Beskrivelse av funksjonen Filbeskyttelse for Windows


Sammendrag


Denne artikkelen beskriver funksjonen for Windows (WFP – Windows File Protection).

Hvis du vil ha mer informasjon


Windows (WFP – Windows File Protection) hindrer at programmer erstatter viktige systemfiler i Windows. Programmer må ikke overskrive disse filene fordi de brukes av operativsystemet og andre programmer. Beskytte filene forhindrer problemer med programmer og operativsystemet.

WFP beskytter viktige systemfiler som installeres som en del av Windows (for eksempel filer med filtypen DLL, .exe, ocx og sys og noen True Type-skrifter). WFP bruker filen signaturer og katalogfiler som genereres av kodesignering til å kontrollere om beskyttede systemfiler er de riktige Microsoft-versjonene. Erstatning av beskyttede systemfiler støttes bare gjennom følgende mekanismer:
  • Oppdateringspakken for Windows-installasjon ved hjelp av Update.exe
  • Installerte hurtigreparasjoner med Hotfix.exe eller Update.exe
  • Oppgraderinger for operativsystemet ved hjelp av Winnt32.exe
  • Windows Update
Hvis et program bruker en annen metode til å erstatte beskyttede filer, gjenoppretter WFP de opprinnelige filene. Windows Installer i henhold til WFP ved installasjon av viktige systemfiler og kaller WFP med en forespørsel om å installere eller erstatte den beskyttede filen i stedet for å forsøke å installere eller erstatte en beskyttet fil seg selv.

Hvordan fungerer WFP-funksjonen

WFP-funksjonen gir beskyttelse for systemfiler ved hjelp av to mekanismer. Den første mekanismen som kjøres i bakgrunnen. Denne typen beskyttelse som utløses når WFP mottar varsel om endring en mappe for en fil i en mappe som er beskyttet. Etter at WFP mottar denne meldingen, WFP, bestemmer hvilken fil ble endret. Hvis filen er beskyttet, slår WFP opp i filen signaturen i en katalogfil for å finne ut om den nye filen er den riktige versjonen. Hvis filen ikke er den riktige versjonen, erstatter WFP den nye filen med filen fra cache-mappen (Hvis den er i cache-mappen) eller fra installasjonskilden. WFP søker etter den riktige filen på følgende steder, i denne rekkefølgen:
  1. Cache-mappen (som standard, % systemroot%\system32\dllcache).
  2. Nettverket installere banen, hvis systemet ble installert ved hjelp av nettverksinstallasjon.
  3. Windows CD-ROMen, hvis systemet ble installert fra CD-ROMen.
Hvis WFP finner filen i cache-mappen, eller hvis installasjonskilden er automatisk lagret, WFP stille erstatter filen og logger en hendelse ligner som på følgende i systemloggen:

Hendelses-ID: 64001

Kilde: Filbeskyttelse for Windows

Beskrivelse: Filerstatning ble forsøkt på beskyttet system filen c:\winnt\system32\ filnavn. Denne filen ble gjenopprettet til den opprinnelige versjonen for å opprettholde systemstabiliteten. Versjonen av systemfilen er x.x:x.x.

Hvis WFP ikke kan finner filen automatisk i noen av disse stedene, får du én av følgende meldinger, der filnavn er navnet på filen som ble erstattet, og produktet er Windows-produktet du bruker:
  • Filbeskyttelse for Windows
    Filer som er nødvendige for at Windows skal kjøre skikkelig har blitt erstattet av ukjente versjoner. Windows må gjenopprette de opprinnelige versjonene av disse filene for å beholde systemstabilitet. Sett inn dine
    produkt CD-ROMen nå.
  • Filbeskyttelse for Windows
    Filer som er nødvendige for at Windows skal kjøre skikkelig har blitt erstattet av ukjente versjoner. Windows må gjenopprette de opprinnelige versjonene av disse filene for å beholde systemstabilitet. Nettverksplasseringen som filene skal kopieres fra, \\server\deler, er ikke tilgjengelig. Kontakt systemansvarlig eller Sett inn
    produkt CD-ROMen nå.
Obs! Hvis en administrator ikke er logget på, vil WFP kan ikke vise en av disse dialogboksene. I dette tilfellet dialogboksen WFP vises når en administrator logger på. WFP kan vente en administrator logger på, i følgende scenarier:
  • Registeroppføringen SFCShowProgress mangler eller er satt til 1, og serveren er satt til å skanne hver gang datamaskinen startes. I dette tilfellet venter WFP en konsollpålogging. RPC-serveren starter derfor ikke før skanningen er utført. Datamaskinen har ingen beskyttelse i løpet av denne tiden.

    Obs! Du kan fremdeles tilordne nettverksstasjoner, Bruk systemfiler og bruk Terminal Services til å logge på serveren. WFP anser ikke disse operasjonene som en konsollpålogging, og holder venter i det uendelige.
  • WFP er å gjenopprette en fil fra en delt nettverksressurs. Denne situasjonen kan oppstå hvis filen ikke finnes i Dllcache-mappen eller filen er skadet. I dette tilfellet kanskje WFP har ikke riktig påloggingsinformasjon til å få tilgang til ressursen fra nettverksbaserte installasjonsmediet.
Andre beskyttelse mekanismen som tilbys av WFP-funksjonen er verktøyet Systemfilkontroll (Sfc.exe). På slutten av Installasjonsprogrammets brukergrensesnittfase, verktøyet Systemfilkontroll søker gjennom alle beskyttede filer for å kontrollere at de ikke er endret av programmer som ble installert ved hjelp av en uovervåket installasjon. Verktøyet Systemfilkontroll kontrollerer også alle katalogfilene som brukes til å spore riktige filversjonene. Hvis noen av katalogfilene er mangler eller er skadet, WFP gir nytt navn til den berørte katalogfilen og henter en hurtigbufret versjon av filen fra hurtigbuffermappen. Hvis en bufret kopi av katalogfilen ikke er tilgjengelig i cache-mappen, forespørsler WFP-funksjonen riktig media til å hente en ny kopi av katalogfilen.

Systemfilkontroll-verktøyet kan en administrator å skanne alle beskyttede filer for å kontrollere versjonene. Verktøyet Systemfilkontroll kontrollerer også og hurtigbuffermappen (som standard, % SystemRoot%\System32\Dllcache). Hvis hurtigbuffermappen blir skadet eller ubrukelig, kan du bruke enten kommandoen Sfc / scanonce eller kommandoen Sfc / scanboot ved en ledetekst til å reparere innholdet i mappen.

SfcScan får verdien i følgende registernøkkel har tre mulige innstillinger:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Innstillingene for SfcScan får verdien er:
  • 0x0 = ikke skanne beskyttede filer etter omstart. (Standardverdi)
  • 0x1 = skanne alle beskyttede filer etter hver omstart (satt hvis Sfc / scanboot kjøres).
  • 0x2 = skanne alle beskyttede filer én gang etter en omstart (satt hvis Sfc / scanonce kjøres).
Som standard alle filer som er hurtigbufret i cache-mappen, og standardstørrelse på hurtigbufferen er 400 MB. På grunn av disk space vurderinger, kan det ikke være ønskelig å opprettholde hurtigbufrede versjonene av alle systemfilene i hurtigbuffermappen. Hvis du vil endre størrelsen på hurtigbufferen, kan du endre innstillingen for SFCQuota -verdien i følgende registernøkkel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
WFP butikker bekreftet filversjonene i Dllcache-mappen på harddisken. Antall bufrede filer, bestemmes av innstillingen for SFCQuota verdien (standardstørrelse er 0xFFFFFFFF, eller 400 MB). Administratoren kan gjøre innstillingen for SFCQuota verdien som stor eller liten etter behov. Vær oppmerksom på at hvis du angir SFCQuota verdien til 0xFFFFFFFF, bufrer WFP-funksjonen alle beskyttede systemfiler (ca. 2,700-filer).

Det er to tilfeller hurtigbuffermappen som ikke kan inneholde kopier av alle beskyttede filer, uavhengig av SFCQuota verdien:
  1. Ikke nok diskplass.

    Under Windows XP stopper WFP fyller Dllcache-mappen når mindre enn (600 MB + maksimumsstørrelsen på sidevekslingsfilen) plass tilgjengelig på harddisken.
    Under Windows 2000 stopper WFP fyller Dllcache-mappen når det finnes mindre enn 600 MB plass på harddisken.
  2. Nettverksinstallasjon.

    Når Windows 2000 eller Windows XP installeres over nettverket, fylles ikke filene i mappen i386\lang i mappen Dllcache.
I tillegg alle driverne i filen Driver.cab er beskyttet, men de er ikke fylt ut i Dllcache-mappen. WFP kan gjenopprette disse filene fra filen Driver.cab direkte, uten å spørre brukeren om kildemediene. Imidlertid kjører kommandoen sfc/scannow fylle ut filene fra filen Driver.cab i Dllcache-mappen.

Hvis WFP gjenkjenner en filendring og den berørte filen finnes ikke i cache-mappen, undersøker WFP versjon av den endrede filen som operativsystemet bruker. Hvis filen er i bruk, er den riktige versjonen, kopierer WFP den versjonen av filen til hurtigbuffermappen. Hvis filen er i bruk er ikke riktig versjon, eller hvis filen ikke er hurtigbufret i cache-mappen, WFP prøver å finner du installasjonskilden. Hvis WFP ikke finner installasjonskilden, ber WFP administrator for å sette inn riktig media for å erstatte filen eller den hurtigbufrede versjonen.

SFCDllCacheDir -verdien (REG_EXPAND_SZ) i følgende registernøkkel angir plassering av Dllcache-mappen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Standard verdidataene for verdien SFCDllCacheDir er %SystemRoot%\System32. SFCDllCacheDir -verdien kan være en lokal bane. Som standard vises ikke SFCDllCacheDir -verdien i registernøkkelen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon . Hvis du vil endre plasseringen av hurtigbufferen, må du legge til denne verdien.

Når Windows starter, synkroniserer WFP (kopierer) WFP-innstillingene fra følgende registernøkkel:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
i følgende registernøkkel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Derfor, hvis SfcScan får SFCQuotaeller SFCDllCacheDir -verdiene finnes i undernøkkelen HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection , verdiene har forrang over det samme verdiene i undernøkkelen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon .
Hvis du vil ha mer informasjon om WFP-funksjonen, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

222473 -registerinnstillingene for Filbeskyttelse for Windows

Hvis du vil ha mer informasjon om Systemfilkontroll-verktøyet i Windows XP og Windows Server 2003, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

310747 -beskrivelse av Windows XP og Windows Server 2003-Systemfilkontroll (Sfc.exe)

Hvis du vil ha mer informasjon om Systemfilkontroll-verktøyet i Windows 2000, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

222471 -beskrivelse av Windows 2000 Systemfilkontroll (Sfc.exe)

Hvis du vil ha mer informasjon om WFP-funksjonen, kan du gå til følgende Microsoft-webområde:Hvis du vil ha mer informasjon om Windows Installer og WFP, kan du gå til følgende Microsoft-webområde: