Windows file protection защита системных файлов

В данной статье приведено описание механизма защиты файлов Windows (WFP).

Аннотация

В данной статье приведено описание механизма защиты файлов Windows (WFP).

Дополнительная информация

Защита файлов Windows (WFP) служит для предотвращения перезаписи программами важных файлов операционной системы. Такие файлы нельзя перезаписывать, поскольку они используются как самой операционной системой, так и другими программами. Защита таких файлов необходима для предупреждения возможных неполадок в работе операционной системы и установленного программного обеспечения.

Механизм WFP отвечает за защиту важных системных файлов, устанавливаемых вместе с Windows (например, файлы с расширениями dll, exe, ocx и sys, а также некоторые шрифты True Type). Проверка правильности версии защищенных системных файлов производится с помощью подписей файлов и файлов каталога, созданных в процессе подписывания. Замена защищенных файлов операционной системы возможна только посредством следующих механизмов.

  • При установке пакетов обновления для Windows с помощью программы Update.exe.

  • При установке исправлений с помощью программ Hotfix.exe и Update.exe.

  • При обновлении операционной системы с помощью программы Winnt32.exe.

  • При использовании веб-узла Windows Update.

Если для замены защищенного файла используется другой способ, функция WFP восстанавливает исходные файлы. При установке важных системных файлов установщик Windows не устанавливает и не заменяет их самостоятельно, а всегда использует механизм WFP, обращаясь к нему с запросом установки или замены защищенных файлов.

Принцип работы механизма защиты файлов Windows

Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке.

  1. Папка кэша (по умолчанию %systemroot%system32dllcache).

  2. Путь к сетевому источнику установки, если он был использован для установки операционной системы.

  3. Компакт-диск Windows, если он был использован для установки операционной системы.

Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла — это имя замененного файла, а продукт — это используемый продукт Windows.

  • Защита файлов Windows
    Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск продукт.

  • Защита файлов Windows
    Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Сетевая папка, из которой необходимо скопировать эти файлы, \серверобщий_ресурс, недоступна. Обратитесь к системному администратору или вставьте компакт-диск продукт.

Примечание. Если вход в систему был выполнен с учетной записью, которая не дает прав администратора, описанные выше диалоговые окна не отображаются. В таком случае эти диалоговые окна отображаются только после входа в систему с правами администратора. WFP ждет входа в систему администратора в следующих ситуациях.

  • Запись реестра SFCShowProgress отсутствует или содержит значение 1, а сервер настроен на проверку при каждом запуске компьютера; в таком случае WFP ждет входа с консоли, поэтому сервер RPC не запускается, пока не будет выполнена проверка. В течение этого времени компьютер не защищен.

    Примечание. При этом сохраняется возможность подключения сетевых дисков и использования системных файлов, и для входа на сервер можно использовать службы терминалов. WFP не считает эти операции консольным входом и находится в состоянии ожидания неограниченно долго.

  • WFP должен восстановить файл из общего сетевого ресурса. Такая ситуация может возникнуть в случае, если в папке Dllcache нет требуемого файла или он поврежден. В этом случае у WFP может не быть требуемых учетных данных для доступа к общему ресурсу на носителе для установки по сети.

В качестве второго механизма защиты, обеспечиваемого WFP, используется средство проверки системных файлов (файл Sfc.exe). В конце работы режима графического интерфейса программы установки это средство проверяет, не были ли защищенные файлы изменены программами, установленными автоматически. Кроме того, программа Sfc.exe проверяет все файлы каталога, используемые для отслеживания правильных версий файлов. В случае отсутствия или повреждения любого из файлов каталога он переименовывается и восстанавливается из папки кэша. Если в папке кэша файл найти не удается, WFP запрашивает установку соответствующего носителя с новой копией файла каталога.

Средство проверки системных файлов предоставляет администратору возможность проверить версии всех защищенных файлов. Кроме того, это средство проверяет и повторно заполняет папку кэша (по умолчанию — %SystemRoot%System32Dllcache) Если папка кэша повреждена или стала непригодной для использования, для восстановления ее содержимого используется команда sfc /scanonce или sfc /scanboot.

