"Windows" failų apsaugos funkcijos aprašas


Suvestinė


Šiame straipsnyje aprašyta "Windows" failų apsaugos (WFP) funkcija.

Daugiau informacijos


"Windows" failų apsauga (WFP) neleidžia programoms pakeisti kritinių "Windows" sistemos failų. Programos neturi perrašyti šių failų, nes jas naudoja operacinė sistema ir kitos programos. Šių failų apsauga neleidžia kilti programų ir operacinės sistemos problemų. WFP saugo svarbius sistemos failus, kurie įdiegiami kaip "Windows" dalis (pvz., failai su. dll,. exe,. ocx ir. sys plėtiniais ir tikro tipo šriftais). WFP naudoja failų parašus ir katalogo failus, kurie sugeneruojami pagal kodo pasirašymą, kad patikrintumėte, ar apsaugotos sistemos failai yra tinkamos "Microsoft" versijos. Apsaugotų sistemos failų pakeitimas palaikomas tik šiais mechanizmais:
  • "Windows" pakeitimų paketo diegimas naudojant Update. exe
  • Karštosios pataisos įdiegtos naudojant karštąją pataisą. exe arba naujinimą. exe
  • Operacinės sistemos versijos naujinimas naudojant winnt32. exe
  • "Windows" naujinimas
Jei programa naudoja kitokį būdą, kaip pakeisti apsaugotus failus, WFP atkurs pradinius failus. "Windows Installer" laikosi "WFP" diegdami kritinius sistemos failus ir "WFP", naudodami užklausą įdiegti arba pakeisti apsaugotą failą, o ne mėginti įdiegti arba pakeisti apsaugotą failą.

Kaip veikia WFP funkcija

WFP funkcija suteikia apsaugą sistemos failams naudojant du mechanizmus. Pirmasis mechanizmas veikia fone. Ši apsauga suaktyvinama, kai WFP gauna katalogo keitimo pranešimą apie failą saugomame kataloge. Kai WFP gauna šį pranešimą, WFP nustato, kuris failas buvo pakeistas. Jei failas apsaugotas, WFP ieško failo parašo katalogo faile, kad nustatytumėte, ar naujas failas yra tinkama versija. Jei failas nėra tinkama versija, WFP pakeis naują failą failu iš talpyklos aplanko (jei jis yra talpyklos aplanke) arba diegimo šaltinyje. WFP ieško tinkamo failo šiose vietose, šia tvarka:
  1. Talpyklos aplankas (pagal numatytuosius nustatymą%Systemroot%\System32\Dllcache).
  2. Tinklo diegimo kelias, jei sistema buvo įdiegta naudojant tinklo įdiegtį.
  3. "Windows" kompaktinių diskų įrenginio, jei sistema buvo įdiegta iš kompaktinio disko.
Jei "WFP" randa failą talpyklos aplanke arba jei diegimo šaltinis yra automatiškai, WFP tyliai pakeis failą ir užregistruoja įvykį, panašų į šį sistemos žurnale:
Įvykio ID: 64001 šaltinis: "Windows" failų apsaugos aprašas: buvo bandytas failo pakeitimas apsaugotame sistemos faile c:\winnt\system32\ file_name. Šis failas buvo atkurtas į pradinę versiją, kad būtų išlaikytas sistemos stabilumas. Sistemos failo failo versija yra x. x:x.x.
Jei WFP negali automatiškai surasti failo bet kurioje iš šių vietų, galite gauti vieną iš šių žinučių, kur file_name yra pakeisto failo vardas ir produktas yra jūsų naudojamas "Windows" produktas:
  • "Windows" failų apsaugos failai, kurių reikia, kad "Windows" veiktų tinkamai, buvo pakeisti neatpažintomis versijomis. Norėdami išlaikyti sistemos stabilumą, "Windows" turi atkurti pradines šių failų versijas. Įdėkiteprodukto kompaktinį diską dabar.
  • "Windows" failų apsaugos failai, kurių reikia, kad "Windows" veiktų tinkamai, buvo pakeisti neatpažintomis versijomis. Norėdami išlaikyti sistemos stabilumą, "Windows" turi atkurti pradines šių failų versijas. Tinklo vieta, iš kurios šie failai turi būti nukopijuoti, \ \serverio\Share, nepasiekiama. Susisiekite su savo sistemos administratoriumi arba Įterpkiteprodukto kompaktinį diską dabar.
Pastaba Jei administratorius nėra prisijungęs, WFP negali Rodyti nė vieno iš šių dialogo langų. Tokiu atveju WFP rodomas dialogo langas po to, kai administratorius prisijungia. WFP gali palaukti, kol administratorius registruosis šiais atvejais:
  • Trūksta registro įrašo SFCShowProgress arba jis nustatytas į 1, o serveris nustatytas nuskaityti kiekvieną kartą paleidus kompiuterį. Tokiu atveju WFP laukiama konsolės įėjimo. Todėl RPC serveris nepaleidžiamas, kol nebus atliktas nuskaitymas. Šiuo metu kompiuteris neturi apsaugos.Pastaba Vis dar galite susieti tinklo diskus, naudoti sistemos failus ir naudoti terminalo tarnybas, kad prisijungtumėte prie serverio. WFP neatsižvelgia į šias operacijas kaip konsolės registravimasis ir lieka laukti neribotą laiką.
  • WFP turi atkurti failą iš tinklo bendrinimo. Ši situacija gali įvykti, jei failas nėra Dllcache aplanke arba jei failas sugadintas. Esant tokiai situacijai, WFP gali būti teisingi kredencialai, kad galėtumėte pasiekti dalį iš tinklo įdiegtoje diegimo laikmenoje.
Antrasis apsaugos mechanizmas, kurį teikia WFP funkcija, yra sistemos failų tikrintuvas (SFC. exe) įrankis. Jei naudojate GUI režimo sąranką, sistemos failų tikrinimo įrankis nuskaito visus apsaugotus failus, kad įsitikintų, jog jie nepakeičiami programų, įdiegtų naudojant neprižiūrimą diegimą. Sistemos failų tikrinimo įrankis taip pat patikrina visus katalogo failus, kurie naudojami norint sekti teisingas failo versijas. Jei kuris nors iš katalogo failų nėra arba jis pažeistas, WFP pervardija susijusio katalogo failą ir nuskaito šio failo talpyklos versiją iš talpyklos aplanko. Jei talpyklos aplanke talpyklos aplanke nėra talpyklos kopijos, "WFP" funkcija prašo atitinkamos laikmenos, kad gautumėte naują katalogo failo kopiją. Sistemos failų tikrinimo įrankis suteikia administratoriui galimybę nuskaityti visus apsaugotus failus ir patvirtinti jų versijas. Sistemos failų tikrinimo įrankis taip pat patikrina ir iš naujo užpildo talpyklos aplanką (pagal numatytuosius numatytuosius reikalavimus%SystemRoot%\System32\Dllcache). Jei talpyklos aplankas sugadintas arba nenaudojamas, galite naudoti komandą SFC/scanonce arba komandų eilutėje esančią komandą SFC/scanboot , kad atkurtumėte aplanko turinį. SfcScan reikšmė šiame registro rakte turi tris galimus parametrus:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SfcScan reikšmės parametrai yra šie:
  • 0x0 = nenuskaityti apsaugotų failų iš naujo. (Numatytoji reikšmė)
  • 0x1 = nuskaito visus apsaugotus failus po kiekvieno paleidimo iš naujo (nustatykite, jei vykdoma SFC/scanboot ).
  • 0x2 = nuskaito visus apsaugotus failus vieną kartą po paleidimo iš naujo (nustatykite, jei vykdoma SFC/scanonce ).
Pagal numatytuosius, visi sistemos failai talpyklos aplanke talpyklos, o numatytasis talpyklos dydis yra 400 MB. Dėl disko vietos, gali būti nepageidautina Išsaugoti visų sistemos failų, esančių talpyklos aplanke, talpyklines versijas. Norėdami pakeisti talpyklos dydį, pakeiskite Sfckvotos reikšmės parametrą šiame registro rakte:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
WFP saugomos patvirtintų failų versijų standžiojo disko aplanke Dllcache. Talpykloje esančių failų skaičius nustatomas pagal Sfckvotos reikšmę (numatytasis dydis yra 0xFFFFFFFF arba 400 MB). Administratorius gali nustatyti, kad Sfckvotos reikšmė yra tokia pati kaip Large arba Small. Nepamirškite, kad jei nustatysite reikšmę Sfckvota0Xffffffff, WFP funkcija išsaugo visus apsaugotus sistemos failus (maždaug 2 700 failus). Yra du atvejai, kai talpyklos aplanke gali nebūti visų apsaugotų failų kopijų, neatsižvelgiant į Sfckvotos reikšmę:
  1. Nepakanka vietos diske. "Windows XP" WFP sustoja užpildo Dllcache aplanką, kai standžiajame diske yra mažiau nei (600 MB + maksimalus puslapio failo dydis). Dalyje "Windows" 2000 WFP sustoja užpildo Dllcache aplanką, kai standžiajame diske yra mažiau nei 600 MB vietos.
  2. Tinklo diegimas. Įdiegus "Windows" 2000 arba "Windows XP" tinkle, failai i386\lang kataloge neužpildomi Dllcache aplanke.
Be to, visos tvarkyklės, esančios tvarkyklės. cab faile, yra apsaugotos, tačiau jos neužpildomi Dllcache aplanke. WFP galite atkurti šiuos failus iš tvarkyklės. cab failo tiesiogiai neragindami vartotojui šaltinio laikmenos. Tačiau paleidus komandą sfc/scannow , failai iš tvarkyklės. cab failo automatiškai įkuriami į aplanką Dllcache. Jei WFP aptinka failo keitimą, o paveikto failo nėra talpyklos aplanke, WFP analizuoja pakeisto failo versiją, kurią šiuo metu naudoja operacinė sistema. Jei šiuo metu naudojamas failas yra tinkama versija, WFP nukopijuosite tą failo versiją į talpyklos aplanką. Jei šiuo metu naudojamas failas nėra tinkama versija arba failo talpyklos aplanke talpyklos nėra, WFP bando rasti diegimo šaltinį. Jei WFP neranda diegimo šaltinio, WFP paragina administratoriaus įterpti reikiamą mediją, kad pakeistumėte failą arba talpyklos failo versiją. Toliau pateiktame registro rakte Sfcdllcachedir reikšmė (REG_EXPAND_SZ) nurodo Dllcache aplanko vietą.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Numatytosios reikšmės duomenys Sfcdllcachedir reikšmei yra %SystemRoot%\System32. Sfcdllcachedir reikšmė gali būti vietinis kelias. Pagal numatytuosius parametrą Sfcdllcachedir reikšmė nėra įtraukta į HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\Winlogon registro raktą. Norėdami modifikuoti talpyklos vietą, turite įtraukti šią reikšmę. Kai sistema "Windows" pradės, WFP sinchronizuojama (kopijuojama) WFP parametrai iš toliau pateikto registro rakto
HKEY_LOCAL_MACHINE \Software\Policies\Microsoft\Windows Nt\"Windows" failų apsauga
į šį registro raktą:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Todėl jeigu SfcScan, sfckvotaarba Sfcdllcachedir reikšmės yra HKEY_LOCAL_MACHINE \Software\Policies\Microsoft\Windows nt\windows failų apsaugos daliniame rakte, reikšmės yra viršesnės už tas pačias reikšmes HKEY_LOCAL_MACHINE \Software\microsoft\windows NT\CurrentVersion\Winlogon dalinio rakto.
Daugiau informacijos apie WFP funkciją rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:
222473 "Windows" failų apsaugos registro parametrai
Jei norite gauti daugiau informacijos apie sistemos failų tikrinimo įrankį sistemoje "Windows XP" ir "Windows Server 2003", spustelėkite toliau pateiktą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:
310747 "Windows XP" ir "Windows Server 2003" sistemos failų tikrintuvo (SFC. exe) aprašas
Jei norite gauti daugiau informacijos apie sistemos failų tikrinimo įrankį sistemoje "Windows 2000", spustelėkite toliau pateiktą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:
222471 "Windows 2000" sistemos failų tikrintuvo (SFC. exe) aprašas
Daugiau informacijos apie WFP funkciją rasite apsilankę šioje "Microsoft" svetainėje: Jei norite gauti daugiau informacijos apie "Windows Installer" ir WFP, apsilankykite šioje "Microsoft" svetainėje: