- Защита файлов Windows
- Описание механизма защиты файлов Windows
- Аннотация
- Дополнительная информация
- Принцип работы механизма защиты файлов Windows
- Защита файлов Windows
- Защита файлов Windows: вот все, что вы хотите знать
- Что такое защита файлов Windows?
- Как работает защита файлов Windows
- SFC scannow и защита файлов Windows
Защита файлов Windows
Защита файлов Windows (англ. Windows File Protection , WFP) — технология, позволяющая запретить программам изменять или удалять наиболее важные системные файлы операционных систем семейства Windows. Защита критически важных системных файлов позволяет избежать ряда серьёзных проблем и сбоев в работе операционной системы и прикладного программного обеспечения, например, DLL hell.
Названия в различных версиях Windows:
- Защита файлов Windows — Windows 2000, Windows XP, Windows Server 2003.
- System File Protection — Windows ME.
- Защита ресурсов Windows — Windows Vista. Строго говоря, является другой технологией, но принцип работы схожий: на основе ACL проверяется, может ли тот или иной пользователь осуществлять операции с файлами (не только системными). Ещё одна цель — защита ключевых значений реестра.
Когда Windows File Protection активна, перезапись или удаление незаблокированного системного файла приводит к немедленному восстановлению его оригинальной версии, которая хранится в специальной системной папке. В операционных системах семейства Windows NT это %WINDIR%\system32\Dllcache , в Windows ME — %SYSTEMROOT%\Options\Install .
Все файлы, устанавливаемые операционной системой, защищены от изменения или удаления. Цифровая подпись этих файлов хранится в каталоге %SYSTEMROOT%\system32\catRoot\
Описание механизма защиты файлов Windows
Аннотация
В данной статье приведено описание механизма защиты файлов Windows (WFP).
Дополнительная информация
Защита файлов Windows (WFP) служит для предотвращения перезаписи программами важных файлов операционной системы. Такие файлы нельзя перезаписывать, поскольку они используются как самой операционной системой, так и другими программами. Защита таких файлов необходима для предупреждения возможных неполадок в работе операционной системы и установленного программного обеспечения.
Механизм WFP отвечает за защиту важных системных файлов, устанавливаемых вместе с Windows (например, файлы с расширениями dll, exe, ocx и sys, а также некоторые шрифты True Type). Проверка правильности версии защищенных системных файлов производится с помощью подписей файлов и файлов каталога, созданных в процессе подписывания. Замена защищенных файлов операционной системы возможна только посредством следующих механизмов.
При установке пакетов обновления для Windows с помощью программы Update.exe.
При установке исправлений с помощью программ Hotfix.exe и Update.exe.
При обновлении операционной системы с помощью программы Winnt32.exe.
При использовании веб-узла Windows Update.
Если для замены защищенного файла используется другой способ, функция WFP восстанавливает исходные файлы. При установке важных системных файлов установщик Windows не устанавливает и не заменяет их самостоятельно, а всегда использует механизм WFP, обращаясь к нему с запросом установки или замены защищенных файлов.
Принцип работы механизма защиты файлов Windows
Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке.
Папка кэша (по умолчанию %systemroot%\system32\dllcache).
Путь к сетевому источнику установки, если он был использован для установки операционной системы.
Компакт-диск Windows, если он был использован для установки операционной системы.
Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла — это имя замененного файла, а продукт — это используемый продукт Windows.
Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск продукт.
Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Сетевая папка, из которой необходимо скопировать эти файлы, \\ сервер\ общий_ресурс, недоступна. Обратитесь к системному администратору или вставьте компакт-диск продукт.
Примечание. Если вход в систему был выполнен с учетной записью, которая не дает прав администратора, описанные выше диалоговые окна не отображаются. В таком случае эти диалоговые окна отображаются только после входа в систему с правами администратора. WFP ждет входа в систему администратора в следующих ситуациях.
Запись реестра SFCShowProgress отсутствует или содержит значение 1, а сервер настроен на проверку при каждом запуске компьютера; в таком случае WFP ждет входа с консоли, поэтому сервер RPC не запускается, пока не будет выполнена проверка. В течение этого времени компьютер не защищен.
Примечание. При этом сохраняется возможность подключения сетевых дисков и использования системных файлов, и для входа на сервер можно использовать службы терминалов. WFP не считает эти операции консольным входом и находится в состоянии ожидания неограниченно долго.
WFP должен восстановить файл из общего сетевого ресурса. Такая ситуация может возникнуть в случае, если в папке Dllcache нет требуемого файла или он поврежден. В этом случае у WFP может не быть требуемых учетных данных для доступа к общему ресурсу на носителе для установки по сети.
В качестве второго механизма защиты, обеспечиваемого WFP, используется средство проверки системных файлов (файл Sfc.exe). В конце работы режима графического интерфейса программы установки это средство проверяет, не были ли защищенные файлы изменены программами, установленными автоматически. Кроме того, программа Sfc.exe проверяет все файлы каталога, используемые для отслеживания правильных версий файлов. В случае отсутствия или повреждения любого из файлов каталога он переименовывается и восстанавливается из папки кэша. Если в папке кэша файл найти не удается, WFP запрашивает установку соответствующего носителя с новой копией файла каталога.
Средство проверки системных файлов предоставляет администратору возможность проверить версии всех защищенных файлов. Кроме того, это средство проверяет и повторно заполняет папку кэша (по умолчанию — %SystemRoot%\System32\Dllcache) Если папка кэша повреждена или стала непригодной для использования, для восстановления ее содержимого используется команда sfc /scanonce или sfc /scanboot.
Параметр SfcScan из раздела системного реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon может принимать три значения. Возможные значения параметра SfcScan:
0x0 — не проверять защищенные файлы после перезагрузки системы (по умолчанию);
0x1 — проверять все защищенные файлы после каждой перезагрузки системы (устанавливается после запуска команды sfc /scanboot).
0x2 — проверить все защищенные файлы после перезагрузки системы (устанавливается после запуска команды sfc /scanonce).
По умолчанию резервные копии всех системных файлов хранятся в папке кэша, размер которой составляет 400 МБ (по умолчанию). Хранение резервных копий всех системных файлов не всегда желательно с точки зрения наличия свободного места на диске. Для изменения размера кэша измените значение параметра SFCQuota в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. WFP хранит проверенные версии файлов на жестком диске в папке Dllcache. Количество хранимых файлов определяется значением параметра SFCQuota (по умолчанию 0xFFFFFFFF или 400 Мбайтов). Администратор может увеличивать или уменьшать значение параметра SFCQuota по своему усмотрению. Обратите внимание, что если для параметра SFCQuota установлено значение 0xFFFFFFFF, WFP хранит все защищенные файлы (приблизительно 2700 файлов).
Отсутствие в папке кэша копий некоторых системных файлов (независимо от значения параметра SFCQuota) возможно по двум причинам.
Недостаточно места на диске.
На компьютере под управлением Windows XP запись в папку Dllcache прекращается, когда на жестком диске объем оставшегося свободного места меньше суммы (600 МБ + максимальный размер файла подкачки).
На компьютере под управлением Windows 2000 запись в папку Dllcache прекращается, когда на жестком диске остается менее 600 МБ свободного места.
Если ОС Windows 2000 или Windows XP установлена по сети, файлы из папки i386\lang не заносятся в папку Dllcache.
Кроме того, все драйверы в файле Driver.cab являются защищенными, но в папку Dllcache не записываются. WFP восстанавливает эти файлы непосредственно из файла Driver.cab без вывода пользователю запроса на предоставление носителя исходных файлов, однако при выполнении команды sfc /scannow файлы, содержащиеся в файле Driver.cab, записываются в папку Dllcache.
Если WFP обнаруживает изменение файла, не входящего в папку кэша, выполняется проверка версии измененного файла, используемой операционной системой в текущий момент. Если используемый в текущий момент файл имеет допустимую версию, он копируется в папку кэша. Если версия файла не является допустимой или файл отсутствует в папке кэша, WFP выполняет поиск источника установки. Если его найти не удается, WFP предлагает администратору установить соответствующий носитель для замены версии файла, находящегося в папке кэша.
Местонахождение папки Dllcache указывается параметром SFCDllCacheDir ( REG_EXPAND_SZ) из следующего раздела реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon По умолчанию параметр SFCDllCacheDir имеет значение %SystemRoot%\System32. В качестве значения параметра SFCDllCacheDir может быть использован путь к папке на локальном диске. По умолчанию параметр SFCDllCacheDir в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon отсутствует. Таким образом, для изменения местонахождения папки кэша этот параметр необходимо добавить самостоятельно.
При запуске Windows значения параметров из раздела
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection WFP копируются в соответствующие параметры в разделе
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Следовательно, если в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection присутствуют параметры SfcScan, SFCQuota или SFCDllCacheDir, их значения имеют преимущество перед значениями аналогичных параметров в подразделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Для получения дополнительных сведений о механизме WFP щелкните следующий номер статьи базы знаний Майкрософт:
Настройки реестра для защиты файлов WindowsДля получения дополнительных сведений о средстве проверки системных файлов в Windows XP и Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:
Описание средства проверки системных файлов Windows XP и Windows Server 2003 (Sfc.exe)Для получения дополнительных сведений о средстве проверки системных файлов в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
Описание средства проверки системных файлов Windows 2000 (Sfc.exe) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Для получения дополнительных сведений о механизме WFP посетите веб-узел корпорации Майкрософт по адресу:
Для получения дополнительных сведений об установщике Windows и механизме WFP посетите веб-узел корпорации Майкрософт по адресу:
Защита файлов Windows
Защита файлов Windows (англ. Windows File Protection , WFP) — технология, позволяющая запретить программам изменять или удалять наиболее важные системные файлы операционных систем семейства Windows. Защита критически важных системных файлов позволяет избежать ряда серьёзных проблем и сбоев в работе операционной системы и прикладного программного обеспечения, например, DLL hell.
