Penjelasan tentang fitur perlindungan berkas Windows

Dukungan untuk Windows XP telah berakhir

Microsoft mengakhiri dukungan untuk Windows XP pada 8 April 2014. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

Dukungan untuk Windows Server 2003 berakhir pada 14 Juli 2015

Microsoft mengakhiri dukungan untuk Windows Server 2003 pada 14 Juli 2015. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 222193
Ringkasan
Artikel ini menjelaskan tentang fitur perlindungan berkas Windows (WFP).
Informasi lebih lanjut
Perlindungan berkas Windows (WFP) mencegah program menggantikan berkas sistem Windows yang penting. Program tidak harus menimpa berkas ini karena digunakan oleh sistem operasi dan program lainnya. Melindungi berkas ini mencegah masalah dengan program dan sistem operasi.

WFP melindungi berkas sistem yang penting yang diinstal sebagai bagian dari Windows (misalnya, berkas dengan ekstensi .exe, .dll, .ocx dan .sys dan beberapa jenis benar FON). WFP menggunakan berkas tanda tangan dan berkas Katalog yang dihasilkan oleh kode masuk untuk memverifikasi apakah berkas sistem terlindungi versi Microsoft yang benar. Penggantian berkas sistem terlindungi didukung hanya melalui mekanisme berikut ini:
  • UsingUpdate.exe penginstalan Service Pack Windows
  • Perbaikan terbaru yang diinstal menggunakan Hotfix.exe orUpdate.exe
  • Peningkatan sistem operasi yang menggunakan Winnt32.exe
  • Pemutakhiran Windows
Jika program menggunakan metode yang berbeda untuk mengganti berkas yang dilindungi, WFP memulihkan berkas asli. Windows Installer mematuhi WFP saat menginstal berkas sistem penting dan panggilan WFP dengan permintaan untuk menginstal atau mengganti berkas yang dilindungi alih-alih mencoba untuk menginstal atau mengganti berkas yang diproteksi itu sendiri.

Cara kerja fitur WFP

Fitur WFP menyediakan perlindungan untuk berkas sistem dengan menggunakan dua mekanisme. Mekanisme pertama berjalan di latar belakang. Perlindungan ini dipicu setelah WFP menerima pemberitahuan perubahan direktori untuk berkas dalam direktori dilindungi. Setelah WFP menerima pemberitahuan ini, WFP menentukan berkas yang telah diubah. Jika file yang dilindungi, WFP Telisik berkas tanda tangan dalam berkas Katalog untuk menentukan apakah berkas baru versi yang benar. Jika berkas bukan versi yang benar, WFP menggantikan berkas baru dengan berkas dari map cache (jika di map cache) atau sumber penginstalan. WFP Telisik berkas yang benar di lokasi berikut, dalam urutan menurun ini:
  1. Map cache (oleh default,%systemroot%\system32\dllcache).
  2. Instal garis jatuh berseri jaringan, jika sistem diinstal usingnetwork instal.
  3. CD-ROM Windows, apabila sistem telah diinstal fromCD-ROM.
Jika WFP menemukan berkas dalam tembolok folder atau jika sumber penginstalan terletak secara otomatis, WFP diam-diam mengganti berkas dan log peristiwa yang mirip seperti berikut ini di log sistem:
ID Kejadian: 64001
Sumber: Perlindungan berkas Windows
Keterangan: Berkas penggantian upaya ke berkas_name c:\winnt\system32\ berkas sistem terlindungi. Berkas ini dipulihkan ke versi asli untuk mempertahankan stabilitas sistem. Versi berkas sistem berkas adalah x.x:x.x.

Apabila WFP secara otomatis tidak dapat menemukan berkas di salah satu dari lokasi tersebut, Anda menerima salah satu pesan berikut ini, di mana file_name nama berkas yang diganti dan Produk adalah produk Windows yang Anda gunakan:
  • Perlindungan file Windows
    Berkas diperlukan untuk Windows untuk berjalan dengan baik telah diganti byunrecognized versi. Untuk mempertahankan stabilitas sistem, Windows harus memulihkan theoriginal versi untuk file tersebut. Masukkan AndaProduk CD-ROM.
  • Perlindungan file Windows
    Berkas diperlukan untuk Windows untuk berjalan dengan baik telah diganti byunrecognized versi. Untuk mempertahankan stabilitas sistem, Windows harus memulihkan theoriginal versi untuk file tersebut. Lokasi jaringan dari mana filesshould disalin, \\Server\berbagi, adalah notavailable. Hubungi administrator sistem atau menyisipkanProduk CD-ROM.
Catatan Jika administrator tidak log masuk, WFP tidak dapat menampilkan salah satu dari kotak dialog ini. Dalam situasi ini, WFP menampilkan kotak dialog setelah log masuk sebagai administrator. WFP mungkin menunggu administrator untuk log masuk dalam skenario berikut:
  • Entri registri SFCShowProgress hilang atau disetel ke 1, dan server diatur untuk memindai setiap kali komputer dimulai. Dalam situasi ini, WFP menunggu untuk log masuk konsol. Oleh karena itu, RPC server tidak dimulai hingga pemindaian dilakukan. Komputer memiliki ada perlindungan saat ini.

    Catatan Anda masih dapat memetakan kandar jaringan, menggunakan sistem berkas, dan menggunakan Layanan Terminal untuk log masuk ke server. WFP tidak menganggap operasi ini sebagai konsol log masuk, dan terus-menerus menunggu selamanya.
  • WFP harus memulihkan berkas dari berbagi jaringan. Situasi ini mungkin terjadi jika berkas ini tidak ada dalam Dllcache folder atau file yang rusak. Dalam situasi ini, WFP mungkin tidak memiliki kredensial yang benar untuk mengakses berbagi dari media instalasi berbasis jaringan.
Mekanisme perlindungan kedua yang disediakan oleh fitur WFP adalah alat pemeriksa berkas sistem (Sfc.exe). Di akhir penataan GUI mode, alat pemeriksa berkas sistem memindai semua berkas terlindung untuk memastikan bahwa mereka tidak diubah oleh program yang diinstal dengan menggunakan instalasi tanpa pengawasan. Alat pemeriksa berkas sistem juga memeriksa semua berkas Katalog yang digunakan untuk melacak versi berkas yang benar. Jika ada berkas Katalog hilang atau rusak, WFP mengubah nama berkas yang terpengaruh Katalog dan mengambil versi cache berkas tersebut dari map cache. Jika kopi karbon cache berkas Katalog tidak tersedia di map cache, fitur WFP permintaan media yang tepat untuk mendapatkan kopi karbon baru berkas katalog.

Alat pemeriksa berkas sistem memberi seorang administrator kemampuan untuk memindai semua berkas terlindung untuk memverifikasi versinya. Alat pemeriksa berkas sistem juga memeriksa dan mengisi kembali map tembolok (secara asali, % SystemRoot%\System32\Dllcache). Jika map cache menjadi rusak atau tidak dapat digunakan, Anda dapat menggunakan perintah sfc/scanonce atau perintah sfc/scanboot pada prompt perintah untuk memperbaiki isi map.

Bagian
SfcScan
nilai dalam bukti kunci registri berikut ini memiliki tiga pengaturan yang mungkin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Pengaturan untuk
SfcScan
nilai adalah:
  • 0x0
    = memindai berkas terlindungi setelah restart. (Defaultvalue)
  • 0x1
    = memindai semua berkas yang dilindungi setelah setiap kali restart (ditetapkan jika sfc/scanboot menjalankan).
  • 0x2
    = memindai semua berkas yang dilindungi satu kali setelah restart (ditetapkan jika sfc/scanonce menjalankan).
secara asali, semua berkas sistem di-cache dalam map cache, dan ukuran default cache adalah 400 MB. Karena pertimbangan ruang disk, mungkin tidak diinginkan untuk mempertahankan versi cache semua berkas sistem di map cache. Untuk mengubah ukuran cache, Ubah setelan
SFCQuota
nilai dalam bukti kunci registri berikut ini:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Toko WFP memverifikasi versi berkas dalam folder Dllcache pada hard disk. Jumlah file cache ditentukan oleh setelan
SFCQuota
nilai (ukuran asali adalah 0xFFFFFFFF, atau 400 MB). Administrator dapat membuat pengaturan untuk
SFCQuota
nilai lebih besar atau kecil yang diperlukan. Perhatikan bahwa jika Anda menetapkan
SFCQuota
nilai
0xFFFFFFFF
, fitur WFP tembolok semua berkas sistem terlindungi (2.700 berkas).

Ada dua kasus di mana map cache mungkin tidak berisi kopi karbon dari semua berkas yang dilindungi, terlepas dari nilai SFCQuota:
  1. Ruang disk tidak cukup.

    Di bawah Windows XP, WFPstops diisi folder Dllcache saat kurang dari (600 MB + ukuran maksimum berkas halaman) ruang tersedia pada hard disk.
    Pada Windows 2000, WFP berhenti diisi Dllcache folder saat kurang dari 600 MB ruang isavailable pada hard disk.
  2. Menginstal jaringan.

    Ketika Windows 2000 atau Windows XPis diinstal melalui jaringan, adalah berkas di direktori i386\lang notpopulated dalam Dllcache folder.
Selain itu, Semua pengandar pada berkas Driver.cab dilindungi, namun mereka tidak diisi dalam Dllcache folder. WFP dapat memulihkan berkas ini dari berkas Driver.cab langsung tanpa meminta persetujuan pengguna untuk media sumber. Namun, menjalankan perintah sfc/SCANNOW mengisi berkas dari berkas Driver.cab ke dalam Dllcache folder.

Apabila WFP mendeteksi perubahan file dan berkas yang terpengaruh tidak sedang map cache, WFP memeriksa versi file diubah yang saat ini menggunakan sistem operasi. Jika berkas yang sedang menggunakan versi yang benar, WFP menyalin versi berkas ke map cache. Jika berkas yang sedang digunakan bukan versi yang benar, atau jika berkas tidak di-cache dalam map cache, WFP mencoba menemukan sumber penginstalan. Apabila WFP tidak dapat menemukan sumber instalasi, WFP meminta administrator untuk memasukkan media yang tepat untuk mengganti berkas atau versi file cache.

Bagian
SFCDllCacheDir
(nilai
REG_EXPAND_SZ
) dalam registri berikut bukti kunci menentukan lokasi Dllcache folder.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Data nilai asali untuk nilai SFCDllCacheDir
%SystemRoot%\System32
. Bagian
SFCDllCacheDir
nilai dapat berupa lintasan lokal. secara asali,
SFCDllCacheDir
nilai tidak tercantum dalam
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
bukti kunci registri. Untuk mengubah lokasi cache, Anda harus menambahkan nilai ini.

Ketika Windows dimulai, WFP menyinkronkan (salinan) pengaturan WFP dari bukti kunci registri berikut
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
bukti kunci registri berikut:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Oleh karena itu, jika
SfcScan
,
SFCQuota
, atau
SFCDllCacheDir
nilai yang ada di
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
subkunci, nilai lebih diutamakan daripada nilai yang sama di
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
subkunci.
Untuk informasi selengkapnya tentang fitur WFP, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
222473 Tataan registri untuk perlindungan berkas Windows
Untuk informasi selengkapnya tentang alat pemeriksa berkas sistem di Windows XP dan Windows Server 2003, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
310747 Deskripsi Windows XP dan Windows Server 2003 pemeriksa berkas sistem (Sfc.exe)
Untuk informasi selengkapnya tentang alat pemeriksa berkas sistem di Windows 2000, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
222471 Deskripsi Windows 2000 pemeriksa berkas sistem (Sfc.exe)
Referensi
Untuk informasi selengkapnya tentang fitur WFP, visitthe situs web Microsoft berikut: Formore informasi tentang Windows Installer dan WFP, kunjungi situs web followingMicrosoft:
WFP sfp compatguidechange

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 222193 - Tinjauan Terakhir: 06/11/2016 09:12:00 - Revisi: 3.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Microsoft Windows XP Media Center Edition 2005 Update Rollup 2, Microsoft Windows XP Tablet PC Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbmt KB222193 KbMtid
Tanggapan