Resumen

En este artículo se describe la característica Protección de archivos de Windows (WFP).

Más información

Protección de archivos de Windows (WFP, Windows File Protection) evita que los programas reemplacen los archivos de sistema esenciales de Windows. Los programas no deben sobrescribir estos archivos porque el sistema operativo y otros programas los utilizan. Al proteger estos archivos, se evitan problemas con los programas y el sistema operativo.WFP protege los archivos de sistema esenciales que se instalan como parte de Windows (por ejemplo, archivos con la extensión .dll, .exe, .ocx y .sys, y algunas fuentes True Type). WFP utiliza las firmas de archivo y los archivos de catálogo generados con firma de código para comprobar si los archivos de sistema protegidos son las versiones de Microsoft correctas. Sólo se permite reemplazar archivos de sistema protegidos a través de los mecanismos siguientes:

  • Instalación de Service Packs de Windows con Update.exe

  • Hotfix instalados con Hotfix.exe o Update.exe

  • Actualizaciones del sistema operativo con Winnt32.exe

  • Windows Update

Si un programa utiliza un método diferente para reemplazar archivos protegidos, WFP restaura los archivos originales. Windows Installer sigue las normas de WFP al instalar los archivos de sistema esenciales y llama a WFP con una solicitud para instalar o reemplazar el archivo protegido en lugar de intentar instalar o reemplazar el propio archivo.

Cómo funciona la característica WFP

La característica WFP proporciona protección para los archivos de sistema mediante dos mecanismos. El primero se ejecuta en segundo plano. Esta protección se desencadena cuando WFP recibe una notificación de cambios en el directorio protegido de un archivo. Una vez que WFP recibe esta notificación, determina qué archivo se cambió. Si el archivo está protegido, WFP busca la firma de archivo en un archivo de catálogo para determinar si el nuevo archivo es la versión correcta. Si el archivo no es la versión correcta, WFP reemplaza el archivo nuevo con el archivo de la carpeta de caché (si está en ahí) o del origen de instalación. WFP busca el archivo correcto en las ubicaciones siguientes, en este orden:

  1. La carpeta de caché (de forma predeterminada, %systemroot%\system32\dllcache).

  2. La ruta de acceso de la instalación de red, si el sistema se instaló con la instalación de red.

  3. El CD-ROM de Windows, si el sistema se instaló desde un CD-ROM.

Si WFP encuentra el archivo en la carpeta de caché o si se encuentra automáticamente el origen de instalación, WFP reemplaza el archivo sin advertir de ello. Si WFP no puede encontrar automáticamente el archivo en alguna de estas ubicaciones, aparece alguno de los mensajes siguientes, donde nombreDeArchivo es el nombre del archivo que se reemplazó y producto es el producto de Windows que está utilizando:

  • Protección de archivos de WindowsLos archivos necesarios para que Windows se ejecute correctamente han sido reemplazados por versiones desconocidas. Windows debe restaurar las versiones originales de estos archivos para mantener la estabilidad del sistema. Inserte ahora el CD-ROM de su producto.

  • Protección de archivos de WindowsLos archivos necesarios para que Windows se ejecute correctamente han sido reemplazados por versiones desconocidas. Windows debe restaurar las versiones originales de estos archivos para mantener la estabilidad del sistema. La ubicación de red desde la que se deberían copiar estos archivos, \\servidor\recurso compartido, no está disponible. Póngase en contacto ahora con el administrador del sistema o inserte el CD-ROM de producto.

Nota: si ningún administrador ha iniciado sesión en este momento, WFP no puede mostrar ninguno de estos cuadros de diálogo. En esta situación, WFP muestra el cuadro de diálogo cuando un administrador inicie sesión. WFP puede esperar a que un administrador inicie sesión en los escenarios siguientes:

  • La entrada del Registro SFCShowProgress no está o está establecida en 1 y el servidor está establecido para examinar cada vez que el equipo se inicia. En esta situación, WFP espera el inicio de sesión de la consola. Por consiguiente, el servidor RPC no se inicia hasta que se realiza el examen. El equipo no tiene ninguna protección durante este tiempo.Nota: todavía puede asignar las unidades de red, utilice los archivos de sistema y utilice Servicios de Terminal Server para iniciar sesión en el servidor. WFP no considera estas operaciones como un inicio de sesión de la consola y sigue esperando indefinidamente.

  • WFP tiene que restaurar un archivo de un recurso compartido de red. Esta situación puede ocurrir si el archivo no está presente en la carpeta Dllcache o si está dañado. En esta situación, WFP puede no tener las credenciales correctas para tener acceso al recurso compartido del medio de instalación basado en red.