Параметр SfcScan из раздела системного реестра

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon может принимать три значения. Возможные значения параметра SfcScan:

  • 0x0 — не проверять защищенные файлы после перезагрузки системы (по умолчанию);

  • 0x1 — проверять все защищенные файлы после каждой перезагрузки системы (устанавливается после запуска команды sfc /scanboot).

  • 0x2 — проверить все защищенные файлы после перезагрузки системы (устанавливается после запуска команды sfc /scanonce).

По умолчанию резервные копии всех системных файлов хранятся в папке кэша, размер которой составляет 400 МБ (по умолчанию). Хранение резервных копий всех системных файлов не всегда желательно с точки зрения наличия свободного места на диске. Для изменения размера кэша измените значение параметра SFCQuota в следующем разделе реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon. WFP хранит проверенные версии файлов на жестком диске в папке Dllcache. Количество хранимых файлов определяется значением параметра SFCQuota (по умолчанию 0xFFFFFFFF или 400 Мбайтов). Администратор может увеличивать или уменьшать значение параметраSFCQuota по своему усмотрению. Обратите внимание, что если для параметра SFCQuota установлено значение 0xFFFFFFFF, WFP хранит все защищенные файлы (приблизительно 2700 файлов).

Отсутствие в папке кэша копий некоторых системных файлов (независимо от значения параметра SFCQuota) возможно по двум причинам.

  1. Недостаточно места на диске.

    На компьютере под управлением Windows XP запись в папку Dllcache прекращается, когда на жестком диске объем оставшегося свободного места меньше суммы (600 МБ + максимальный размер файла подкачки).
    На компьютере под управлением Windows 2000 запись в папку Dllcache прекращается, когда на жестком диске остается менее 600 МБ свободного места.

  2. Сетевая установка.

    Если ОС Windows 2000 или Windows XP установлена по сети, файлы из папки i386lang не заносятся в папку Dllcache.

Кроме того, все драйверы в файле Driver.cab являются защищенными, но в папку Dllcache не записываются. WFP восстанавливает эти файлы непосредственно из файла Driver.cab без вывода пользователю запроса на предоставление носителя исходных файлов, однако при выполнении команды sfc /scannow файлы, содержащиеся в файле Driver.cab, записываются в папку Dllcache.

Если WFP обнаруживает изменение файла, не входящего в папку кэша, выполняется проверка версии измененного файла, используемой операционной системой в текущий момент. Если используемый в текущий момент файл имеет допустимую версию, он копируется в папку кэша. Если версия файла не является допустимой или файл отсутствует в папке кэша, WFP выполняет поиск источника установки. Если его найти не удается, WFP предлагает администратору установить соответствующий носитель для замены версии файла, находящегося в папке кэша.

Местонахождение папки Dllcache указывается параметром SFCDllCacheDir (REG_EXPAND_SZ) из следующего раздела реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon По умолчанию параметр SFCDllCacheDir имеет значение %SystemRoot%System32. В качестве значения параметра SFCDllCacheDir может быть использован путь к папке на локальном диске. По умолчанию параметр SFCDllCacheDir в разделе HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon отсутствует. Таким образом, для изменения местонахождения папки кэша этот параметр необходимо добавить самостоятельно.

При запуске Windows значения параметров из раздела

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTWindows File Protection WFP копируются в соответствующие параметры в разделе

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon. Следовательно, если в разделе HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTWindows File Protection присутствуют параметры SfcScan, SFCQuota или SFCDllCacheDir, их значения имеют преимущество перед значениями аналогичных параметров в подразделе HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon.

Для получения дополнительных сведений о механизме WFP щелкните следующий номер статьи базы знаний Майкрософт:

222473 Настройки реестра для защиты файлов WindowsДля получения дополнительных сведений о средстве проверки системных файлов в Windows XP и Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:

310747 Описание средства проверки системных файлов Windows XP и Windows Server 2003 (Sfc.exe)Для получения дополнительных сведений о средстве проверки системных файлов в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:

222471 Описание средства проверки системных файлов Windows 2000 (Sfc.exe) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о механизме WFP посетите веб-узел корпорации Майкрософт по адресу:

http://msdn2.microsoft.com/en-us/library/aa382551.aspxДля получения дополнительных сведений об установщике Windows и механизме WFP посетите веб-узел корпорации Майкрософт по адресу:

http://msdn2.microsoft.com/en-us/library/aa372820.aspx

Нужна дополнительная помощь?

