Описание механизма защиты файлов Windows

Аннотация

В данной статье приведено описание механизма защиты файлов Windows (WFP).

Дополнительная информация

Защита файлов Windows (WFP) служит для предотвращения перезаписи программами важных файлов операционной системы. Такие файлы нельзя перезаписывать, поскольку они используются как самой операционной системой, так и другими программами. Защита таких файлов необходима для предупреждения возможных неполадок в работе операционной системы и установленного программного обеспечения.

Механизм WFP отвечает за защиту важных системных файлов, устанавливаемых вместе с Windows (например, файлы с расширениями dll, exe, ocx и sys, а также некоторые шрифты True Type). Проверка правильности версии защищенных системных файлов производится с помощью подписей файлов и файлов каталога, созданных в процессе подписывания. Замена защищенных файлов операционной системы возможна только посредством следующих механизмов.

При установке пакетов обновления для Windows с помощью программы Update.exe.

При установке исправлений с помощью программ Hotfix.exe и Update.exe.

При обновлении операционной системы с помощью программы Winnt32.exe.

При использовании веб-узла Windows Update.

Если для замены защищенного файла используется другой способ, функция WFP восстанавливает исходные файлы. При установке важных системных файлов установщик Windows не устанавливает и не заменяет их самостоятельно, а всегда использует механизм WFP, обращаясь к нему с запросом установки или замены защищенных файлов.

Принцип работы механизма защиты файлов Windows

Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке.

Папка кэша (по умолчанию %systemroot%\system32\dllcache).

Путь к сетевому источнику установки, если он был использован для установки операционной системы.

Компакт-диск Windows, если он был использован для установки операционной системы.

Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла — это имя замененного файла, а продукт — это используемый продукт Windows.

Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск продукт.

Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Сетевая папка, из которой необходимо скопировать эти файлы, \\ сервер\ общий_ресурс, недоступна. Обратитесь к системному администратору или вставьте компакт-диск продукт.

Примечание. Если вход в систему был выполнен с учетной записью, которая не дает прав администратора, описанные выше диалоговые окна не отображаются. В таком случае эти диалоговые окна отображаются только после входа в систему с правами администратора. WFP ждет входа в систему администратора в следующих ситуациях.

Запись реестра SFCShowProgress отсутствует или содержит значение 1, а сервер настроен на проверку при каждом запуске компьютера; в таком случае WFP ждет входа с консоли, поэтому сервер RPC не запускается, пока не будет выполнена проверка. В течение этого времени компьютер не защищен.

Примечание. При этом сохраняется возможность подключения сетевых дисков и использования системных файлов, и для входа на сервер можно использовать службы терминалов. WFP не считает эти операции консольным входом и находится в состоянии ожидания неограниченно долго.

WFP должен восстановить файл из общего сетевого ресурса. Такая ситуация может возникнуть в случае, если в папке Dllcache нет требуемого файла или он поврежден. В этом случае у WFP может не быть требуемых учетных данных для доступа к общему ресурсу на носителе для установки по сети.

В качестве второго механизма защиты, обеспечиваемого WFP, используется средство проверки системных файлов (файл Sfc.exe). В конце работы режима графического интерфейса программы установки это средство проверяет, не были ли защищенные файлы изменены программами, установленными автоматически. Кроме того, программа Sfc.exe проверяет все файлы каталога, используемые для отслеживания правильных версий файлов. В случае отсутствия или повреждения любого из файлов каталога он переименовывается и восстанавливается из папки кэша. Если в папке кэша файл найти не удается, WFP запрашивает установку соответствующего носителя с новой копией файла каталога.

Средство проверки системных файлов предоставляет администратору возможность проверить версии всех защищенных файлов. Кроме того, это средство проверяет и повторно заполняет папку кэша (по умолчанию — %SystemRoot%\System32\Dllcache) Если папка кэша повреждена или стала непригодной для использования, для восстановления ее содержимого используется команда sfc /scanonce или sfc /scanboot.

Параметр SfcScan из раздела системного реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon может принимать три значения. Возможные значения параметра SfcScan:

0x0 — не проверять защищенные файлы после перезагрузки системы (по умолчанию);

0x1 — проверять все защищенные файлы после каждой перезагрузки системы (устанавливается после запуска команды sfc /scanboot).

0x2 — проверить все защищенные файлы после перезагрузки системы (устанавливается после запуска команды sfc /scanonce).

По умолчанию резервные копии всех системных файлов хранятся в папке кэша, размер которой составляет 400 МБ (по умолчанию). Хранение резервных копий всех системных файлов не всегда желательно с точки зрения наличия свободного места на диске. Для изменения размера кэша измените значение параметра SFCQuota в следующем разделе реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. WFP хранит проверенные версии файлов на жестком диске в папке Dllcache. Количество хранимых файлов определяется значением параметра SFCQuota (по умолчанию 0xFFFFFFFF или 400 Мбайтов). Администратор может увеличивать или уменьшать значение параметра SFCQuota по своему усмотрению. Обратите внимание, что если для параметра SFCQuota установлено значение 0xFFFFFFFF, WFP хранит все защищенные файлы (приблизительно 2700 файлов).

Отсутствие в папке кэша копий некоторых системных файлов (независимо от значения параметра SFCQuota) возможно по двум причинам.

Недостаточно места на диске.

На компьютере под управлением Windows XP запись в папку Dllcache прекращается, когда на жестком диске объем оставшегося свободного места меньше суммы (600 МБ + максимальный размер файла подкачки).
На компьютере под управлением Windows 2000 запись в папку Dllcache прекращается, когда на жестком диске остается менее 600 МБ свободного места.

Если ОС Windows 2000 или Windows XP установлена по сети, файлы из папки i386\lang не заносятся в папку Dllcache.

Кроме того, все драйверы в файле Driver.cab являются защищенными, но в папку Dllcache не записываются. WFP восстанавливает эти файлы непосредственно из файла Driver.cab без вывода пользователю запроса на предоставление носителя исходных файлов, однако при выполнении команды sfc /scannow файлы, содержащиеся в файле Driver.cab, записываются в папку Dllcache.

Если WFP обнаруживает изменение файла, не входящего в папку кэша, выполняется проверка версии измененного файла, используемой операционной системой в текущий момент. Если используемый в текущий момент файл имеет допустимую версию, он копируется в папку кэша. Если версия файла не является допустимой или файл отсутствует в папке кэша, WFP выполняет поиск источника установки. Если его найти не удается, WFP предлагает администратору установить соответствующий носитель для замены версии файла, находящегося в папке кэша.

Местонахождение папки Dllcache указывается параметром SFCDllCacheDir ( REG_EXPAND_SZ) из следующего раздела реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon По умолчанию параметр SFCDllCacheDir имеет значение %SystemRoot%\System32. В качестве значения параметра SFCDllCacheDir может быть использован путь к папке на локальном диске. По умолчанию параметр SFCDllCacheDir в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon отсутствует. Таким образом, для изменения местонахождения папки кэша этот параметр необходимо добавить самостоятельно.

При запуске Windows значения параметров из раздела

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection WFP копируются в соответствующие параметры в разделе

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Следовательно, если в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection присутствуют параметры SfcScan, SFCQuota или SFCDllCacheDir, их значения имеют преимущество перед значениями аналогичных параметров в подразделе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Для получения дополнительных сведений о механизме WFP щелкните следующий номер статьи базы знаний Майкрософт:

Настройки реестра для защиты файлов WindowsДля получения дополнительных сведений о средстве проверки системных файлов в Windows XP и Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:

Описание средства проверки системных файлов Windows XP и Windows Server 2003 (Sfc.exe)Для получения дополнительных сведений о средстве проверки системных файлов в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:

Описание средства проверки системных файлов Windows 2000 (Sfc.exe) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о механизме WFP посетите веб-узел корпорации Майкрософт по адресу:

Для получения дополнительных сведений об установщике Windows и механизме WFP посетите веб-узел корпорации Майкрософт по адресу:

Как версия системы Windows безопаснее – сравним «семерку» и «десятку»

Об отдельных версиях системы Windows циркулирует множество мифов, часть из них это диктуется личными симпатиями и антипатиями пользователей. Однако, когда вопрос касается безопасности наших машин, лучше всего руководствоваться проверенными данными.

В этой статье мы сравним основные механизмы защиты, доступные в операционных системах Windows 7 и Windows 10. Они отличаются не только внешним видом, интерфейсом, механизмы обновления, встроенными функциями и поддержкой различных типов программного обеспечения. 6 лет разницы – это также серьезные изменение в области безопасности и защиты конфиденциальности.