Названия в различных версиях Windows:
- Защита файлов Windows — Windows 2000, Windows XP, Windows Server 2003.
- System File Protection — Windows ME.
- Защита ресурсов Windows — Windows Vista. Строго говоря, является другой технологией, но принцип работы схожий: на основе ACL проверяется, может ли тот или иной пользователь осуществлять операции с файлами (не только системными). Ещё одна цель — защита ключевых значений реестра.
Когда Windows File Protection активна, перезапись или удаление незаблокированного системного файла приводит к немедленному восстановлению его оригинальной версии, которая хранится в специальной системной папке. В операционных системах семейства Windows NT это %WINDIR%\system32\Dllcache , в Windows ME — %SYSTEMROOT%\Options\Install .
Все файлы, устанавливаемые операционной системой, защищены от изменения или удаления. Цифровая подпись этих файлов хранится в каталоге %SYSTEMROOT%\system32\catRoot\
Защита файлов Windows: вот все, что вы хотите знать
Защита файлов Windows – это встроенная функция Windows, предназначенная для защиты важных системных файлов от замены или перезаписи, будь то непреднамеренно или умышленно. И в маловероятном сценарии, который когда-либо происходил, эта функция также автоматически восстанавливает исходную копию определенного файла, чтобы обеспечить бесперебойную работу ПК.
Что такое защита файлов Windows?
Те файлы, которые необходимы операционной системе, а также другим поддерживаемым приложениям для бесперебойной работы ПК, входят в сферу защиты файлов Windows. Такие файлы обычно имеют расширения, такие как .dll , .exe , .ocx и .sys , и некоторые True Type шрифты .
Он работает на основе файловых сигнатур и каталожных файлов , созданных с помощью подписи кода, чтобы убедиться, что файлы, входящие в его компетенцию, действительно являются теми, которые поставлялись при первоначальной установке Windows. Если нет, затронутые файлы идентифицируются и заменяются, хотя замена выполняется строго в соответствии со следующим методом:
- Установка пакета обновления Windows с использованием Update.exe
- Исправления, установленные с помощью Hotfix.exe или Update.exe
- Обновления операционной системы с использованием Winnt32.exe
- Центр обновления Windows
Как работает защита файлов Windows
Кроме того, есть два способа, которыми функция WFP работает, хотя, к счастью для пользователя, большая часть ее работы идет за кулисами и требует минимального вмешательства со стороны пользователя. Например, функция WFP включается автоматически при каждом появлении уведомления об изменении каталога . Последний снова оживает, если в любых файлах, присутствующих в защищенном каталоге, обнаружены изменения.
- СВЯЗАННЫЕ: 7 лучших инструментов и программ для блокировки файлов и папок для Windows 10
Следующее, что нужно сделать WFP, – это определить, какой файл подвергся изменению и находится ли файл в защищенной категории. Если да, WFP попытается сопоставить подпись файла с каталогом файлов , чтобы убедиться, что новая версия файла действительно подлинная. Если нет, то WFP заменит файл соответствующей версией из папки кэша – % systemroot% system32dllcache .
Или, если указанный файл отсутствует в папке кеша, WFP попытается получить его из источника установки, который может быть либо DVD-диском Windows, файлом образа или другим. В таком сценарии WFP показывает сообщение, в котором упоминается имя поврежденного файла вместе с исходным местоположением указанного файла. Следует отметить, что указанные сообщения будут отображаться только в том случае, если вы вошли в систему как администратор. В противном случае система будет ожидать входа администратора для отображения сообщения.
SFC scannow и защита файлов Windows
Другая функция защиты, которую предоставляет WFP, – это Проверка системных файлов или SFC . Вот как это работает: программа проверки системных файлов будет сканировать все защищенные файлы после завершения установки в графическом режиме. Таким образом, SFC гарантирует, что все защищенные файлы будут именно такими, какими они должны быть. SFC также будет сканировать все файлы каталога, которые используются для проверки подлинности защищенных файлов.
- СВЯЗАННЫЕ: Как защитить файлы от удаления в Windows 10
И на всякий случай, если в файле каталога обнаружено какое-либо несоответствие, оно вносит необходимые исправления, используя кэшированную версию файла из папки кэша. Однако если кэшированная копия файла каталога также отсутствует, функция WFP запросит исходный установочный носитель Windows для получения правильной версии затронутого файла каталога.
Защита файлов Windows первоначально дебютировала с Windows 2000, за которой последовали другие последующие версии Windows, такие как Windows XP и Windows Server 2003. В Windows Me она стала идентифицироваться как защита системных файлов или SFP, благодаря базовым функциям осталась прежней.
Начиная с Windows Vista и всех последующих выпусков Windows, эта защита Windows Resource Protection взяла на себя эту роль. Это включало предотвращение нежелательных изменений конфигурации системы, защиту важных ключей и значений реестра, а также обеспечение того, чтобы все критические файлы операционной системы находились в текущей форме и порядке, тем самым предотвращая то, что стало известно в техническом кругу как ужасное адское состояние .dll.