Защита системных файлов

Как отключить защиту

В Windows Me и выше на смену утилите sfc.exe пришла автоматически отслеживающая замену файлов служба System File Protection, которая не только обнаружит попытку переписать важный файл, но и сама восстановит его исходный вариант. Защита системных файлов — это средство Windows, обеспечивающее сохранность файлов, необходимых для работы системы. Оно предотвращает замену этих файлов их старыми версиями и версиями, не утвержденными корпорацией Майкрософт.

Даже приложения, разработанные корпорацией Майкрософт, не могут заменять защищенные этой системой файлы на их старые версии. Приложения сторонних поставщиков могут заменять системные файлы, только если эти файлы поставляются с каталогом, подписанным корпорацией Майкрософт, содержащим более новый файл.

В некоторых случаях требуется отключать эту защиту. Не забывайте делать резервную копию всего, что изменяете

Итак, для Windows 2000 без Service Pack 2 (SP2), то в раздел реестра

HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWinlogon

добавьте DWORD-параметр (если его нет) SFCDisable со значением FFFFFF9D.

Для Windows 2000 с Service Pack 2 (SP2) — откройте файл %systemroot%system32sfc.dll в любом шестнадцатеричном редакторе, перейдите на смещение 00006211 (6211 hex) и измените байты 8BC6 на 9090. Если исходные значения другие, то ничего не меняйте! Сохраните изменения. В реестре установите параметр SFCDisable равным FFFFFF9D.

Для Windows XP без SP1 — в файле %systemroot%system32sfc_os.dll по адресу 0000E2B8 (E2B8 hex) измените байты 8BC6 на 9090. В реестре установите параметр SFCDisable равным FFFFFF9D

Для Windows XP с SP1 — в файле %systemroot%system32sfc_os.dll по адресу 0000E3BB (E3BB hex) измените байты 8BC6 на 9090. В реестре установите параметр SFCDisable равным FFFFFF9D

Для параметра SFCDisable существуют следующие возможные значения:
0 — включить WFP/SFC
1 — отключить WFP/SFC до следующей перезагрузки ПК, во время которой будет выдано приглашение снова включить защиту файлов
2 — отключить WFP/SFC до следующей перезагрузки
4 — включить WFP/SFC, отключить выдачу всех всплывающих сообщений о работе этой службы

FFFFFF9D — полностью выключить WFP/SFC.

Уведомления о защите файлов

Если вы ее не отключали защиту файлов, и если хотите получать каждый раз уведомление о срабатывании системы глобальной защиты основных файлов, то установите такой параметр типа DWORD ShowPopups равным 1 в разделе:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSystemFileProtection

А почитать протокол уже проделанной работы System File Protection можно в файле C:WindowsSystemSfpsfplog.txt. При этом «родные» файлы для замены она берет не с компакт-диска, а из папки C:WindowsOptions, в которую записывает и обновленные после посещения Windows Update библиотеки, так что файлы в ее базе всегда самые свежие и удалять эту папку не рекомендуется.

  1. Защита системных файлов и реестра.

Защита
файлов Windows
 (англ. Windows
File Protection
WFP) —
технология, позволяющая запретить
программам изменять или удалять наиболее
важные системные файлы операционных
систем семейства Windows.
Защита критически важных системных
файлов позволяет избежать ряда серьёзных
проблем и сбоев в работе операционной
системы и прикладного программного
обеспечения, например, DLL
hell
.

Названия
в различных версиях Windows:

  • Защита
    файлов Windows — Windows
    2000
    Windows
    XP
    Windows
    Server 2003
    .

  • System
    File Protection
     — Windows
    ME
    .

  • Защита
    ресурсов Windows — Windows
    Vista
    .
    Строго говоря, является другой
    технологией, но принцип работы схожий:
    на основе ACL проверяется,
    может ли тот или инойпользователь осуществлять
    операции с файлами (не только
    системными). Ещё одна цель — защита
    ключевых значений реестра.

Когда Windows
File Protection
 активна,
перезапись или удаление незаблокированного
системного файла приводит к немедленному
восстановлению его оригинальной версии,
которая хранится в специальной системной
папке. В операционных системах
семейства Windows
NT
 это %WINDIR%system32Dllcache,
в Windows
ME
 —%SYSTEMROOT%OptionsInstall.

Все
файлы, устанавливаемые операционной
системой, защищены от изменения или
удаления. Цифровая подпись этих
файлов хранится
в каталоге%SYSTEMROOT%system32catRoot{F750E6C3-38EE-11D1-85E5-00C04FC295EE}.
Изменение вышеназванных системных
файлов разрешено только немногочисленным
специальным компонентам,
например, Установщик Windows или Установщик
пакетов (англ. Package
Installer
).
В противном случае файл возвращается
в исходное состояние без каких-либо
запросов или сообщений. Лишь тогда,
когда Windows
File Protection
 не
удаётся найти требуемый файл самостоятельно,
производится поиск в локальной
сети, Интернете или выдаётся запрос
пользователю с просьбой вставить
установочный диск в дисковод.

  1. Средства мониторинга windows 2000/xp.

  2. Локальные политики безопасности.

  3. Разграничение прав доступа на уровне ntfs.

Разграничение
доступа является важнейшей особенностью
файловой системы NTFS.
Так как данная система реализована в
защищенном режиме ОС и меняется от
версии к версии ОС, то узнать ее структуру
или даже попытаться счи­тать какие-либо
данные в обход ядра ОС для приложе­ний
становится практически невозможно. В
NTFS
введена система прав, когда каждый
пользователь может иметь (или не иметь)
определенные права на пользование
файлом (папкой): возмож­ность чтения,
записи, исполнения и пр. Для того чтобы
пользователь мог просмотреть ее
содержимое, необходимо, чтобы он имел
на это право. Данный механизм позволяет
пользователям сохранять свои данные и
информацию.

  1. Профили пользователей: структура, назначение, хранение.

  2. Структура и редактирование файла boot.Ini.

Отредактировать
boot.ini
можно несколькими способами:

1.
Найти его в корневом каталоге загрузочного
диска и отредактировать в блокноте, при
этом стоит помнить, что данный файл
является системным, поэтому необходимо
перед редактированием снять галочку
«Скрывать защищенные системные файлы»
в свойствах.

2.
Значительно проще добраться до этого
файла можно щелкнув правой кнопкой мыши
на значке «Мой Компьютер», выбрать
из выпадающего меню пункт «Свойства»,
перейти на вкладку «Дополнительно»,
перейти в окно «Загрузка и восстановление»
— «Параметры» — «Загрузка
операционной системы» — «Правка»

3.
Также можно открыть программу «Настройка
системы» набрав в командной строке
msconfig и перейти на вкладку BOOT.INI. Программа
«Настройка системы» предоставляет
удобный интерфейс для редактирования
этого файла установкой или снятием
галочек с соответствующих пунктов,
изменения отображаются в верхнем окне
программы, но можно внести только
изменения, разрешенные программой. Этот
метод редактирования более безопасен,
чем прямое внесение изменений в файл.

На
компьютерах под управлением Windows XP
Professional файл Boot.ini, используемый по
умолчанию будет выглядеть следующим
образом:

[boot
loader] 
timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS 
[operating
systems] 
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft
Windows XP Professional» /fastdetect

При
использовании двух операционных систем,
например, Windows 2000 и Windows XP, содержимое
файла будет примерно такое:

[boot
loader] 
timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS 
[operating
systems] 
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Windows
XP Professional» /fastdetect

multi(0)disk(0)rdisk(0)partition(2)WINNT=»Windows 2000
Professional» /fastdetect

В
следующем списке приведено значение
данных в файле Boot.ini.

  • После
    слова «timeout» указывается время ожидания
    Windows перед выбором операционной системы
    по умолчанию.

  • Слово
    «default» обозначает операционную систему
    загружаемую по умолчанию.

  • «scsi(0)»
    означает, что устройством управляет
    основной контроллер (обычно это
    единственный контроллер). Если
    используются два контроллера SCSI и диск
    связан со вторым контроллером, этот
    контроллер обозначается как «scsi(1)».
    
Если система использует диски IDE, EIDE
    (расширенный IDE) или ESDI или адаптер SCSI
    без встроенной системы BIOS, замените
    «scsi» на «multi».

  • «disk(0)»
    указывает, какую логическую единицу
    SCSI (LUN) нужно использовать. Это может
    быть отдельный диск, но в подавляющем
    большинстве систем SCSI для каждого
    идентификатора SCSI задана только одна
    логическая единица.

  • «rdisk(0)»
    обозначает физический диск 1.

  • В
    этом примере «partition(1)» – единственный
    раздел на первом диске компьютера. Если
    разделов два (C и D), то partition(1) обозначает
    раздел C, а partition(2) – раздел D.

  • Если
    указан параметр «multi-boot», будет проверяться
    папка Winnt для загрузки с указанного
    диска и раздела контроллера SCSI.

  • «/NODEBUG»
    указывает, что не будет производиться
    наблюдение за отладочной информацией.
    Отладочная информация нужна только
    разработчикам.

  • Можно
    добавить параметр /SOS, чтобы при загрузке
    драйверов отображались их имена. По
    умолчанию загрузчик ОС показывает
    только точки, обозначающие выполнение
    процесса.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 00:43, 24 октября 2017.

WFP (англ. Windows File Protection — Защита файлов Windows) — вложенная система, включенная в Microsoft Windows, целью которой является предотвращение загрузки программ замены важных для Windows системных файлов.
WFP — технология, позволяющая запретить программам изменять или удалять наиболее важные системные файлы операционных систем семейства Windows. Защита критически важных системных файлов позволяет избежать ряда серьёзных проблем и сбоев в работе операционной системы и прикладного программного обеспечения, например, DLL hell.

Содержание

  • 1 Названия в различных версиях Windows
  • 2 Обзор
  • 3 Принцип работы механизма защиты файлов Windows
  • 4 Описание работы службы WFP
    • 4.1 Проверка работы службы WFP
  • 5 Элементы службы WFP
  • 6 Особенности службы WFP
  • 7 Источники
  • 8 Ссылки

Названия в различных версиях Windows

Защита файлов Windows — Windows 2000, Windows XP, Windows Server 2003.
System File Protection — Windows ME.
Защита ресурсов Windows — Windows Vista. Строго говоря, является другой технологией, но принцип работы схожий: на основе ACL проверяется, может ли тот или иной пользователь осуществлять операции с файлами (не только системными). Ещё одна цель — защита ключевых значений реестра.
Когда Windows File Protection активна, перезапись или удаление незаблокированного системного файла приводит к немедленному восстановлению его оригинальной версии, которая хранится в специальной системной папке. В операционных системах семейства Windows NT это %WINDIR%system32Dllcache, в Windows ME — %SYSTEMROOT%OptionsInstall.

Все файлы, устанавливаемые операционной системой, защищены от изменения или удаления. Цифровая подпись этих файлов хранится в каталоге %SYSTEMROOT%system32catRoot{F750E6C3-38EE-11D1-85E5-00C04FC295EE}. Изменение вышеназванных системных файлов разрешено только немногочисленным специальным компонентам, например, Установщик Windows или Установщик пакетов (англ. Package Installer). В противном случае файл возвращается в исходное состояние без каких-либо запросов или сообщений. Лишь тогда, когда Windows File Protection не удаётся найти требуемый файл самостоятельно, производится поиск в локальной сети, Интернете или выдаётся запрос пользователю с просьбой вставить установочный диск в дисковод. [Источник 1]

Обзор

Механизм WFP отвечает за защиту важных системных файлов, устанавливаемых вместе с Windows (например, файлы с расширениями dll, exe, ocx и sys, а также некоторые шрифты True Type). Проверка правильности версии защищенных системных файлов производится с помощью подписей файлов и файлов каталога, созданных в процессе подписывания. Замена защищенных файлов операционной системы возможна только посредством следующих механизмов.

  1. При установке пакетов обновления для Windows с помощью программы Update.exe.
  2. При установке исправлений с помощью программ Hotfix.exe и Update.exe.
  3. При обновлении операционной системы с помощью программы Winnt32.exe.
  4. При использовании веб-узла Windows Update.

Если для замены защищенного файла используется другой способ, функция WFP восстанавливает исходные файлы. При установке важных системных файлов установщик Windows не устанавливает и не заменяет их самостоятельно, а всегда использует механизм WFP, обращаясь к нему с запросом установки или замены защищенных файлов.

Принцип работы механизма защиты файлов Windows

Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке.

  1. Папка кэша (по умолчанию %systemroot%system32dllcache).
  2. Путь к сетевому источнику установки, если он был использован для установки операционной системы.
  3. Компакт-диск Windows, если он был использован для установки операционной системы.

Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла — это имя замененного файла, а продукт — это используемый продукт Windows.

Примечание. Если вход в систему был выполнен с учетной записью, которая не дает прав администратора, описанные выше диалоговые окна не отображаются. В таком случае эти диалоговые окна отображаются только после входа в систему с правами администратора. WFP ждет входа в систему администратора в следующих ситуациях.
Запись реестра SFCShowProgress отсутствует или содержит значение 1, а сервер настроен на проверку при каждом запуске компьютера; в таком случае WFP ждет входа с консоли, поэтому сервер RPC не запускается, пока не будет выполнена проверка. В течение этого времени компьютер не защищен.

Примечание. При этом сохраняется возможность подключения сетевых дисков и использования системных файлов, и для входа на сервер можно использовать службы терминалов. WFP не считает эти операции консольным входом и находится в состоянии ожидания неограниченно долго.
WFP должен восстановить файл из общего сетевого ресурса. Такая ситуация может возникнуть в случае, если в папке Dllcache нет требуемого файла или он поврежден. В этом случае у WFP может не быть требуемых учетных данных для доступа к общему ресурсу на носителе для установки по сети.
В качестве второго механизма защиты, обеспечиваемого WFP, используется средство проверки системных файлов (файл Sfc.exe). В конце работы режима графического интерфейса программы установки это средство проверяет, не были ли защищенные файлы изменены программами, установленными автоматически. Кроме того, программа Sfc.exe проверяет все файлы каталога, используемые для отслеживания правильных версий файлов. В случае отсутствия или повреждения любого из файлов каталога он переименовывается и восстанавливается из папки кэша. Если в папке кэша файл найти не удается, WFP запрашивает установку соответствующего носителя с новой копией файла каталога.

Средство проверки системных файлов предоставляет администратору возможность проверить версии всех защищенных файлов. Кроме того, это средство проверяет и повторно заполняет папку кэша (по умолчанию — %SystemRoot%System32Dllcache) Если папка кэша повреждена или стала непригодной для использования, для восстановления ее содержимого используется команда sfc /scanonce или sfc /scanboot. [Источник 2]

Описание работы службы WFP

Проверка работы службы защиты файлов Windows (WFP) рассматривается в следующей процедуре.

Проверка работы службы WFP

  1. Откройте Explorer (Проводник) и перейдите в каталог windowsSystem32. Если Explorer поддерживает просмотр каталогов в виде Web-папок, будет выдан запрос на подтверждение доступа к папкам Windows и WindowsSystem32. Это подсказывает, что каталоги защищены службой защиты файлов Windows.
  2. Прокрутите список файлов и найдите один из файлов, установленных вместе с операционной системой.
  3. Щелкните правой кнопкой мыши на пиктограмме файла и выберите из контекстного меню команду Delete (Удалить). Щелкните на кнопке Yes (Да) для подтверждения удаления.
  4. Некоторое время ничего не делайте. Ждите и наблюдайте. Через несколько секунд пиктограмма файла появится на старом месте. Это значит, что служба защиты файлов Windows работает.

Элементы службы WFP

Служба защиты файлов Windows не работает в виде отдельного процесса. Это одна из функций ядра операционной системы. Для управления службой можно воспользоваться записями системного реестра в разделе HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon. Для управления службой защиты файлов Windows доступны следующие записи.

  • SFCQuota. Объем дискового пространства, выделенного для хранения каталога DllCache. По умолчанию используется значение FFFFFFFF, которое выделяет для хранения каталога практически неограниченный объем величиной 4 Гбайт. Тот же эффект дает значение -1.
  • SFCDisable. Если установить для этой записи значение 1, защита системных файлов будет отключена при следующей перезагрузке. После еще одной перезагрузки служба за щиты файлов включится автоматически. Этот параметр можно использовать для замены файлов версиями, одобренными производителем системы, или для установки специальных версий файлов, предназначенных для отладки.
  • SFCBugCheck. В обычных условиях при попытке замены или удаления защищенного файла система выдает предупреждение на локальную консоль. Если установить для этой записи значение 1, система останавливает работу и выдает синий экран с сообщением об ошибке. Этот параметр можно установить на рабочей станции, пользователь которой время от времени старается заменить системные файлы.
  • SFCScan. Заставляет службу WFP просматривать папку DllCache во время загрузки и находить отсутствующие файлы. Значение 1 заставляет службу сканировать файлы при каждой загрузке. Значение 2 заставляет службу провести однократное сканирование.

Особенности службы WFP

  • Служба WFP защищает системные файлы, установленные вместе с операционной системой.
  • Служба защиты файлов Windows разрешает модификацию системных файлов только не большому количеству доверенных выполняемых файлов.
  • Удаленные или поврежденные системные файлы заменяются правильными версиями из специального кэша на диске.
  • Утилита sfc позволяет вручную запустить сканирование и исправление системных файлов. [Источник 3]

Источники

  1. Защита файлов Windows // Википедия. [2016—2016]. Дата обновления: 18.05.2016. URL: http://ru.wikipedia.org/?oldid=78434584 (дата обращения: 18.05.2016).
  2. Описание механизма защиты файлов Windows. [2016—2016]. Дата обновления: 19.08.2016. URL:https://support.microsoft.com/ru-ru/help/222193/description-of-the-windows-file-protection-feature (дата обращения: 19.08.2016)
  3. Защита Файлов Windows. [2016—2016]. Дата обновления: 21.12.2016. URL:http://win-server.ru/p/46 (дата обращения: 21.12.2016)

Ссылки

  1. Windows File Protection
  2. Описание механизма защиты файлов Windows

by Ivan Jenic

Passionate about all elements related to Windows and combined with his innate curiosity, Ivan has delved deep into understanding this operating system, with a specialization in drivers and… read more


Updated on March 25, 2021

  • Windows File Protection is a feature in Windows 10 that ensures the protection of critical system files.
  • The article below will be discussing in greater detail what it is, how to use it, and some alternatives.
  • To read more on the subject, check out our dedicated WFP Hub.
  • If the topic of data protection interests you, we have a specialized Data Protection page as well.

Windows File Protection happens to be a built-in Windows feature designed to protect critical system files from getting replaced or overwritten, be it inadvertently or intentionally.

In the unlikely scenario of that ever happening, the feature also restores the original copy of the particular file automatically to ensure the smooth operation of the PC.


What is Windows File Protection?

Those files that are needed by the operating system as well as other supported applications for the smooth functioning of the PC come under the coverage of Windows File Protection.

Such files typically have extensions such as .dll, .exe, .ocx, and .sys extension and some True Type fonts.

It works on the basis of file signatures and catalog files generated by code signing to make sure if the files under its purview are indeed the ones that came with the original Windows installation.

If not, the affected files are identified and replaced though the replacement is done strictly in accordance with the following method:

  • Windows Service Pack installation using Update.exe
  • Hotfixes installed using Hotfix.exe or Update.exe
  • Operating system upgrades using Winnt32.exe
  • Windows Update

Third-party file protection programs

A far simpler alternative than to use your system’s built-in tools is to use third-party software that is especially dedicated to this particular task. In the case at hand, One program that can ensure the safety of your files is none other than WinZip.

While most of you may know it as a basic archiving tool, WinZip has evolved a lot ever since its inception, adding many new features to its toolset, including the ability to lock files and protect them from deletion.

This is done via something that the developer likes to call banking-level encryption, meaning that no one other than yourself will ever have access to the data that you are archiving.

Of course, it hasn’t forgotten its roots, since it can still unzip all major file formats, compress files in the best ways possible, and even share them afterward over various platforms.

