Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Загальні відомості

У цій статті наведено функцію захисту файлів Windows (WFP).

Додаткові відомості

Захист файлів Windows (WFP) запобігає заміні програм у критичних системних файлах Windows. Програми не повинні перезаписувати ці файли, оскільки вони використовуються в операційній системі та в інших програмах. Захист цих файлів запобігає проблемам програм і операційної системи. У програмі WFP захист критичних системних файлів, інстальованих як частина ОС Windows (наприклад, файли з розширенням DLL, exe, OCX і sys, а також деякі справжні шрифти типу). Програма WFP використовує підписи файлів і файли каталогу, які створюються за допомогою підпису коду, щоб перевірити наявність захищених системних файлів відповідним версіям Microsoft. Заміна захищених системних файлів підтримується лише за допомогою таких механізмів:

  • Інсталяція пакета оновлень Windows за допомогою програми Update. exe

  • Виправлення, інстальовані за допомогою програми Hotfix. exe або Update. exe

  • Оновлення операційної системи за допомогою Winnt32. exe

  • Служба Windows Update

Якщо в програмі використовується інший спосіб, щоб замінити захищені файли, програма WFP відновлює вихідні файли. Інсталятор Windows дотримується функцій WFP під час інсталяції критичних системних файлів і викликів WFP з проханням інсталювати або замінити захищений файл замість того, щоб інсталювати або замінити захищений файл.

Принцип роботи функції WFP

Функція WFP забезпечує захист системних файлів за допомогою двох механізмів. Перший механізм працює у фоновому режимі. Цей захист спрацьовує після отримання сповіщень про зміну каталогу для файлу в захищеному каталозі. Після отримання повідомлення про те, що "ВПП" отримає це сповіщення, він визначає, що файл змінено. Якщо файл захищено, засіб WFP шукає підпис файлу в файлі каталогу, щоб визначити, чи є новий файл правильною версією. Якщо файл не є правильною версією, програма WFP замінює новий файл із файлом з папки кешу (якщо вона міститься в папці кешу) або з джерела інсталяції. Пошук відповідного файлу в наведених нижче розташуваннях у такому порядку:

  1. Папка кешу (за замовчуванням%SystemRoot%\system32\ Dllcache).

  2. Шлях до мережі інсталяції, якщо система інсталювала за допомогою мережі.

  3. КОМПАКТ-диск Windows, якщо система інсталювала із компакт-ДИСКА.

Якщо програма WFP знаходить файл у папці кешу або коли джерело інсталяції буде автоматично розташовано, то в разі, якщо в журналі "системний журнал", у програмі WFP він замінюється на подію, яка нагадує таке:

Код події: 64001 джерело: опис захисту файлів Windows: здійснено спробу замінити файл на захищений системний файл c:\winnt\ system32\file_name. Цей файл відновлено до початкової версії, щоб зберегти стабільність системи. Версія файлу System – x. x:x.x.

Якщо програма WFP не може автоматично знайти файл в будь-якому з цих розташувань, ви отримаєте одне з наведених нижче повідомлень, де file_name – ім'я файлу, який було замінено, і продукт – це продукт Windows, який ви використовуєте.

  • Файл ProtectionFiles, потрібний для правильної роботи Windows, замінено нерозпізнаними версіями. Щоб зберегти стабільність системи, Windows має відновити початкові версії цих файлів. Вставте компакт-диск ізпродуктом .

  • Файл ProtectionFiles, потрібний для правильної роботи Windows, замінено нерозпізнаними версіями. Щоб зберегти стабільність системи, Windows має відновити початкові версії цих файлів. Мережнерозташування, зякого потрібно скопіювати файли, не доступний.server Зверніться до системного адміністратора або вставте компакт-дискпродукту зараз.

Примітка. Якщо адміністратор не ввійшов до системи, у службі WFP не можна відобразити будь-який із цих діалогових вікон. У цій ситуації ВПП відображає діалогове вікно після входу адміністратора. Для входу в систему WFP може знадобитися ввійти в такі сценарії:

  • Запис реєстру Sfsshowprogress відсутній або має значення 1, а сервер настроєно на перевірку щоразу, коли комп'ютер почне працювати. У цій ситуації в разі появи надбудови "вхід у систему" в консолі WFP. Таким чином, сервер RPC не запускається, доки не буде виконано сканування. Під час цього часу комп'ютер не має захисту.Примітка. Ви все ще можете зіставити мережеві диски, використовувати системні файли, а також використовувати служби терміналів для входу на сервер. У функції WFP не розглядаються такі операції, як консоль входу, і продовжує чекати на невизначений термін.

  • Функція WFP має відновити файл із мережного спільного доступу. Ця ситуація може виникати, якщо файл не відображається в папці Dllcache або якщо файл пошкоджено. У цій ситуації ВПП може не мати правильних облікових даних, щоб отримати доступ до спільного доступу з мережі, інстальованого на основі мережних засобів.

Другий механізм захисту, наданий функцією WFP, – засіб перевірки системних файлів (SFC. exe). У кінці настроювання графічного інтерфейсу, засіб перевірки системних файлів сканує усі захищені файли, щоб переконатися, що вони не змінюються програмами, інстальованими за допомогою автоматичної інсталяції. Засіб перевірки системних файлів також перевіряє всі файли каталогу, які використовуються для відстеження правильних версій файлів. Якщо будь-який із файлів каталогу відсутній або пошкоджений, то ВПП перейменовує файл каталогу та отримує кешовану версію цього файлу з папки кешу. Якщо Кешована копія файлу каталогу недоступна в папці кешу, функція WFP просить відповідний носій, щоб отримати нову копію файлу каталогу. Засіб перевірки системних файлів надає адміністратору можливість сканувати всі захищені файли, щоб перевірити їхні версії. Засіб перевірки системних файлів також перевіряє та перезаповнює папку кеша (за замовчуванням%SystemRoot%\System32\Dllcache). Якщо папка кешу пошкоджена або непридатна для використання, можна скористатися командою SFC/scanonce або командою SFC/scanonce в командному рядку, щоб відновити вміст папки. Значення Sfcscan у наведеному нижче розділі реєстру містить три можливі параметри:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Параметри для значення Sfcscan :

  • 0x0 = не скануйте захищені файли після перезапуску. (Значення за замовчуванням)

  • 0x1 = сканувати всі захищені файли після кожного перезавантаження (якщо запущено SFC/scanboot ).

  • 0x2 = відскануйте всі захищені файли один раз після перезапуску (Настроювання, якщо запущено SFC/scanonce ).

За замовчуванням усі системні файли кешуються в папці кешу, а розмір кеша за замовчуванням – 400 МБ. Через міркування дискового простору, може бути небажано зберігати кешовані версії всіх системних файлів у папці кешу. Щоб змінити розмір кеша, змініть значення параметра Sffквотування в такому розділі реєстру:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Функція WFP містить перевірені версії файлів у папці Dllcache на жорсткому диску. Кількість кешованих файлів визначається параметром значення поля Sfsfквота (розмір за замовчуванням – 0Xfffffff або 400 МБ). Адміністратор може зробити параметр для значення Sfffквотування як великий або малий за потреби. Зверніть увагу, що якщо ви встановили значення sfcквотування для 0Xfffffff, функція WFP кешує всі захищені системні файли (приблизно 2 700 файлів). Є два випадки, у яких папка кешу може не містити копії всіх захищених файлів, незалежно від значення параметра Sffffff.

  1. Бракує місця на диску. У розділі Windows XP функція WFP припиняє заповнення папки Dllcache, коли менше (600 МБ + максимальний розмір файлу сторінки) доступний на жорсткому диску. У розділі Windows 2000, функція WFP припиняє заповнення папки Dllcache, якщо на жорсткому диску є менше 600 МБ вільного місця.

  2. Інсталяція мережі. Коли Windows 2000 або Windows XP інстальовано через мережу, файли в каталозі i386\lang не заповнюються в папці Dllcache.

Крім того, усі драйвери в файлі драйвера CAB-файлу захищено, але їх не буде заповнено в папці Dllcache. Функція WFP може відновити ці файли з файлу драйвера. cab безпосередньо, не запитуючи користувача для вихідного носія. Однак, якщо запустити команду SFC/SCANNOW , ви заповните файли з файлу драйвера. cab у папку Dllcache. Якщо функція WFP виявляє зміни файлу, а відповідне файл не міститься в папці кешу, функція WFP перевіряє версію зміненого файлу, у якому зараз використовується операційна система. Якщо файл, який зараз використовується, – це правильна версія, то функція WFP копіює цю версію файлу до папки кешу. Якщо файл, який наразі використовується, не є правильною версією, або якщо файл не кешовано в папці кешу, функція WFP намагається знайти джерело інсталяції. Якщо програму WFP не вдалося отримати джерело інсталяції, засіб WFP просить адміністратора вставити відповідний носій для заміни файлу або кешованої версії файлу. Значення Sfcdllcpedr (REG_EXPAND_SZ) у наведеному нижче розділі реєстру визначає розташування папки Dllcache.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Значення за замовчуванням для значення Sfcdllcachedir – %SystemRoot%\System32. Значення Sfcdllcachedir може бути локальним шляхом. За замовчуванням значення Sfcdllcachedir не перелічено в HKEY_LOCAL_MACHINE \Software\Microsoft\Windows Nt\currenveron\winlogension. Щоб змінити розташування кеша, потрібно додати це значення. Під час завантаження Windows синхронізує параметри WFP (копії) з наведеного нижче розділу реєстру.

HKEY_LOCAL_MACHINE \Software\Policies\Microsoft\Windows NT\Windows із захистом файлівдо такого розділу реєстру:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinlogonТаким чином, якщо SfcScanHKEY_LOCAL_MACHINE значення Sfcscan , sфкppppppіі"". "............. значення мають пріоритет над тими самими значеннями в HKEY_LOCAL_MACHINE \Software\microsoft\ Windows Nt\currenveron\winloglog . SFCQuotaHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection

Щоб отримати докладні відомості про функцію WFP, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:

222473 Параметри реєстру для захисту файлів WindowsЩоб отримати докладні відомості про засіб перевірки системних файлів у Windows XP та Windows Server 2003, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:

310747 Опис системного засобу перевірки системних файлів Windows XP та Windows Server 2003 (SFC. exe)Щоб отримати докладні відомості про засіб перевірки системних файлів у Windows 2000, клацніть цей номер статті, щоб переглянути статтю в базі знань Microsoft Knowledge Base:

222471 Опис засобу перевірки системних файлів Windows 2000 (SFC. exe)

Щоб отримати докладні відомості про функцію WFP, перейдіть на веб-сайт Microsoft:

http://msdn2.microsoft.com/en-us/library/aa382551.aspx Щоб отримати докладні відомості про інсталятор Windows і WFP, перейдіть на веб-сайт Microsoft:

http://msdn2.microsoft.com/en-us/library/aa372820.aspx

Facebook LinkedIn Електронна пошта

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×