Перейдём теперь к прямому сравнению функций безопасности, которые Microsoft делит на четыре категории.

Защита идентификационных данных

• Фишинг-атака на пароли пользователей имеет больше шансов завершиться успехом.
• Многофакторные решения, такие как смарт-карты, часто громоздки, а их реализации дорогостоящая.
• Атаки типа «Pass the hash» позволяют злоумышленникам красть личные данные, вторгаться в сети и избегать обнаружения.
• Устройства BYOD (Bring Your Own Device) имеют ограниченный доступ к сети из-за опасности.

• Windows Hello – это простая в использовании многофакторная альтернатива для традиционных текстовых паролей, которая для проверки подлинности использует биометрические данные или другой тип данных.
• Аппаратура Windows Hello (Companion Devices), такая как ободки, smartwatch, другие мобильные устройства, позволяет быстро войти в систему Windows 10 и выполнить проверку подлинности на бизнес-ресурсах – без ввода текстового пароля.
• Credential Guard помогает защитить маркеры доступа пользователей (например, NTLM Hash) от кражи или неправильного использования, сохраняя их в защищенном, изолированном контейнере.
• Microsoft Azure Active Directory (Azure AD) обеспечивает комплексное решение для управления идентификацией и доступом в облаке.

Защита информации

• BitLocker позволяет настроить шифрование дисков.
• Предотвращение случайных утечек данных требует использования дополнительных и, как правило, внешних услуг.
• Защита информации, как правило, негативно влияет на пользовательский опыт.

• BitLocker значительно улучшен, настраиваемый и может быть автоматически развернут на многих новых устройствах.
• Windows Information Protection (WIP) помогает защищать бизнес-данные. WIP представляет собой «ворота», исключающие выход защищаемых данных. Инструмент защищает ваши данные независимо от того, где они находятся, и не влияет на пользовательский опыт.

Противодействие угрозам

• Большинство нарушений в системе безопасности инициализируется через браузер и быстро реализуются, оставляя пользователю и IT-отделу небольшую или нулевую возможность ответа.
• Все приложения являются доверенными до тех пор, пока не будут восприняты как угроза или явно заблокированы.
• Антивирусная программа не предоставляется сразу и требует установки дополнительного программного обеспечения.
• Взлом сети остаётся незамеченными, в среднем, 200 дней. Организации получают мало или ноль информации об источнике нарушения.

• Microsoft Edge использует технологию сандбокса, чтобы изолировать браузер от ОС и плагинов, таких как Flash. В случае нарушений, операционная система не пострадает.
• Device Guard предлагает полную защиту приложений, только убедившись в безопасности приложения, разрешает его запуск.
• Windows Defender обеспечивает первоклассную антивирусную защиту, а его эффективность является одной из самых высоких в отрасли.
• Windows Defender Advanced Threat Protection (ATP) позволяет клиентам компании узнавать, расследовать и предотвращать угрозы и атаки в сети.

Безопасность устройства

• Безопасность платформы основана на том, что умеет программа. После инфекции нет никакой гарантии, что защита системы сможет выполнять свои функции в полном порядке, без изменений.
• Вредоносные программы могут скрываться в оборудовании или же операционной системе. Не существует надежного способа, чтобы проверить целостность, когда дело доходит до такого нарушения.
• Если злоумышленник получил контроль на уровне ядра, он получает широкий доступ к системе.

• Надежная защита, основанная на оборудовании, помогает сохранить и проверить целостность оборудования и системы.
• UEFI Secure Boot помогает предотвратить появление вредоносных программ в оборудовании или стартовом наборе приложений. Trusted Boot помогает сохранить целостность остальных систем.
• Защита, основанная на виртуализации (VBS), передаёт некоторые из наиболее чувствительных процессов Windows в безопасную среду выполнения, что помогает предотвратить изменения, а также тогда, когда было нарушено ядро (kernel) Windows. В Windows 10 VBS приводит в действие такие функции, как Device Guard, Credential Guard, Virtual TPM и Windows Hello, которые противодействуют вредоносным программам, хакерским утилитам и взлому.

Недавняя статистика «Лаборатории Касперского» ясно показала, что WannaCry заразил в основном Windows 7, в то время как доля 10 была незначительной.