Описание на функцията за защита на файл на Windows

Как работи функцията "спи"

Функцията за преследване на спи предоставя защита за системните файлове чрез два механизма. Първият механизъм работи във фонов режим. Тази защита се задейства след като спи получи известие за промяна на справочен указател за файл в защитен указател. След като спи получи това уведомление, спи определя кой файл е променен. Ако файлът е защитен, спи търси файла в каталога, за да се определи дали новият файл е правилната версия. Ако файлът не е правилната версия, спи замества новия файл с файла от папката за кеширане (ако е в папката за кеширане) или от източника на инсталацията. СПИ търси правилния файл в следните местоположения, в следния ред:

1. Папката за кеширане (по подразбиране%SystemRoot%\System32\Dllcache).

2. Пътят до мрежата за инсталиране, ако системата е инсталирана чрез инсталиране на мрежата.

3. CD-ROM на Windows, ако системата е инсталирана от CD-ROM.

Ако "спи" намира файла в папката за кеширане или ако Инсталационният източник е автоматично разположен, преподобнието мълчаливо замества файла и регистрира събитие, подобно на следното в системния регистър:

Ако "спи" не може автоматично да намери файла в някое от тези местоположения, ще получите едно от следните съобщения, където file_name е името на файла, който е заменен и продукт е продуктът на Windows, който използвате:

• Файловият ProtectionFiles на Windows, необходими за правилната работа на Windows, е заменена от неразпознати версии. За да поддържа стабилността на системата, Windows трябва да възстанови оригиналните версии на тези файлове. Поставете компактдиска със свояпродукт сега.

• Файловият ProtectionFiles на Windows, необходими за правилната работа на Windows, е заменена от неразпознати версии. За да поддържа стабилността на системата, Windows трябва да възстанови оригиналните версии на тези файлове. Местоположението на мрежата, от която трябва да бъдат копирани тези файлове, не може да се използва \ \Server\дял. Свържете се с вашия системен администратор или поставете компактдиска спродукта сега.

Забележка Ако администраторът не е влязъл, спи не може да показва нито един от тези диалогови прозорци. В тази ситуация спи показва диалоговия прозорец, след като влезе администратор. СПИ може да изчака администратор да влезе в следните сценарии:

• Запис в системния регистър на SFCShowProgress липсва или е зададен на 1 и сървърът е настроен да се сканира при всяко стартиране на компютъра. В този случай, СПП изчаква за влизане в конзола. Следователно RPC сървърът не се стартира, докато не бъде извършено сканирането. През това време компютърът не е защитен.Забележка Все още можете да нанасяте мрежови устройства, да използвате системни файлове и да използвате терминални услуги, за да влезете в сървъра. СПИ не разглежда тези операции като конзола за влизане и продължава да чака за неопределено време.

• СПИ трябва да възстанови файл от мрежов дял. Тази ситуация може да възникне, ако файлът не присъства в папката DLLCache или ако файлът е повреден. В този случай спи може да няма правилните идентификационни данни, за да осъществите достъп до дяла от инсталационния носител, базиран на мрежата.

Вторият механизъм за защита, който е предоставен от функцията за СПП, е инструментът за проверка на системните файлове (SFC. exe). В края на инсталиращата програма на GUI, инструментът за проверка на системните файлове сканира всички защитени файлове, за да се гарантира, че те не се променят от програми, които са инсталирани с помощта на ненаблюдавана инсталация. Инструментът за проверка на системните файлове проверява също и всички каталожни файлове, които се използват за проследяване на правилните файлови версии. Ако някой от Каталожните файлове липсва или е повреден, спи преименува повредения каталожен файл и извлича кеширана версия на този файл от папката кеш. Ако кеширано копие на каталожния файл не е налично в папката за кеширане, функцията за СПП изисква подходящата мултимедия за извличане на ново копие на каталожния файл. Инструментът за проверка на системните файлове дава на администратора възможност да сканира всички защитени файлове, за да провери версиите му. Инструментът за проверка на системните файлове проверява и обновява повторно папката за кеширане (по подразбиране%SystemRoot%\System32\Dllcache). Ако папката Cache се повреди или е неизползваема, можете да използвате командата SFC/scanonce или командата SFC/scanboot в командна подкана, за да поправите съдържанието на папката. Стойността на SfcScan в следния ключ от системния регистър има три възможни настройки:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Настройките за стойността на SfcScan са:

• 0x0 = do not Scan защитени файлове след рестартиране. (Стойност по подразбиране)

• 0x1 = сканиране на всички защитени файлове след всеки рестарт (Задайте дали се изпълнява SFC/scanboot ).

• 0x2 = сканиране на всички защитени файлове един път след рестартиране (Задайте дали се изпълнява SFC/scanonce ).

По подразбиране всички системни файлове се кешират в папката за кеширане и размерът по подразбиране на кеша е 400 МБ. Поради съображения за дисково пространство, е възможно да не е желателно да се поддържат кеширани версии на всички системни файлове в папката за кеширане. За да промените размера на кеша, променете настройката на стойността за SFCQuota в следния ключ от системния регистър:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Програмата за прехрана на магазините проверява файловите версии в папката DLLCache на твърдия диск. Броят на кешираните файлове се определя от настройката на стойността за SFCQuota (размерът по подразбиране е 0xFFFFFFFF или 400 МБ). Администраторът може да направи настройката за стойността на SFCQuota като голяма или малка, ако е необходимо. Имайте предвид, че ако зададете стойността за SFCQuota на 0xFFFFFFFF, функцията за спи кешира всички защитени системни файлове (около 2 700 файла). Има два казуса, в които папката за кеширане може да не съдържа копия на всички защитени файлове, независимо от стойността на SFCQuota:

1. Няма достатъчно дисково пространство. Под Windows XP, спи спира да попълва папката DLLCache, когато е по-малко от (600 МБ + максимален размер на файла на страницата) на мястото на твърдия диск. Под Windows 2000, спи спира да попълва папката DLLCache, когато по-малко от 600 МБ място е налично на твърдия диск.

2. Инсталиране на мрежата. Когато Windows 2000 или Windows XP е инсталиран през мрежата, файловете в директорията на i386\lang не се попълват в папката DLLCache.

Освен това всички водачи във файла Driver. cab са защитени, но не са попълнени в папката DLLCache. СПИ може да възстанови тези файлове от файла Driver. cab директно, без да подканва потребителя за изходния носител. Обаче, изпълнението на командата SFC за разлагане попълва файловете от файла Driver. cab в папката DLLCache. Ако "спи" открива промяна на файла и засегнатият файл не е в папката за кеширане, "спи" разглежда версията на променения файл, който се използва в момента в тази операционна система. Ако файлът, който се използва в момента, е правилната версия, спи копира тази версия на файла в папката за кеширане. Ако файлът, който се използва в момента, не е правилната версия или файлът не е кеширан в папката за кеширане, СПП се опитва да намери източника на инсталацията. Ако спи не може да намери инсталационния източник, спи подкани администратор, за да вмъкнете подходящата мултимедия, за да заместите файла или кешираната версия на файла. Стойността за SFCDllCacheDir (REG_EXPAND_SZ) в следния ключ от системния регистър указва местоположението на папката DLLCache.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Данните за стойността по подразбиране за стойността на SFCDllCacheDir е %SystemRoot%\System32. Стойността за SFCDllCacheDir може да бъде локален път. По подразбиране стойността за SFCDllCacheDir не е в списъка в HKEY_LOCAL_MACHINE \software\microsoft\windows NT\CurrentVersion\Winlogon на системния регистър. За да промените местоположението на кеша, трябва да добавите тази стойност. Когато Windows се стартира, програмата за пре, спи синхронизира (копира) настройките за СПП от следния ключ в системния регистър

Защита на \Software\Policies\Microsoft\Windows NT\Windows HKEY_LOCAL_MACHINEдо следния ключ от системния регистър:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinlogonСледователно, ако SfcScan, SFCQuotaили SFCDllCacheDir стойности са налични в Подключа за защита на файл на HKEY_LOCAL_MACHINE \software\policies\microsoft\windows NT\Windows , стойностите имат предимство пред същите стойности в HKEY_LOCAL_MACHINE \software\microsoft\windows подключа.

За повече информация относно функцията за СПП щракнете върху следния номер на статия, за да видите статията в базата знания на Microsoft:

222473 Настройки на системния регистър за защитата на файлове в WindowsЗа повече информация за инструмента за проверка на системните файлове в Windows XP и Windows Server 2003 щракнете върху следния номер на статия, за да видите статията в базата знания на Microsoft:

310747 Описание на Windows XP и Windows Server 2003 за проверка на системните файлове (SFC. exe)За повече информация за инструмента за проверка на системните файлове в Windows 2000 щракнете върху следния номер на статия, за да видите статията в базата знания на Microsoft:

222471 Описание на програмата за проверка на системния файл на Windows 2000 (SFC. exe)

За повече информация относно функцията за СПП посетете следния уеб сайт на Microsoft:

http://msdn2.microsoft.com/en-us/library/aa382551.aspx За повече информация относно инсталиращата програма и програмата за преследване на Windows посетете следния уеб сайт на Microsoft:

http://msdn2.microsoft.com/en-us/library/aa372820.aspx