A Windows fájlvédelem (WFP) szolgáltatás ismertetése

Összefoglaló

A cikk a Windows fájlvédelem (WFP) szolgáltatást ismerteti.

További információ

A WFP szolgáltatás meggátolja, hogy egyes programok lecseréljék a kritikus fontosságú rendszerfájlokat. E fájlokat semmilyen külső programnak nem szabad felülírnia, mivel azokat az operációs rendszer és más programok használják. Ezen fájlok védelme az operációs rendszerrel és egyéb programokkal kapcsolatos problémák megelőzésére szolgál.

A WFP szolgáltatás védelmet biztosít a Windows részeként telepített kritikus fontosságú rendszerfájlok (például a .dll, .exe, .ocx és .sys kiterjesztésű fájlok és egyes TrueType betűkészletek) számára. A Windows fájlvédelem a kódaláírással létrehozott fájlaláírásokat és katalógusfájlokat használja annak ellenőrzésére, hogy a védett rendszerfájlok megfelelő Microsoft verziójúak-e. A védett rendszerfájlok cseréje csak a következő eljárásokkal történhet:
  • A Windows Service Pack szervizcsomag telepítése az Update.exe segédprogrammal
  • A Hotfix.exe vagy az Update.exe segédprogrammal telepített gyorsjavítások
  • Az operációs rendszer Winnt32.exe használatával végzett frissítései
  • Windows Update szolgáltatás
Ha egy program más módszerrel kísérli meg a védett rendszerfájlok cseréjét, a Windows fájlvédelem visszaállítja az eredeti fájlokat. A kritikus fontosságú rendszerfájlok telepítésekor a Windows Installer a Windows fájlvédelmi szolgáltatását hívja a védett fájlok telepítéséhez vagy cseréjéhez ahelyett, hogy maga végezné el azt.

A Windows fájlvédelmi szolgáltatásának működése

A Windows fájlvédelmi szolgáltatása a rendszerfájlok védelmét kétféleképpen tudja biztosítani. Az első eljárás a háttérben fut. Ezt a védelmi mechanizmust az váltja ki, ha a Windows fájlvédelem könyvtármódosítási értesítést kap egy védett könyvtárbeli fájlról. Az értesítés beérkezésekor a Windows fájlvédelem megállapítja, hogy melyik fájlban történt változás. Ha ez a fájl védett, akkor a Windows fájlvédelem kikeresi egy katalógusfájlból a fájlaláírást, hogy megállapítsa, az új fájl megfelelő verziójú-e. Nem megfelelő verziójú fájl esetén a Windows fájlvédelem az új fájlt kicseréli a gyorsítótárban lévővel (ha van gyorsítótár) vagy a telepítési helyről származóval. A Windows fájlvédelem a következő helyeken és sorrend szerint keresi a megfelelő fájlt:
  1. Gyorsítótármappa (alapértelmezés szerint %systemroot%\system32\dllcache)
  2. A hálózati telepítés elérési útja, amennyiben a rendszer hálózatról lett telepítve
  3. A Windows CD-ROM, ha a rendszer telepítése CD-ROM-ról történt
Ha a Windows fájlvédelem megtalálja a fájlt a gyorsítótármappában, vagy ha a rendszer automatikusan beazonosítja a telepítés forrását, akkor a WFP automatikusan végrehajtja a fájl cseréjét. Ha a Windows fájlvédelem ezen helyek egyikén sem találja meg automatikusan a fájlt, a következő üzenetek valamelyikét küldi, ahol a fájlnév a lecserélt fájl neve és a termék a használt Windows-termék:
  • Windows fájlvédelem szolgáltatás
    A Windows megfelelő futásához nélkülözhetetlen fájlok felül lettek írva ismeretlen verziójú fájlokkal. A rendszer stabilitásának fenntartásához a Windowsnak vissza kell állítania a fájlok eredeti verzióját. Helyezze a meghajtóba a következőt: termék CD-ROM.
  • Windows fájlvédelem szolgáltatás
    A Windows megfelelő futásához nélkülözhetetlen fájlok felül lettek írva ismeretlen verziójú fájlokkal. A rendszer stabilitásának fenntartásához a Windowsnak vissza kell állítania a fájlok eredeti verzióját. A hálózati hely, ahonnan a fájlokat másolni kellene (\\kiszolgáló\megosztás) nem érhető el. Forduljon a rendszergazdához, vagy helyezze a meghajtóba a következőt: termék CD-ROM.
Megjegyzés: Ha nem rendszergazdaként van bejelentkezve, a Windows fájlvédelem az említett párbeszédpanelek egyikét sem tudja megjeleníteni. Ebben az esetben a Windows fájlvédelem a rendszergazda bejelentkezését követően fogja megjeleníteni a párbeszédpanelt. A Windows fájlvédelem az alábbi esetekben vár a rendszergazda bejelentkezésére:
  • Az SFCShowProgress bejegyzés hiányzik vagy 1 értékre van állítva, a kiszolgáló pedig oly módon van konfigurálva, hogy a számítógép minden indításakor ellenőrzést hajtson végre. Mivel ebben az esetben a Windows fájlvédelem konzolbejelentkezésre vár, az RPC-kiszolgáló mindaddig nem indul el, amíg az ellenőrzés be nem fejeződik. Ez idő alatt a számítógép védtelen.

    Megjegyzés: A hálózati meghajtók csatlakoztatása, a rendszerfájlok használata és a kiszolgálóra terminálszolgáltatásokkal történő bejelentkezés azonban továbbra is lehetséges. E műveleteket a Windows fájlvédelem nem tekinti konzolbejelentkezésnek, ezért meghatározatlan ideig várakozik.
  • A Windows fájlvédelem szolgáltatásnak vissza kell állítania egy fájlt egy hálózati megosztásról. Ez a helyzet akkor fordulhat elő, ha a fájl nem található meg a Dllcache mappában, vagy sérült. Ilyen esetben előfordulhat, hogy a Windows fájlvédelem nem tud hozzáférni a megosztáshoz a hálózat alapú telepítési adathordozóról, mert nem rendelkezik az ahhoz szükséges hitelesítő adatokkal.
A Windows fájlvédelem által biztosított másik védelmi mechanizmus a rendszerfájl-ellenőrző (Sfc.exe) eszköz. A grafikus üzemmódú telepítés végén a rendszerfájl-ellenőrző eszköz megvizsgálja az összes védett fájlt, hogy egy felügyelet nélküli telepítésnél telepített program nem módosította-e valamelyiküket. A rendszerfájl-ellenőrző eszköz ezenkívül ellenőrzi a megfelelő fájlverzió nyomon követésére használt összes katalógusfájlt is. Ha valamelyik katalógusfájl hiányzik vagy sérült, a Windows fájlvédelem átnevezi az illető katalógusfájlt és a gyorsítótármappából kikeresi a gyorsítótárazott verziót. Ha a gyorsítótármappában nem található meg a katalógusfájl másolata, a Windows fájlvédelem a megfelelő adathordozótól kéri a katalógusfájl új példányának beolvasását.

A rendszerfájl-ellenőrző eszköz használatával a rendszergazdák megvizsgálhatják az összes védett fájl verziójának helyességét. A rendszerfájl-ellenőrző eszköz ezenkívül megvizsgálja és újra feltölti a gyorsítótármappát (alapértelmezés szerint ez a %SystemRoot%\System32\Dllcache mappa). Ha a gyorsítótármappa megsérül vagy használhatatlanná válik, a parancssorban használhatja az sfc /scanonce vagy az sfc /scanboot parancsokat a mappa tartalmának kijavításához.

Az SfcScan értéknek a következő beállításkulcsban (korábbi nevén rendszerleíró kulcs) háromféle beállítása lehet:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Az SfcScan érték beállításai a következők lehetnek:
  • 0x0 = A védett fájlok ellenőrzésének kihagyása az újraindítás után (Alapértelmezett érték)
  • 0x1 = Az összes védett fájl ellenőrzése minden egyes újraindítás után (az sfc /scanboot futtatása esetén)
  • 0x2 = Az összes védett fájl egyszeri ellenőrzése az újraindítás után (az sfc /scanonce futtatása esetén)
Alapértelmezés szerint minden rendszerfájl gyorsítótárazva van a gyorsítótármappában, és a gyorsítótár méretének alapértéke 400 MB. Lemezterülettel kapcsolatos megfontolások miatt nem biztos, hogy célszerű az összes rendszerfájl gyorsítótárazott verziójának a gyorsítótármappában való tárolása. A gyorsítótár méretének módosításához a következő beállításkulcs SFCQuota értékének beállítását kell módosítani:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
A Windows fájlvédelem a merevlemezen található Dllcache mappában tárolja az ellenőrzött fájlverziókat. A gyorsítótárazott fájlok számát az SFCQuota érték beállítása határozza meg (az alapértelmezett méret 0xFFFFFFFF vagy 400 MB). A rendszergazda az SFCQuota értéket igény szerint alacsony vagy magas értékűre állíthatja. Ne feledje, hogy ha az SFCQuota értékét 0xFFFFFFFF méretre állítja be, akkor a Windows fájlvédelem az összes védett fájlt gyorsítótárazza (ez körülbelül 2700 fájlt jelent).

A következő két esetben megtörténhet, hogy az SFCQuota értékének beállításától függetlenül a gyorsítótármappa nem tartalmazza az összes védett fájl másolatát:
  1. A lemezterület nem elegendő.

    A Windows XP rendszernél a Windows fájlvédelem nem folytatja a Dllcache mappa feltöltését, ha a merevlemezen rendelkezésre álló lemezterület kevesebb mint 600 MB + a lapozófájl maximális mérete.
    Windows 2000 rendszer esetén a Windows fájlvédelem nem folytatja a Dllcache mappa feltöltését, ha a merevlemezen rendelkezésre álló lemezterület kevesebb, mint 600 MB.
  2. Hálózati telepítés

    Ha a Windows 2000 vagy a Windows XP rendszert hálózatról telepíti, az i386\lang könyvtárban lévő fájlok nem kerülnek be a Dllcache mappába.
Hasonlóképpen, bár a Driver.cab fájlban lévő összes illesztőprogram védett, a program nem tölti fel azokat a Dllcache mappába. A Windows fájlvédelem ezeket a fájlokat közvetlenül a Driver.cab fájlból vissza tudja állítani, s nem kell kérnie a felhasználótól a forrás adathordozójának behelyezését. Az sfc /scannow parancs futtatása esetén ugyanakkor a program feltölti a fájlokat a Driver.cab fájlból a Dllcache mappába.

Ha a Windows fájlvédelem olyan fájl módosítását észleli, amely nem található a gyorsítótármappában, megvizsgálja a módosított fájlnak azt a verzióját, amelyet az operációs rendszer aktuálisan használ. Ha a használatban lévő fájl megfelelő verziójú, a Windows fájlvédelem bemásolja azt a fájlverziót a gyorsítótármappába. Ha a használatban lévő fájl nem a megfelelő verziójú, vagy ha a fájl nincs gyorsítótárazva a gyorsítótármappában, a Windows fájlvédelem megpróbálja megtalálni a telepítési forrást. Ha a Windows fájlvédelem nem találja a telepítési forrást, akkor kéri a rendszergazdát, hogy helyezze a megfelelő adathordozót a meghajtóba a fájl vagy a gyorsítótárazott fájlverzió cseréjéhez.

A Dllcache mappa helyét a következő beállításkulcs SFCDllCacheDir (REG_EXPAND_SZ) értéke határozza meg.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Az SFCDllCacheDir érték alapértéke a következő: %SystemRoot%\System32. Az SFCDllCacheDir értéke helyi elérési út lehet. Az SFCDllCacheDir értéke alapértelmezés szerint nem szerepel a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon beállításkulcsban. A gyorsítótár helyének módosításához hozzá kell adnia ezt az értéket.

A Windows indításakor a Windows fájlvédelem az alábbi beállításkulcsból:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
az összes WFP-beállítást a következő beállításkulcsba szinkronizálja (másolja):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Ezért ha az SfcScan, SFCQuota vagy az SFCDllCacheDir érték megtalálható az HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection alkulcsban, az értékek elsőbbséget élveznek az HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon alkulcs azonos értékeivel szemben.
A Windows fájlvédelem szolgáltatásról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

222473 A beállításjegyzék beállításai a Windows fájlvédelem számára (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A Windows XP és a Windows Server 2003 rendszerfájl-ellenőrző eszközéről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

310747 A Windows XP és a Windows Server 2003 rendszer rendszerfájl-ellenőrző segédprogramjának (Sfc.exe) ismertetése

A Windows 2000 rendszerfájl-ellenőrző eszközéről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

222471 A Windows 2000 rendszer rendszerfájl-ellenőrző segédprogramjának (Sfc.exe) ismertetése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A Windows fájlvédelem szolgáltatásról a Microsoft következő webhelyén talál bővebb felvilágosítást: A Windows Installer segédprogramról és a Windows fájlvédelem szolgáltatásról a Microsoft következő webhelyén olvashat bővebben:
Tulajdonságok

Cikkazonosító: 222193 - Utolsó ellenőrzés: 2008. jan. 13. - Verziószám: 1

Visszajelzés