Windows Dosya Koruması özelliğinin açıklaması

™zet

Bu makalede Windows Dosya Koruması (WFP) özelliği açıklanmaktadır.

Daha fazla bilgi

Windows Dosya Koruması (WFP), programların önemli Windows sistem dosyalarını değiştirmelerini engeller. Bu dosyalar işletim sistemi ve programlar tarafından kullanıldıkları için, diğer programlar tarafından üzerlerine yazılmamalıdır. Bu dosyaların korunması, programlar ve işletim sistemi ile ilgili sorunları önler.

WFP, Windows'un parçası olarak yüklenen önemli sistem dosyalarını (örneğin, .dll, .exe, .ocx ve .sys uzantılı dosyalar ile bazı True Type yazı tiplerini) korur. WFP, kod imzalama ile üretilen dosya imzalarını ve katalog dosyalarını kullanarak, korumalı sistem dosyalarının doğru Microsoft sürümleri olup olmadıklarını doğrular. Korumalı sistem dosyalarının değiştirilmesi yalnızca aşağıdaki yollarla desteklenir:
  • Update.exe kullanılarak gerçekleştirilen Windows Service Pack yüklemeleri
  • Hotfix.exe veya Update.exe kullanılarak yüklenen düzeltmeler
  • Winnt32.exe kullanılarak gerçekleştirilen işletim sistemi yükseltmeleri
  • Windows Update
Bir program farklı bir yöntem kullanarak korumalı dosyaları değiştirirse, WFP özgün dosyaları geri yükler. Windows Installer, önemli sistem dosyaları yüklerken WFP ile uyumlu çalışır ve korumalı dosyayı kendisi yüklemeye çalışmak yerine, WFP'yi çağırarak korumalı dosyanın yüklenmesini veya değiştirilmesini ister.

WFP özelliği nasıl çalışır

WFP özelliği, sistem dosyaları için koruma sağlamak üzere iki farklı düzenek kullanır. İlk düzenek, arka planda çalışır. Bu koruma, WFP bir korumalı dizindeki bir dosya için dizin değişikliği bildirimi aldıktan sonra tetiklenir. WFP bu bildirimi aldıktan sonra, hangi dosyanın değiştirildiğini belirler. Dosya korumalıysa, WFP bir katalog dosyasındaki dosya imzasına bakarak yeni dosyanın doğru sürüm olup olmadığını belirler. Dosya doğru sürüm değilse, WFP yeni dosyanın yerine önbellek klasöründeki (bu klasördeyse) veya yükleme kaynağındaki dosyayı geri yükler. WFP, doğru dosyayı aşağıdaki konumlarda belirtildikleri sırayla arar:
  1. Önbellek klasörü (varsayılan olarak, %systemroot%\system32\dllcache).
  2. Ağ yüklemesi kullanılarak sistem yüklendiyse, ağ yükleme yolu.
  3. Sistem CD-ROM'dan yüklendiyse, Windows CD-ROM'u.
WFP dosyanın önbellek klasöründe olduğunu bulursa veya yükleme kaynağı otomatik olarak bulunursa, dosya sessizce değiştirilir ve Sistem günlüğüne aşağıdakine benzer bir olay kaydeder:

Olay Kimliği: 64001

Kaynak: Windows Dosya Koruması

Açıklama: c:\winnt\system32\dosya_adı korumalı sistem dosyasında dosya değişimi denendi. Sistem kararlılığını korumak için bu dosyanın özgün sürümü geri yüklendi. Hatalı dosyanın sürümü: x.x:x.x.

WFP dosyayı bu konumların hiçbirinde bulamazsa, aşağıdaki iletilerden birini alırsınız; burada dosya_adı, değiştirilen dosyanın adı ve ürün de kullandığınız Windows ürünüdür:
  • Windows Dosya Koruması
    Windows’un düzgün çalışması için gereken dosyalar tanınmayan sürümlerle değiştirilmiş. Windows, sistemin çalışma düzenini sağlamak için bu dosyaların özgün sürümlerini yüklemelidir. Ürün CD-ROM'unu takın.
  • Windows Dosya Koruması
    Windows’un düzgün çalışması için gereken dosyalar tanınmayan sürümlerle değiştirilmiş. Sistemin çalışma düzenini sağlamak için, Windows bu dosyaların özgün sürümlerini yüklemelidir. Dosyaların kopyalanacağı ağ konumu olan \\sunucu\paylaşım bulunamadı. Sistem yöneticinize başvurun veya ürün CD-ROM'unu takın.
Not Bir yönetici oturum açmamışsa, WFP bu iletişim kutularının her ikisini de görüntüleyemez. Bu durumda WFP, bir yönetici oturum açtıktan sonra iletişim kutusunu görüntüleyebilir. WFP aşağıdaki senaryolarda bir yöneticinin oturum açmasını bekler:
  • SFCShowProgress kayıt defteri girdisi eksik veya 1 olarak girilmiş ve sunucu, bilgisayarı, her başlatıldığında tarayacak biçimde ayarlanmış. Bu durumda, WFP, konsoldan oturum açma işlemi gerçekleştirilmesini bekler. Bu nedenle, tarama işlemi gerçekleştirilinceye kadar RPC sunucusu başlatılmaz. Bilgisayar bu sırada korunmaz.

    Not Ağ sürücülerini eşlemeye, sistem dosyalarını kullanmaya ve Terminal Hizmetleri'ni kullanarak sunucuda oturum açmaya devam edebilirsiniz. WFP bu işlemleri konsoldan oturum açma olarak nitelendirmez ve beklemeye devam eder.
  • WFP'nin bir dosyayı bir ağ paylaşımından geri yüklemesi gerekiyor. Bu durum, dosya Dllcache klasöründe yoksa veya bozuksa oluşabilir. Bu durumda WFP, paylaşıma ağ tabanlı yükleme medyasından erişmek için doğru kimlik bilgilerine sahip olmayabilir.
WFP özelliği tarafından sağlanan ikinci koruma düzeneği, Sistem Dosyası Denetleyicisi (Sfc.exe) aracıdır. GUI modunda Kurulum'un sonunda, Sistem Dosyası Denetleyicisi aracı, katılımsız yükleme kullanılarak yüklenmiş programlar tarafından değiştirilmediklerinden emin olmak için tüm korumalı dosyaları tarar. Sistem Dosya Denetleyicisi aracı, doğru dosya sürümlerini izlemek için kullanılan katalog dosyalarını da denetler. Katalog dosyalarından biri eksik veya bozuksa, WFP etkilenen katalog dosyasını yeniden adlandırır ve dosyanın önbelleğe alınmış bir sürümü önbellek klasöründen alır. Önbellek klasöründe katalog dosyasının önbelleğe alınmış bir kopyası yoksa, WFP özelliği katalog dosyasının yeni bir kopyasını almak üzere uygun medyayı ister.

Sistem Dosyası Denetleyicisi aracı, yöneticiye, korunan dosyaları tarayıp dosya sürümlerini doğrulama imkanı sağlar. Sistem Dosyası Denetleyicisi aracı, önbellek klasörünü (varsayılan olarak, %SystemRoot%\System32\Dllcache) denetler ve yeniden doldurur. Önbellek klasörü bozulur veya kullanılamaz hale gelirse, komut isteminde sfc /scanonce veya sfc /scanboot komutunu kullanarak klasörün içeriğini onarabilirsiniz.

Aşağıdaki kayıt defteri anahtarındaki SfcScan değerinin üç olası ayarı vardır:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SfcScan değerinin ayarları şunlardır:
  • 0x0 = yeniden başlatma sonrasında korumalı dosyaları tarama. (Varsayılan değer)
  • 0x1 = her yeniden başlatma sonrasında tüm korumalı dosyaları tara (sfc /scanboot komutu çalıştırılırsa ayarlanır).
  • 0x2 = yeniden başlatma sonrasında tüm korumalı dosyaları bir kez tara (sfc /scanonce komutu çalıştırılırsa ayarlanır).
Tüm sistem dosyaları, varsayılan olarak önbellek klasörüne alınır ve önbelleğin varsayılan boyutu 400 MB'dir. Disk alanı hususları nedeniyle, tüm sistem dosyalarının önbelleğe alınmış sürümlerinin önbellek klasöründe saklanması istenmeyebilir. Önbellek boyutunu değiştirmek için, aşağıdaki kayıt defteri anahtarında SFCQuota değeri ayarını değiştirin:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
WFP, doğrulanmış dosya sürümlerini sabit diskte Dllcache klasöründe depolar. Önbelleğe alınmış dosya sayısı, SFCQuota değeriyle belirlenir (varsayılan boyut 0xFFFFFFFF veya 400 MB'dir). Yönetici gerekirse SFCQuota değerini büyük veya küçük olarak ayarlayabilir. SFCQuota değeri 0xFFFFFFFF olarak ayarlanırsa, WFP özelliğinin tüm korumalı sistem dosyalarını (yaklaşık 2.700 dosya) önbelleğe alacağını unutmayın.

SFCQuota değeri ne olursa olsun, önbellek klasörü iki durumda tüm korumalı dosya kopyalarını içermeyebilir:
  1. Yeterli disk alanı yok.

    Windows XP altında, sabit diskte (600 MB + disk belleği dosyasının en fazla boyutundan) daha az kullanılabilir alan kaldığında WFP özelliği Dllcache klasörünü doldurmamaya başlar.
    Windows 2000 altında, sabit diskte 600 MB'den daha az kullanılabilir alan kaldığında WFP özelliği Dllcache klasörünü doldurmamaya başlar.
  2. Ağ Kurulumu.

    Windows 2000 veya Windows XP ağ üzerinden yüklenirken, i386\lang dizinindeki dosyalar Dllcache klasörüne doldurulmaz.
Ayrıca, Driver.cab dosyasındaki tüm sürücüler korunur, ancak Dllcache klasörüne doldurulmaz. WFP, kullanıcıdan kaynak medyasını istemeden bu dosyaları doğrudan Driver.cab dosyasından geri yükleyebilir. Ancak dosyalar, sfc /scannow komutu çalıştırılarak Driver.cab dosyasından Dllcache klasörüne doldurulamaz.

WFP bir dosya değişikliği algılarsa ve etkilenen dosya önbellek klasöründe değilse, değişen dosyanın işletim sistemi tarafından kullanılan sürümünü inceler. Kullanılmakta olan dosya doğru sürümse, WFP özelliği dosyanın bu sürümünü önbellek klasörüne kopyalar. Kullanılmakta olan dosya doğru sürüm değilse veya dosya önbellek klasörüne alınmamışsa, WFP yükleme kaynağını bulmaya çalışır. WFP yükleme kaynağını bulamazsa, dosyayı veya önbelleğe alınmış dosya sürümünü değiştirmek üzere yöneticiden uygun medyayı sürücüye yerleştirmesini ister.

Aşağıdaki kayıt defteri anahtarındaki SFCDllCacheDir değeri (REG_EXPAND_SZ), Dllcache klasörünün konumunu belirtir.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDllCacheDir değerinin varsayılan değer verisi %SystemRoot%\System32 öğesidir. SFCDllCacheDir değeri bir yerel yol olabilir. Varsayılan olarak, SFCDllCacheDir değeri HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon kayıt defteri anahtarında listelenmez. Önbellek konumunu değiştirmek için, bu değeri eklemeniz gerekir.

Windows başlatıldığında, WFP özelliği WFP ayarlarını
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection
kayıt defteri anahtarından şu kayıt defteri anahtarına eşitler (kopyalar):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu nedenle, HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection alt anahtarında SfcScan, SFCQuota veya SFCDllCacheDir değeri varsa, bu değerler HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon alt anahtarındaki aynı değerlerin yerini alır.
WFP özelliği hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

222473 Windows Dosya Koruması kayıt defteri ayarları (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Windows XP ve Windows Server 2003'teki Sistem Dosyası Denetleyicisi aracı hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

310747 Windows XP ve Windows Server 2003 Sistem Dosyası Denetleyicisi'nin (Sfc.exe) Açıklaması

Windows 2000'deki Sistem Dosyası Denetleyicisi aracı hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

222471 Windows 2000'deki Sistem Dosyası Denetleyicisi'nin (Sfc.exe) Açıklaması
WFP özelliği hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin: Windows Installer ve WFP RPC hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
Özellikler

Makale No: 222193 - Son İnceleme: 25 Mar 2010 - Düzeltme: 1

Geri bildirim