضية)
  • 0x1 = مسح كل الملفات المحمية بعد كل أعاده تشغيل (تعيين إذا كانت القيمة الاوليه في sfc/scanboot قيد التشغيل).
  • 0x2 = مسح كل الملفات المحمية مره واحده بعد sfc /scanonce أعاده التشغيل
بشكل افتراضي ، يتم تخزين كل ملفات النظام مؤقتا في مجلد ذاكره التخزين المؤقت ، والحجم الافتراضي لذاكره التخزين المؤقت هو 400 ميغابايت. بسبب اعتبارات مساحة القرص ، قد لا يكون من المرغوب فيه الاحتفاظ بالإصدارات المخزنة مؤقتا من كل ملفات النظام في مجلد ذاكره التخزين المؤقت. لتغيير حجم ذاكره التخزين المؤقت ، غير اعداد القيمة سفكقوتا في مفتاح التسجيل التالي:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
تحققت متاجر WFP إصدارات الملفات في المجلد Dllcache علي القرص الثابت. يتم تحديد عدد الملفات المخزنة مؤقتا بواسطة اعداد القيمة سفكقوتا (الحجم الافتراضي هو 0xFFFFFFFF أو 400 ميغا بايت). يمكن للمسؤول جعل الاعداد الخاص بقيمه سفكقوتا كبيره أو صغيره حسب الحاجة. لاحظ انه إذا قمت بتعيين القيمة سفكقوتا إلى 0xFFFFFFFF، ستقوم ميزه WFP بتخزين كل ملفات النظام المحمية (ملفات 2,700 تقريبا). هناك حالتان لا يجوز فيهما ان يتضمن مجلد ذاكره التخزين المؤقت نسخا من كل الملفات المحمية ، بغض النظر عن قيمه سفكقوتا:
  1. لا توجد مساحة كافيه علي القرص. ضمن نظام التشغيل Windows XP ، يتوقف WFP عن ملء المجلد Dllcache عندما يكون اقل من (600 ميجا بايت لملف الصفحة) من المساحة المتوفرة علي القرص الثابت. ضمن Windows 2000 ، يتوقف WFP عن ملء المجلد Dllcache عند توفر مساحة اقل من 600 غيغابايت علي القرص الثابت.
  2. تثبيت الشبكة. عند تثبيت Windows 2000 أو Windows XP عبر الشبكة ، لا يتم ملء الملفات الموجودة في الدليل i386\lang في المجلد Dllcache.
بالاضافه إلى ذلك ، تكون كافة برامج التشغيل الموجودة في ملف driver.cab محمية ، ولكنها لا يتم نشرها في مجلد Dllcache. بإمكان WFP استعاده هذه الملفات من الملف driver.cab مباشره دون مطالبه المستخدم بوسائط المصدر. ومع ذلك ، يؤدي تشغيل الأمر sfc/scannow إلى نشر الملفات من الملف driver.cab إلى المجلد Dllcache. إذا كشف WFP عن تغيير في الملف ولم يكن الملف المتاثر موجودا في مجلد ذاكره التخزين المؤقت ، سيفحص WFP إصدار الملف الذي تم تغييره الذي يستخدمه نظام التشغيل حاليا. إذا كان الملف الذي يتم استخدامه حاليا هو الإصدار الصحيح ، يقوم WFP بنسخ هذا الإصدار من الملف إلى مجلد ذاكره التخزين المؤقت. إذا لم يكن الملف الذي يتم استخدامه حاليا هو الإصدار الصحيح ، أو إذا لم يكن الملف مخزنا مؤقتا في مجلد ذاكره التخزين المؤقت ، سيحاول WFP تحديد موقع مصدر التثبيت. إذا تعذر علي WFP العثور علي مصدر التثبيت ، سيطالبك WFP بادراج الوسائط المناسبة لاستبدال الملف أو إصدار الملف المخزن مؤقتا. تحدد القيمة سفكدلكاتشيدير (REG_EXPAND_SZ) في مفتاح التسجيل التالي موقع المجلد Dllcache.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
يتم %SystemRoot%\System32بيانات القيمة الافتراضية لقيمه سفكدلكاتشيدير . يمكن ان تكون القيمة سفكدلكاتشيدير مسارا محليا. بشكل افتراضي ، لا يتم ادراج القيمة سفكدلكاتشيدير في مفتاح التسجيل HKEY_LOCAL_MACHINE \software\microsoft\windows nt\currentversion\winlogon . لتعديل موقع ذاكره التخزين المؤقت ، يجب أضافه هذه القيمة. عند بدء تشغيل Windows ، يقوم WFP بمزامنة إعدادات WFP من مفتاح التسجيل التالي
HKEY_LOCAL_MACHINE حماية ملف \Software\Policies\Microsoft\Windows NT\Windows
إلى مفتاح التسجيل التالي:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
ولذلك ، إذا كانت قيم سفكسكانأو سفكقوتاأو سفكدلكاتشيدير موجودة في المفتاح الفرعي حماية الملفات الHKEY_LOCAL_MACHINE \software\policies\microsoft\windows nt\windows ، فان القيم تاخذ الاسبقيه علي القيم نفسها في المفتاح الفرعي HKEY_LOCAL_MACHINE \software\microsoft\windows NT\CurrentVersion\Winlogon .
لمزيد من المعلومات حول ميزه WFP ، انقر فوق رقم المقالة التالية لعرض المقالة في قاعده معارف Microsoft:
222473 إعدادات التسجيل لحماية ملفات Windows
لمزيد من المعلومات حول أداه "مدقق ملفات النظام" في Windows XP و Windows Server 2003 ، انقر فوق رقم المقالة التالية لعرض المقالة في قاعده معارف Microsoft:
310747 وصف لملف نظام التشغيل Windows XP و Windows Server 2003 (Sfc.exe)
للحصول علي مزيد من المعلومات حول أداه "مدقق ملفات النظام" في Windows 2000 ، انقر فوق رقم المقالة التالية لعرض المقالة في قاعده معارف Microsoft:
222471 وصف لمدقق ملفات النظام ل Windows 2000 (Sfc.exe)
لمزيد من المعلومات حول ميزه WFP ، قم بزيارة موقع Microsoft التالي علي الويب: لمزيد من المعلومات حول Windows Installer و WFP ، قم بزيارة موقع Microsoft التالي علي الويب: