Sammanfattning
Den här artikeln beskriver Windows Filskydd (WFP)-funktionen.
Mer information
Windows Filskydd (WFP) hindrar program från att ersätta viktiga systemfiler i Windows. Dessa filer får inte skrivas över av program eftersom de används av operativ systemet och andra program. Att skydda dessa filer förhindrar problem med program och operativ systemet. WFP skyddar viktiga systemfiler som installeras som en del av Windows (till exempel filer med fil namns tillägget. dll,. exe,. ocx och. sys). I WFP används filsignaturerna och katalogfiler som genereras av kod signering för att kontrol lera om skyddade systemfiler är rätt Microsoft-versioner. Det går bara att byta ut skyddade systemfiler genom följande mekanismer:
-
Windows Service Pack-installation med Update. exe
-
Snabb korrigeringar som installerats med Hotfix. exe eller Update. exe
-
Uppgraderingar av operativ system med Winnt32. exe
-
Windows-uppdatering
Om ett program använder en annan metod för att ersätta skyddade filer återställer WFP de originalfilerna. Windows installations program följer med WFP när du installerar kritiska systemfiler och kör WFP med en begäran om att installera eller ersätta den skyddade filen i stället för att försöka installera eller ersätta en skyddad fil.
Så fungerar funktionen WFP
Funktionen WFP skyddar systemfiler med två mekanismer. Den första mekanismen körs i bakgrunden. Detta skydd utlöses när WFP får ett meddelande om katalog ändringar för en fil i en skyddad katalog. När WFP har fått detta meddelande avgör WFP vilken fil som har ändrats. Om filen är skyddad letar WFP upp filsignaturen i en katalog fil för att ta reda på om den nya filen är rätt version. Om filen inte är rätt version ersätter WFP den nya filen med filen från cache-mappen (om den finns i cache-mappen) eller från installations källan. WFP söker efter rätt fil på följande platser i den här ordningen:
-
Cachemapp (som standard%SystemRoot%\System32\Dllcache).
-
Nätverks installations Sök vägen om systemet installerades med nätverks installation.
-
Windows-CD: n om systemet installerades från CD-ROM.
Om WFP hittar filen i cache-mappen eller om installations källan automatiskt hittas ersätter WFP utan något meddelande och loggar en händelse som liknar följande i system loggen:
Händelse-ID: 64001 Källa: Windows Filskydd Beskrivning: fil utbyte görs på den skyddade system filen c:\winnt\system32\ file_name. Den här filen har återställts till original versionen för att behålla system stabiliteten. Fil versionen av system filen är x. x:x.x.
Om det inte går att hitta filen på någon av de här platserna automatiskt i WFP får du något av följande meddelanden, där file_name är namnet på filen som ersatts och Product är den Windows-produkt du använder:
-
Windows-ProtectionFiles som krävs för att Windows ska fungera korrekt har ersatts av okända versioner. För att behålla systemets stabilitet måste Windows återställa de ursprungliga versionerna av dessa filer. Sätt inprodukt -CD-ROM nu.
-
Windows-ProtectionFiles som krävs för att Windows ska fungera korrekt har ersatts av okända versioner. För att behålla systemets stabilitet måste Windows återställa de ursprungliga versionerna av dessa filer. Nätverks platsen som dessa filer ska kopieras från, \ \Server\Share, är inte tillgänglig. Kontakta din system administratör eller sätt inprodukt -CD-ROM nu.
Obs! Om en administratör inte är inloggad kan inte någon av dessa dialog rutor visas i WFP. I den här situationen visar WFP dialog rutan efter att en administratör loggar in. WFP kan vänta på att administratören loggar in i följande fall:
-
Register posten SFCShowProgress saknas eller är inställd på 1 och servern är inställd på att söka igenom varje gång datorn startas. I den här situationen väntar WFP på en konsol inloggning. Därför startar inte RPC-servern förrän genomsökningen utförs. Datorn har inget skydd under tiden.Obs! Du kan fortfarande mappa nätverks enheter, använda systemfiler och använda Terminal Services för att logga in på servern. WFP anser inte att de här åtgärderna fungerar som konsol inloggning och väntar oändligheten.
-
WFP måste återställa en fil från en nätverks resurs. Den här situationen kan uppstå om filen inte finns i mappen Dllcache eller om filen är skadad. I den här situationen kanske inte WFP har korrekta autentiseringsuppgifter för åtkomst till resursen från det nätverksbaserade installations mediet.
Den andra skydds funktionen som tillhandahålls av WFP är system fils granskaren (SFC. exe). I slutet av GUI-lägesinstallation kontrollerar system fils granskaren alla skyddade filer för att kontrol lera att de inte ändras av program som installerats med hjälp av en obevakad installation. Verktyget för system fils granskaren kontrollerar också alla katalogfiler som används för att spåra korrekta fil versioner. Om någon av katalogfiler saknas eller är skadad byter WFP namn på den berörda katalog filen och hämtar en cachelagrad version av filen från cache-mappen. Om en cachad kopia av katalog filen inte är tillgänglig i cache-mappen, begär WFP-funktionen att ett lämpligt medium hämtas för att hämta en ny kopia av katalog filen. Med system fils granskaren kan en administratör söka igenom alla skyddade filer för att verifiera deras versioner. Verktyget för system fils granskaren kontrollerar och fyller i cachemappen-mappen igen (som standard,%SystemRoot%\System32\Dllcache). Om mappen cache blir skadad eller oanvändbar kan du använda kommandot SFC/SCANONCE eller SFC/SCANBOOT i en kommando tolk för att reparera innehållet i mappen. Värdet för SfcScan i följande register nyckel har tre möjliga inställningar:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Inställningarna för SfcScan -värdet är:
-
0x0 = Sök inte igenom skyddade filer efter omstart. (Standardvärde)
-
0x1 = Sök igenom alla skyddade filer efter varje omstart (ange om SFC/SCANBOOT körs).
-
0x2 = Sök igenom alla skyddade filer en gång efter en omstart (ange om SFC/SCANONCE körs).
Som standard cachelagras alla systemfiler i cache-mappen och standard storleken för cacheminnet är 400 MB. På grund av överväganden för disk utrymme kanske det inte är önskvärt att behålla cachelagrade versioner av alla systemfiler i cache-mappen. Om du vill ändra cacheminnets storlek ändrar du inställningen för SFCQuota -värdet i följande register nyckel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon WFP lagrar verifierade fil versioner i mappen Dllcache på hård disken. Antalet cachelagrade filer bestäms av inställningen för SFCQuota (standard storleken är 0xffffffff eller 400 MB). Administratören kan göra inställningen för SFCQuota -värdet så stort eller litet som behövs. Observera att om du anger värdet för SFCQuota till 0xFFFFFFFF, cachelagrar WFP alla skyddade systemfiler (ungefär 2 700 filer). Det finns två fall då cachemappen inte innehåller kopior av alla skyddade filer, oavsett SFCQuota-värde:
-
Inte tillräckligt med disk utrymme. Under Windows XP kommer WFP att sluta fylla mappen Dllcache om den är mindre än (600 MB + maximal storlek på sid filen) för tillgängligt utrymme på hård disken. Under Windows 2000 fyller WFP inte i mappen Dllcache om mindre än 600 MB utrymme är tillgängligt på hård disken.
-
Nätverks installation. När Windows 2000 eller Windows XP installeras via nätverket är inte filerna i i386\lang-katalogen ifyllda i dllcache-mappen.
Dessutom är alla driv rutiner i filen driver. cab skyddade, men de är inte ifyllda i dllcache-mappen. WFP kan återställa dessa filer från filen driver. cab direkt utan att användaren för käll mediet visas. Med kommandot sfc/scannow fyller du i filerna från filen driver. cab i mappen Dllcache. Om WFP upptäcker en fil ändring och den aktuella filen inte finns i cache-mappen undersöker WFP versionen av den ändrade filen som operativ systemet använder just nu. Om den fil som används för tillfället är rätt version kopierar WFP den versionen av filen till cache-mappen. Om filen som används för tillfället inte är rätt version, eller om filen inte finns i cache-mappen, försöker WFP hitta installations källan. Om det inte går att hitta installations källan i WFP uppmanas en administratör att sätta in ett lämpligt medium för att ersätta filen eller den cachelagrade fil versionen. Värdet för SFCDllCacheDir (REG_EXPAND_SZ) i följande register nyckel anger platsen för dllcache-mappen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Standardvärdet för värdet för SFCDllCacheDir är %systemroot%\system32. Värdet för SFCDllCacheDir kan vara en lokal sökväg. Standardvärdet för SFCDllCacheDir visas inte i register nyckel HKEY_LOCAL_MACHINE \software\microsoft\windows NT\CurrentVersion\Winlogon . Om du vill ändra cacheplatsen måste du lägga till det här värdet. När Windows startas synkroniserar WFP (kopior) WFP-inställningarna från följande register nyckel
HKEY_LOCAL_MACHINE \Software\Policies\Microsoft\Windows NT\Windowstill följande register nyckel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinlogonOm SfcScan-, SFCQuota-eller SFCDllCacheDir -värden finns i HKEY_LOCAL_MACHINE-\software\policies\microsoft\windows NT\Windows File Protection -under nyckeln har värdena högre prioritet än samma värden i HKEY_LOCAL_MACHINE \software\microsoft\windows -.
Om du vill veta mer om WFP-funktionen klickar du på följande artikel nummer för att visa artikeln i Microsoft Knowledge Base:
222473 Register inställningar för Windows FilskyddOm du vill veta mer om system fils granskaren i Windows XP och Windows Server 2003 klickar du på följande artikel nummer och läser artikeln i Microsoft Knowledge Base:
310747 Beskrivning av system fils granskaren för Windows XP och Windows Server 2003 (SFC. exe)Om du vill veta mer om system fils granskaren i Windows 2000 klickar du på följande artikel nummer och läser artikeln i Microsoft Knowledge Base:
222471 Beskrivning av system fils kontroll för Windows 2000 (SFC. exe)
Mer information om funktionen WFP finns på följande Microsoft-webbplats:
http://msdn2.microsoft.com/en-us/library/aa382551.aspx Mer information om Windows Installer och WFP finns på följande Microsoft-webbplats:
