Windows file protection защита системных файлов - Доктор Windows

Аннотация

В данной статье приведено описание механизма защиты файлов Windows (WFP).

Дополнительная информация

Защита файлов Windows (WFP) служит для предотвращения перезаписи программами важных файлов операционной системы. Такие файлы нельзя перезаписывать, поскольку они используются как самой операционной системой, так и другими программами. Защита таких файлов необходима для предупреждения возможных неполадок в работе операционной системы и установленного программного обеспечения.

Механизм WFP отвечает за защиту важных системных файлов, устанавливаемых вместе с Windows (например, файлы с расширениями dll, exe, ocx и sys, а также некоторые шрифты True Type). Проверка правильности версии защищенных системных файлов производится с помощью подписей файлов и файлов каталога, созданных в процессе подписывания. Замена защищенных файлов операционной системы возможна только посредством следующих механизмов.

При установке пакетов обновления для Windows с помощью программы Update.exe.
При установке исправлений с помощью программ Hotfix.exe и Update.exe.
При обновлении операционной системы с помощью программы Winnt32.exe.
При использовании веб-узла Windows Update.

Если для замены защищенного файла используется другой способ, функция WFP восстанавливает исходные файлы. При установке важных системных файлов установщик Windows не устанавливает и не заменяет их самостоятельно, а всегда использует механизм WFP, обращаясь к нему с запросом установки или замены защищенных файлов.

Принцип работы механизма защиты файлов Windows

Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке.

Папка кэша (по умолчанию %systemroot%system32dllcache).
Путь к сетевому источнику установки, если он был использован для установки операционной системы.
Компакт-диск Windows, если он был использован для установки операционной системы.

Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла — это имя замененного файла, а продукт — это используемый продукт Windows.

Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск продукт.
Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Сетевая папка, из которой необходимо скопировать эти файлы, \серверобщий_ресурс, недоступна. Обратитесь к системному администратору или вставьте компакт-диск продукт.

Запись реестра SFCShowProgress отсутствует или содержит значение 1, а сервер настроен на проверку при каждом запуске компьютера; в таком случае WFP ждет входа с консоли, поэтому сервер RPC не запускается, пока не будет выполнена проверка. В течение этого времени компьютер не защищен.

Примечание. При этом сохраняется возможность подключения сетевых дисков и использования системных файлов, и для входа на сервер можно использовать службы терминалов. WFP не считает эти операции консольным входом и находится в состоянии ожидания неограниченно долго.
WFP должен восстановить файл из общего сетевого ресурса. Такая ситуация может возникнуть в случае, если в папке Dllcache нет требуемого файла или он поврежден. В этом случае у WFP может не быть требуемых учетных данных для доступа к общему ресурсу на носителе для установки по сети.

В качестве второго механизма защиты, обеспечиваемого WFP, используется средство проверки системных файлов (файл Sfc.exe). В конце работы режима графического интерфейса программы установки это средство проверяет, не были ли защищенные файлы изменены программами, установленными автоматически. Кроме того, программа Sfc.exe проверяет все файлы каталога, используемые для отслеживания правильных версий файлов. В случае отсутствия или повреждения любого из файлов каталога он переименовывается и восстанавливается из папки кэша. Если в папке кэша файл найти не удается, WFP запрашивает установку соответствующего носителя с новой копией файла каталога.

Средство проверки системных файлов предоставляет администратору возможность проверить версии всех защищенных файлов. Кроме того, это средство проверяет и повторно заполняет папку кэша (по умолчанию — %SystemRoot%System32Dllcache) Если папка кэша повреждена или стала непригодной для использования, для восстановления ее содержимого используется команда sfc /scanonce или sfc /scanboot.

Параметр SfcScan из раздела системного реестра

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon может принимать три значения. Возможные значения параметра SfcScan:

0x0 — не проверять защищенные файлы после перезагрузки системы (по умолчанию);
0x1 — проверять все защищенные файлы после каждой перезагрузки системы (устанавливается после запуска команды sfc /scanboot).
0x2 — проверить все защищенные файлы после перезагрузки системы (устанавливается после запуска команды sfc /scanonce).

По умолчанию резервные копии всех системных файлов хранятся в папке кэша, размер которой составляет 400 МБ (по умолчанию). Хранение резервных копий всех системных файлов не всегда желательно с точки зрения наличия свободного места на диске. Для изменения размера кэша измените значение параметра SFCQuota в следующем разделе реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon. WFP хранит проверенные версии файлов на жестком диске в папке Dllcache. Количество хранимых файлов определяется значением параметра SFCQuota (по умолчанию 0xFFFFFFFF или 400 Мбайтов). Администратор может увеличивать или уменьшать значение параметраSFCQuota по своему усмотрению. Обратите внимание, что если для параметра SFCQuota установлено значение 0xFFFFFFFF, WFP хранит все защищенные файлы (приблизительно 2700 файлов).

Отсутствие в папке кэша копий некоторых системных файлов (независимо от значения параметра SFCQuota) возможно по двум причинам.

Недостаточно места на диске.

На компьютере под управлением Windows XP запись в папку Dllcache прекращается, когда на жестком диске объем оставшегося свободного места меньше суммы (600 МБ + максимальный размер файла подкачки).
На компьютере под управлением Windows 2000 запись в папку Dllcache прекращается, когда на жестком диске остается менее 600 МБ свободного места.
Сетевая установка.

Если ОС Windows 2000 или Windows XP установлена по сети, файлы из папки i386lang не заносятся в папку Dllcache.

Кроме того, все драйверы в файле Driver.cab являются защищенными, но в папку Dllcache не записываются. WFP восстанавливает эти файлы непосредственно из файла Driver.cab без вывода пользователю запроса на предоставление носителя исходных файлов, однако при выполнении команды sfc /scannow файлы, содержащиеся в файле Driver.cab, записываются в папку Dllcache.

Если WFP обнаруживает изменение файла, не входящего в папку кэша, выполняется проверка версии измененного файла, используемой операционной системой в текущий момент. Если используемый в текущий момент файл имеет допустимую версию, он копируется в папку кэша. Если версия файла не является допустимой или файл отсутствует в папке кэша, WFP выполняет поиск источника установки. Если его найти не удается, WFP предлагает администратору установить соответствующий носитель для замены версии файла, находящегося в папке кэша.

Местонахождение папки Dllcache указывается параметром SFCDllCacheDir (REG_EXPAND_SZ) из следующего раздела реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon По умолчанию параметр SFCDllCacheDir имеет значение %SystemRoot%System32. В качестве значения параметра SFCDllCacheDir может быть использован путь к папке на локальном диске. По умолчанию параметр SFCDllCacheDir в разделе HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon отсутствует. Таким образом, для изменения местонахождения папки кэша этот параметр необходимо добавить самостоятельно.

При запуске Windows значения параметров из раздела

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTWindows File Protection WFP копируются в соответствующие параметры в разделе

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon. Следовательно, если в разделе HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTWindows File Protection присутствуют параметры SfcScan, SFCQuota или SFCDllCacheDir, их значения имеют преимущество перед значениями аналогичных параметров в подразделе HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon.

Для получения дополнительных сведений о механизме WFP щелкните следующий номер статьи базы знаний Майкрософт:

222473 Настройки реестра для защиты файлов WindowsДля получения дополнительных сведений о средстве проверки системных файлов в Windows XP и Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:

310747 Описание средства проверки системных файлов Windows XP и Windows Server 2003 (Sfc.exe)Для получения дополнительных сведений о средстве проверки системных файлов в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:

222471 Описание средства проверки системных файлов Windows 2000 (Sfc.exe) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о механизме WFP посетите веб-узел корпорации Майкрософт по адресу:

http://msdn2.microsoft.com/en-us/library/aa382551.aspxДля получения дополнительных сведений об установщике Windows и механизме WFP посетите веб-узел корпорации Майкрософт по адресу:

http://msdn2.microsoft.com/en-us/library/aa372820.aspx

Нужна дополнительная помощь?

Источник

Защита системных файлов

Как отключить защиту

В Windows Me и выше на смену утилите sfc.exe пришла автоматически отслеживающая замену файлов служба System File Protection, которая не только обнаружит попытку переписать важный файл, но и сама восстановит его исходный вариант. Защита системных файлов — это средство Windows, обеспечивающее сохранность файлов, необходимых для работы системы. Оно предотвращает замену этих файлов их старыми версиями и версиями, не утвержденными корпорацией Майкрософт.

Даже приложения, разработанные корпорацией Майкрософт, не могут заменять защищенные этой системой файлы на их старые версии. Приложения сторонних поставщиков могут заменять системные файлы, только если эти файлы поставляются с каталогом, подписанным корпорацией Майкрософт, содержащим более новый файл.

В некоторых случаях требуется отключать эту защиту. Не забывайте делать резервную копию всего, что изменяете

Итак, для Windows 2000 без Service Pack 2 (SP2), то в раздел реестра

HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWinlogon

добавьте DWORD-параметр (если его нет) SFCDisable со значением FFFFFF9D.

Для Windows 2000 с Service Pack 2 (SP2) — откройте файл %systemroot%system32sfc.dll в любом шестнадцатеричном редакторе, перейдите на смещение 00006211 (6211 hex) и измените байты 8BC6 на 9090. Если исходные значения другие, то ничего не меняйте! Сохраните изменения. В реестре установите параметр SFCDisable равным FFFFFF9D.

Для Windows XP без SP1 — в файле %systemroot%system32sfc_os.dll по адресу 0000E2B8 (E2B8 hex) измените байты 8BC6 на 9090. В реестре установите параметр SFCDisable равным FFFFFF9D

Для Windows XP с SP1 — в файле %systemroot%system32sfc_os.dll по адресу 0000E3BB (E3BB hex) измените байты 8BC6 на 9090. В реестре установите параметр SFCDisable равным FFFFFF9D

Для параметра SFCDisable существуют следующие возможные значения:
0 — включить WFP/SFC
1 — отключить WFP/SFC до следующей перезагрузки ПК, во время которой будет выдано приглашение снова включить защиту файлов
2 — отключить WFP/SFC до следующей перезагрузки
4 — включить WFP/SFC, отключить выдачу всех всплывающих сообщений о работе этой службы

FFFFFF9D — полностью выключить WFP/SFC.

Уведомления о защите файлов

Если вы ее не отключали защиту файлов, и если хотите получать каждый раз уведомление о срабатывании системы глобальной защиты основных файлов, то установите такой параметр типа DWORD ShowPopups равным 1 в разделе:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSystemFileProtection

А почитать протокол уже проделанной работы System File Protection можно в файле C:WindowsSystemSfpsfplog.txt. При этом «родные» файлы для замены она берет не с компакт-диска, а из папки C:WindowsOptions, в которую записывает и обновленные после посещения Windows Update библиотеки, так что файлы в ее базе всегда самые свежие и удалять эту папку не рекомендуется.

Источник

Защита системных файлов и реестра.

Защита
файлов Windows (англ. Windows
File Protection, WFP) —
технология, позволяющая запретить
программам изменять или удалять наиболее
важные системные файлы операционных
систем семейства Windows.
Защита критически важных системных
файлов позволяет избежать ряда серьёзных
проблем и сбоев в работе операционной
системы и прикладного программного
обеспечения, например, DLL
hell.

Названия
в различных версиях Windows:

Защита
файлов Windows — Windows
2000, Windows
XP, Windows
Server 2003.
System
File Protection — Windows
ME.
Защита
ресурсов Windows — Windows
Vista.
Строго говоря, является другой
технологией, но принцип работы схожий:
на основе ACL проверяется,
может ли тот или инойпользователь осуществлять
операции с файлами (не только
системными). Ещё одна цель — защита
ключевых значений реестра.

Когда Windows
File Protection активна,
перезапись или удаление незаблокированного
системного файла приводит к немедленному
восстановлению его оригинальной версии,
которая хранится в специальной системной
папке. В операционных системах
семейства Windows
NT это %WINDIR%system32Dllcache,
в Windows
ME —%SYSTEMROOT%OptionsInstall.

Все
файлы, устанавливаемые операционной
системой, защищены от изменения или
удаления. Цифровая подпись этих
файлов хранится
в каталоге%SYSTEMROOT%system32catRoot{F750E6C3-38EE-11D1-85E5-00C04FC295EE}.
Изменение вышеназванных системных
файлов разрешено только немногочисленным
специальным компонентам,
например, Установщик Windows или Установщик
пакетов (англ. Package
Installer).
В противном случае файл возвращается
в исходное состояние без каких-либо
запросов или сообщений. Лишь тогда,
когда Windows
File Protection не
удаётся найти требуемый файл самостоятельно,
производится поиск в локальной
сети, Интернете или выдаётся запрос
пользователю с просьбой вставить
установочный диск в дисковод.

Средства мониторинга windows 2000/xp.
Локальные политики безопасности.
Разграничение прав доступа на уровне ntfs.

Разграничение
доступа является важнейшей особенностью
файловой системы NTFS.
Так как данная система реализована в
защищенном режиме ОС и меняется от
версии к версии ОС, то узнать ее структуру
или даже попытаться считать какие-либо
данные в обход ядра ОС для приложений
становится практически невозможно. В
NTFS
введена система прав, когда каждый
пользователь может иметь (или не иметь)
определенные права на пользование
файлом (папкой): возможность чтения,
записи, исполнения и пр. Для того чтобы
пользователь мог просмотреть ее
содержимое, необходимо, чтобы он имел
на это право. Данный механизм позволяет
пользователям сохранять свои данные и
информацию.

Профили пользователей: структура, назначение, хранение.
Структура и редактирование файла boot.Ini.

Отредактировать
boot.ini
можно несколькими способами:

1.
Найти его в корневом каталоге загрузочного
диска и отредактировать в блокноте, при
этом стоит помнить, что данный файл
является системным, поэтому необходимо
перед редактированием снять галочку
«Скрывать защищенные системные файлы»
в свойствах.

2.
Значительно проще добраться до этого
файла можно щелкнув правой кнопкой мыши
на значке «Мой Компьютер», выбрать
из выпадающего меню пункт «Свойства»,
перейти на вкладку «Дополнительно»,
перейти в окно «Загрузка и восстановление»
— «Параметры» — «Загрузка
операционной системы» — «Правка»

3.
Также можно открыть программу «Настройка
системы» набрав в командной строке
msconfig и перейти на вкладку BOOT.INI. Программа
«Настройка системы» предоставляет
удобный интерфейс для редактирования
этого файла установкой или снятием
галочек с соответствующих пунктов,
изменения отображаются в верхнем окне
программы, но можно внести только
изменения, разрешенные программой. Этот
метод редактирования более безопасен,
чем прямое внесение изменений в файл.

На
компьютерах под управлением Windows XP
Professional файл Boot.ini, используемый по
умолчанию будет выглядеть следующим
образом:

[boot
loader]  timeout=30
 default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS  [operating
systems]  multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft
Windows XP Professional» /fastdetect

При
использовании двух операционных систем,
например, Windows 2000 и Windows XP, содержимое
файла будет примерно такое:

[boot
loader]  timeout=30
 default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS  [operating
systems]  multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Windows
XP Professional» /fastdetect
 multi(0)disk(0)rdisk(0)partition(2)WINNT=»Windows 2000
Professional» /fastdetect

В
следующем списке приведено значение
данных в файле Boot.ini.

После
слова «timeout» указывается время ожидания
Windows перед выбором операционной системы
по умолчанию.
Слово
«default» обозначает операционную систему
загружаемую по умолчанию.
«scsi(0)»
означает, что устройством управляет
основной контроллер (обычно это
единственный контроллер). Если
используются два контроллера SCSI и диск
связан со вторым контроллером, этот
контроллер обозначается как «scsi(1)».
 Если система использует диски IDE, EIDE
(расширенный IDE) или ESDI или адаптер SCSI
без встроенной системы BIOS, замените
«scsi» на «multi».
«disk(0)»
указывает, какую логическую единицу
SCSI (LUN) нужно использовать. Это может
быть отдельный диск, но в подавляющем
большинстве систем SCSI для каждого
идентификатора SCSI задана только одна
логическая единица.
«rdisk(0)»
обозначает физический диск 1.
В
этом примере «partition(1)» – единственный
раздел на первом диске компьютера. Если
разделов два (C и D), то partition(1) обозначает
раздел C, а partition(2) – раздел D.
Если
указан параметр «multi-boot», будет проверяться
папка Winnt для загрузки с указанного
диска и раздела контроллера SCSI.
«/NODEBUG»
указывает, что не будет производиться
наблюдение за отладочной информацией.
Отладочная информация нужна только
разработчикам.
Можно
добавить параметр /SOS, чтобы при загрузке
драйверов отображались их имена. По
умолчанию загрузчик ОС показывает
только точки, обозначающие выполнение
процесса.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

Источник

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 00:43, 24 октября 2017.

WFP (англ. Windows File Protection — Защита файлов Windows) — вложенная система, включенная в Microsoft Windows, целью которой является предотвращение загрузки программ замены важных для Windows системных файлов.
WFP — технология, позволяющая запретить программам изменять или удалять наиболее важные системные файлы операционных систем семейства Windows. Защита критически важных системных файлов позволяет избежать ряда серьёзных проблем и сбоев в работе операционной системы и прикладного программного обеспечения, например, DLL hell.

Содержание

1 Названия в различных версиях Windows
2 Обзор
3 Принцип работы механизма защиты файлов Windows
4 Описание работы службы WFP
- 4.1 Проверка работы службы WFP
5 Элементы службы WFP
6 Особенности службы WFP
7 Источники
8 Ссылки

Названия в различных версиях Windows

Защита файлов Windows — Windows 2000, Windows XP, Windows Server 2003.
System File Protection — Windows ME.
Защита ресурсов Windows — Windows Vista. Строго говоря, является другой технологией, но принцип работы схожий: на основе ACL проверяется, может ли тот или иной пользователь осуществлять операции с файлами (не только системными). Ещё одна цель — защита ключевых значений реестра.
Когда Windows File Protection активна, перезапись или удаление незаблокированного системного файла приводит к немедленному восстановлению его оригинальной версии, которая хранится в специальной системной папке. В операционных системах семейства Windows NT это %WINDIR%system32Dllcache, в Windows ME — %SYSTEMROOT%OptionsInstall.

Все файлы, устанавливаемые операционной системой, защищены от изменения или удаления. Цифровая подпись этих файлов хранится в каталоге %SYSTEMROOT%system32catRoot{F750E6C3-38EE-11D1-85E5-00C04FC295EE}. Изменение вышеназванных системных файлов разрешено только немногочисленным специальным компонентам, например, Установщик Windows или Установщик пакетов (англ. Package Installer). В противном случае файл возвращается в исходное состояние без каких-либо запросов или сообщений. Лишь тогда, когда Windows File Protection не удаётся найти требуемый файл самостоятельно, производится поиск в локальной сети, Интернете или выдаётся запрос пользователю с просьбой вставить установочный диск в дисковод. ^{[Источник 1]}

Обзор

При установке пакетов обновления для Windows с помощью программы Update.exe.
При установке исправлений с помощью программ Hotfix.exe и Update.exe.
При обновлении операционной системы с помощью программы Winnt32.exe.
При использовании веб-узла Windows Update.

Принцип работы механизма защиты файлов Windows

Папка кэша (по умолчанию %systemroot%system32dllcache).
Путь к сетевому источнику установки, если он был использован для установки операционной системы.
Компакт-диск Windows, если он был использован для установки операционной системы.

Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла — это имя замененного файла, а продукт — это используемый продукт Windows.

Примечание. Если вход в систему был выполнен с учетной записью, которая не дает прав администратора, описанные выше диалоговые окна не отображаются. В таком случае эти диалоговые окна отображаются только после входа в систему с правами администратора. WFP ждет входа в систему администратора в следующих ситуациях.
Запись реестра SFCShowProgress отсутствует или содержит значение 1, а сервер настроен на проверку при каждом запуске компьютера; в таком случае WFP ждет входа с консоли, поэтому сервер RPC не запускается, пока не будет выполнена проверка. В течение этого времени компьютер не защищен.

Примечание. При этом сохраняется возможность подключения сетевых дисков и использования системных файлов, и для входа на сервер можно использовать службы терминалов. WFP не считает эти операции консольным входом и находится в состоянии ожидания неограниченно долго.
WFP должен восстановить файл из общего сетевого ресурса. Такая ситуация может возникнуть в случае, если в папке Dllcache нет требуемого файла или он поврежден. В этом случае у WFP может не быть требуемых учетных данных для доступа к общему ресурсу на носителе для установки по сети.
В качестве второго механизма защиты, обеспечиваемого WFP, используется средство проверки системных файлов (файл Sfc.exe). В конце работы режима графического интерфейса программы установки это средство проверяет, не были ли защищенные файлы изменены программами, установленными автоматически. Кроме того, программа Sfc.exe проверяет все файлы каталога, используемые для отслеживания правильных версий файлов. В случае отсутствия или повреждения любого из файлов каталога он переименовывается и восстанавливается из папки кэша. Если в папке кэша файл найти не удается, WFP запрашивает установку соответствующего носителя с новой копией файла каталога.

Описание работы службы WFP

Проверка работы службы защиты файлов Windows (WFP) рассматривается в следующей процедуре.

Проверка работы службы WFP

Откройте Explorer (Проводник) и перейдите в каталог windowsSystem32. Если Explorer поддерживает просмотр каталогов в виде Web-папок, будет выдан запрос на подтверждение доступа к папкам Windows и WindowsSystem32. Это подсказывает, что каталоги защищены службой защиты файлов Windows.
Прокрутите список файлов и найдите один из файлов, установленных вместе с операционной системой.
Щелкните правой кнопкой мыши на пиктограмме файла и выберите из контекстного меню команду Delete (Удалить). Щелкните на кнопке Yes (Да) для подтверждения удаления.
Некоторое время ничего не делайте. Ждите и наблюдайте. Через несколько секунд пиктограмма файла появится на старом месте. Это значит, что служба защиты файлов Windows работает.

Элементы службы WFP

Служба защиты файлов Windows не работает в виде отдельного процесса. Это одна из функций ядра операционной системы. Для управления службой можно воспользоваться записями системного реестра в разделе HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon. Для управления службой защиты файлов Windows доступны следующие записи.

SFCQuota. Объем дискового пространства, выделенного для хранения каталога DllCache. По умолчанию используется значение FFFFFFFF, которое выделяет для хранения каталога практически неограниченный объем величиной 4 Гбайт. Тот же эффект дает значение -1.
SFCDisable. Если установить для этой записи значение 1, защита системных файлов будет отключена при следующей перезагрузке. После еще одной перезагрузки служба за щиты файлов включится автоматически. Этот параметр можно использовать для замены файлов версиями, одобренными производителем системы, или для установки специальных версий файлов, предназначенных для отладки.
SFCBugCheck. В обычных условиях при попытке замены или удаления защищенного файла система выдает предупреждение на локальную консоль. Если установить для этой записи значение 1, система останавливает работу и выдает синий экран с сообщением об ошибке. Этот параметр можно установить на рабочей станции, пользователь которой время от времени старается заменить системные файлы.
SFCScan. Заставляет службу WFP просматривать папку DllCache во время загрузки и находить отсутствующие файлы. Значение 1 заставляет службу сканировать файлы при каждой загрузке. Значение 2 заставляет службу провести однократное сканирование.

Особенности службы WFP

Служба WFP защищает системные файлы, установленные вместе с операционной системой.
Служба защиты файлов Windows разрешает модификацию системных файлов только не большому количеству доверенных выполняемых файлов.
Удаленные или поврежденные системные файлы заменяются правильными версиями из специального кэша на диске.
Утилита sfc позволяет вручную запустить сканирование и исправление системных файлов. ^{[Источник 3]}

Источники

↑ Защита файлов Windows // Википедия. [2016—2016]. Дата обновления: 18.05.2016. URL: http://ru.wikipedia.org/?oldid=78434584 (дата обращения: 18.05.2016).
↑ Описание механизма защиты файлов Windows. [2016—2016]. Дата обновления: 19.08.2016. URL:https://support.microsoft.com/ru-ru/help/222193/description-of-the-windows-file-protection-feature (дата обращения: 19.08.2016)
↑ Защита Файлов Windows. [2016—2016]. Дата обновления: 21.12.2016. URL:http://win-server.ru/p/46 (дата обращения: 21.12.2016)

Ссылки

Windows File Protection
Описание механизма защиты файлов Windows

Источник

by Ivan Jenic

Passionate about all elements related to Windows and combined with his innate curiosity, Ivan has delved deep into understanding this operating system, with a specialization in drivers and… read more

Updated on March 25, 2021

Windows File Protection is a feature in Windows 10 that ensures the protection of critical system files.
The article below will be discussing in greater detail what it is, how to use it, and some alternatives.
To read more on the subject, check out our dedicated WFP Hub.
If the topic of data protection interests you, we have a specialized Data Protection page as well.

Windows File Protection happens to be a built-in Windows feature designed to protect critical system files from getting replaced or overwritten, be it inadvertently or intentionally.

In the unlikely scenario of that ever happening, the feature also restores the original copy of the particular file automatically to ensure the smooth operation of the PC.

What is Windows File Protection?

Those files that are needed by the operating system as well as other supported applications for the smooth functioning of the PC come under the coverage of Windows File Protection.

Such files typically have extensions such as .dll, .exe, .ocx, and .sys extension and some True Type fonts.

It works on the basis of file signatures and catalog files generated by code signing to make sure if the files under its purview are indeed the ones that came with the original Windows installation.

If not, the affected files are identified and replaced though the replacement is done strictly in accordance with the following method:

Windows Service Pack installation using Update.exe
Hotfixes installed using Hotfix.exe or Update.exe
Operating system upgrades using Winnt32.exe
Windows Update

Third-party file protection programs

A far simpler alternative than to use your system’s built-in tools is to use third-party software that is especially dedicated to this particular task. In the case at hand, One program that can ensure the safety of your files is none other than WinZip.

While most of you may know it as a basic archiving tool, WinZip has evolved a lot ever since its inception, adding many new features to its toolset, including the ability to lock files and protect them from deletion.

This is done via something that the developer likes to call banking-level encryption, meaning that no one other than yourself will ever have access to the data that you are archiving.

Of course, it hasn’t forgotten its roots, since it can still unzip all major file formats, compress files in the best ways possible, and even share them afterward over various platforms.

WinZip

A great tool for creating archives that are not only smaller in size, but also secured via encryption, now available at a discount price.

How does Windows File Protection work?

Further, there are two ways the WFP feature works though fortunately for the user, most of its working goes on behind the scene and requires least intervention by the user.

Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.

For instance, the WFP feature kicks in automatically whenever there is a directory change notification raised. The latter again springs to life if there is a change detected in any files present in the protected directory.

The next thing for WFP to do is to determine which file has undergone a change and if the file is in the protected category:

If yes, WFP will then attempt to match the file signature with the file catalog to make sure if the new version of the file is indeed genuine.
If not, WFP will then replace the file with the correct version of it from the cache folder – %systemroot%system32dllcache.

Or if the said file is missing in the cache folder, WFP will then attempt to source the same from the installation source which can be either the Windows DVD, image file or such.

In such a scenario, WFP shows a message wherein it mentions the name of the corrupted file along with the original location of the said file. Point to note here is that the said messages will be shown only if you are logged in as an administrator.

Else, the system will wait for the administrator to log in for the message to be displayed.

SFC scannow and Windows File Protection

The other protection mechanism WFP feature comes with is the System File Checker or SFC. The way it works is this – the System File Checker will scan all protected file once the GUI mode of setup is complete.

This way, SFC will ensure all protected files are exactly how it should be. The SFC will also scan all the catalog files as well, the ones that are used to check the authenticity of the protected files.

And just in case there is any discrepancy found in the catalog file, it makes the necessary correction using the cached version of the file from the cache folder.

However, if the cached copy of the catalog file is also missing, the WFP feature will request the original Windows installation media to retrieve the correct version of the affected catalog file.

Windows File Protection originally debuted with Windows 2000 followed by other subsequent Windows versions such as Windows XP and Windows Server 2003.

With Windows Me, it came to be identified as System File Protection or SFP through the basic functioning remained the same.

Starting Windows Vista and all subsequent editions of Windows post that, its Windows Resource Protection that took on the role.

That included preventing undesired system configuration changes, protecting crucial registry keys and values besides ensuring all critical operating system files are in the current form and order, thereby preventing what has come to be known in the tech circle as the dreaded .dll hell state.

Still having issues? Fix them with this tool:

SPONSORED

If the advices above haven’t solved your issue, your PC may experience deeper Windows problems. We recommend downloading this PC Repair tool (rated Great on TrustPilot.com) to easily address them. After installation, simply click the Start Scan button and then press on Repair All.

Источник

by Ivan Jenic

Updated on March 25, 2021

Windows File Protection is a feature in Windows 10 that ensures the protection of critical system files.
The article below will be discussing in greater detail what it is, how to use it, and some alternatives.
To read more on the subject, check out our dedicated WFP Hub.
If the topic of data protection interests you, we have a specialized Data Protection page as well.

Windows File Protection happens to be a built-in Windows feature designed to protect critical system files from getting replaced or overwritten, be it inadvertently or intentionally.

In the unlikely scenario of that ever happening, the feature also restores the original copy of the particular file automatically to ensure the smooth operation of the PC.

What is Windows File Protection?

Those files that are needed by the operating system as well as other supported applications for the smooth functioning of the PC come under the coverage of Windows File Protection.

Such files typically have extensions such as .dll, .exe, .ocx, and .sys extension and some True Type fonts.

If not, the affected files are identified and replaced though the replacement is done strictly in accordance with the following method:

Windows Service Pack installation using Update.exe
Hotfixes installed using Hotfix.exe or Update.exe
Operating system upgrades using Winnt32.exe
Windows Update