El segundo mecanismo de protección que proporciona la característica WFP es la herramienta Comprobador de archivos del sistema (Sfc.exe). Al final de la instalación de modo de GUI, la herramienta Comprobador de archivos del sistema comprueba todos los archivos protegidos para asegurarse de que no han sido modificados por los programas que se instalaron en una instalación desatendida. La herramienta Comprobador de archivos del sistema también comprueba todos los archivos de catálogo que se utilizan para realizar el seguimiento de las versiones del archivo correctas. Si alguno de los archivos de catálogo falta o está dañado, WFP cambia el nombre del archivo de catálogo afectado y recupera una versión de ese archivo de la carpeta de caché. Si no hay disponible ninguna copia almacenada en la carpeta de caché del archivo de catálogo, la característica WFP solicita los medios adecuados para recuperar una nueva copia del archivo de catálogo.La herramienta Comprobador de archivos del sistema permite a los administradores examinar todos los archivos protegidos para comprobar sus versiones. La herramienta Comprobador de archivos del sistema también comprueba y rellena la carpeta de caché (de forma predeterminada, %SystemRoot%\System32\Dllcache). Si se daña la carpeta de caché o queda inutilizable, puede utilizar los comandos sfc /scanonce o sfc /scanboot en un símbolo del sistema para reparar el contenido de la carpeta.El valor SfcScan en la clave del Registro siguiente tiene tres posibles configuraciones:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon La configuración del valor SfcScan es:

  • 0x0 = no examinar los archivos protegidos después de reiniciar. (Valor predeterminado)

  • 0x1 = examinar todos los archivos protegidos después de cada reinicio (establecer si se ejecuta sfc /scanboot).

  • 0x2 = examinar todos los archivos protegidos una vez después de reiniciar (establecer si se ejecuta sfc /scanonce).

De forma predeterminada, todos los archivos de sistema se almacenan en memoria caché en la carpeta de caché, y el tamaño predeterminado de la caché es 400 MB. Debido a consideraciones de espacio en disco, puede no ser deseable mantener versiones almacenadas en la carpeta de caché de todos los archivos de sistema. Para cambiar el tamaño de la caché, cambie la configuración del valor SFCQuota en la clave del Registro siguiente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon WFP almacena las versiones del archivo comprobadas en la carpeta Dllcache del disco duro. La configuración del valor SFCQuota (el tamaño predeterminado es 0xFFFFFFFF o 400 MB) determina el número de archivos almacenados en memoria caché. El administrador puede hacer que la configuración del valor SFCQuota sea tan grande o pequeña como se necesite. Observe que si establece el valor SFCQuota en 0xFFFFFFFF, la característica WFP almacena en caché todos los archivos de sistema protegidos (aproximadamente 2.700).Hay dos casos en los que la carpeta de caché puede no contener copias de todos los archivos protegidos, independientemente del valor de SFCQuota:

  1. No hay suficiente espacio en disco. En Windows XP, WFP deja de rellenar la carpeta Dllcache cuando en el disco duro hay menos espacio de (600 MB + el tamaño máximo del archivo de paginación) disponibles. En Windows 2000, WFP deja de rellenar la carpeta Dllcache cuando en el disco duro hay menos espacio de 600 MB disponibles.

  2. Instalación de red. Cuando Windows 2000 o Windows XP se instala a través de la red, los archivos del directorio i386\lang no se rellenan en la carpeta Dllcache.

Además, todos los controladores del archivo Driver.cab se protegen, pero no se rellenan en la carpeta Dllcache. WFP puede restaurar directamente estos archivos desde el archivo Driver.cab sin preguntar al usuario los medios de origen. Sin embargo, al ejecutar el comando sfc /scannow se rellenan los archivos desde el archivo Driver.cab en la carpeta Dllcache.Si WFP detecta un cambio del archivo y el archivo afectado no está en la carpeta de caché, examina la versión del archivo cambiado que el sistema operativo utiliza. Si el archivo que se usa en ese momento es la versión correcta, WFP copia esa versión del archivo a la carpeta de caché. Si el archivo que se usa en ese momento no es la versión correcta o si no se almacena en memoria caché en la carpeta de caché, WFP intenta buscar el origen de instalación. Si WFP no puede encontrar el origen de instalación, solicita a un administrador que inserte los medios adecuados para reemplazar el archivo o la versión del archivo almacenada en memoria caché.El valor SFCDllCacheDir (REG_EXPAND_SZ) de la clave del Registro siguiente especifica la ubicación de la carpeta Dllcache.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Los datos predeterminados del valor de SFCDllCacheDir son %SystemRoot%\System32. El valor SFCDllCacheDir puede ser una ruta de acceso local. De forma predeterminada, el valor SFCDllCacheDir no se muestra en la clave del Registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Para modificar la ubicación de la caché, debe agregar este valor.Cuando se inicia Windows, WFP sincroniza (copia) la opción WFP de esta clave del Registro

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection a la clave del Registro

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Por consiguiente, si los valores SfcScan, SFCQuota o SFCDllCacheDir están presentes en la subclave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection, tienen prioridad sobre los mismos valores de la subclave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Para obtener información adicional acerca de la característica WFP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

222473 Valores del Registro para Protección de archivos de WindowsPara obtener más información acerca de la herramienta Comprobador de archivos del sistema en Windows XP y Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

310747 Descripción del Comprobador de archivos del sistema (Sfc.exe) de Windows XP y Windows Server 2003Para obtener más información acerca de la herramienta Comprobador de archivos del sistema en Windows XP y Windows Server 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

222471 Descripción de la herramienta Comprobador de archivos de sistema de Windows 2000 (Sfc.exe)

Para obtener más información acerca de la característica WFP, visite el siguiente sitio Web de Microsoft:

http://msdn2.microsoft.com/en-us/library/aa382551.aspx Para obtener más información acerca de Windows Installer y WFP, visite el sitio Web de Microsoft siguiente:

http://msdn2.microsoft.com/en-us/library/aa372820.aspx

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.