WinZip

WinZip

A great tool for creating archives that are not only smaller in size, but also secured via encryption, now available at a discount price.

How does Windows File Protection work?

Further, there are two ways the WFP feature works though fortunately for the user, most of its working goes on behind the scene and requires least intervention by the user.

Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.

For instance, the WFP feature kicks in automatically whenever there is a directory change notification raised. The latter again springs to life if there is a change detected in any files present in the protected directory.

The next thing for WFP to do is to determine which file has undergone a change and if the file is in the protected category:

  • If yes, WFP will then attempt to match the file signature with the file catalog to make sure if the new version of the file is indeed genuine.
  • If not, WFP will then replace the file with the correct version of it from the cache folder – %systemroot%system32dllcache.

Or if the said file is missing in the cache folder, WFP will then attempt to source the same from the installation source which can be either the Windows DVD, image file or such.

In such a scenario, WFP shows a message wherein it mentions the name of the corrupted file along with the original location of the said file. Point to note here is that the said messages will be shown only if you are logged in as an administrator.

Else, the system will wait for the administrator to log in for the message to be displayed.


SFC scannow and Windows File Protection


The other protection mechanism WFP feature comes with is the System File Checker or SFC. The way it works is this – the System File Checker will scan all protected file once the GUI mode of setup is complete.

This way, SFC will ensure all protected files are exactly how it should be. The SFC will also scan all the catalog files as well, the ones that are used to check the authenticity of the protected files.


And just in case there is any discrepancy found in the catalog file, it makes the necessary correction using the cached version of the file from the cache folder.

However, if the cached copy of the catalog file is also missing, the WFP feature will request the original Windows installation media to retrieve the correct version of the affected catalog file.

Windows File Protection originally debuted with Windows 2000 followed by other subsequent Windows versions such as Windows XP and Windows Server 2003.

With Windows Me, it came to be identified as System File Protection or SFP through the basic functioning remained the same.

Starting Windows Vista and all subsequent editions of Windows post that, its Windows Resource Protection that took on the role.

That included preventing undesired system configuration changes, protecting crucial registry keys and values besides ensuring all critical operating system files are in the current form and order, thereby preventing what has come to be known in the tech circle as the dreaded .dll hell state.



Still having issues? Fix them with this tool:

SPONSORED

If the advices above haven’t solved your issue, your PC may experience deeper Windows problems. We recommend downloading this PC Repair tool (rated Great on TrustPilot.com) to easily address them. After installation, simply click the Start Scan button and then press on Repair All.

newsletter icon

Newsletter

by Ivan Jenic

Passionate about all elements related to Windows and combined with his innate curiosity, Ivan has delved deep into understanding this operating system, with a specialization in drivers and… read more


Updated on March 25, 2021

  • Windows File Protection is a feature in Windows 10 that ensures the protection of critical system files.
  • The article below will be discussing in greater detail what it is, how to use it, and some alternatives.
  • To read more on the subject, check out our dedicated WFP Hub.
  • If the topic of data protection interests you, we have a specialized Data Protection page as well.

Windows File Protection happens to be a built-in Windows feature designed to protect critical system files from getting replaced or overwritten, be it inadvertently or intentionally.

In the unlikely scenario of that ever happening, the feature also restores the original copy of the particular file automatically to ensure the smooth operation of the PC.


What is Windows File Protection?

Those files that are needed by the operating system as well as other supported applications for the smooth functioning of the PC come under the coverage of Windows File Protection.

Such files typically have extensions such as .dll, .exe, .ocx, and .sys extension and some True Type fonts.

It works on the basis of file signatures and catalog files generated by code signing to make sure if the files under its purview are indeed the ones that came with the original Windows installation.

If not, the affected files are identified and replaced though the replacement is done strictly in accordance with the following method:

  • Windows Service Pack installation using Update.exe
  • Hotfixes installed using Hotfix.exe or Update.exe
  • Operating system upgrades using Winnt32.exe
  • Windows Update

Third-party file protection programs

A far simpler alternative than to use your system’s built-in tools is to use third-party software that is especially dedicated to this particular task. In the case at hand, One program that can ensure the safety of your files is none other than WinZip.

While most of you may know it as a basic archiving tool, WinZip has evolved a lot ever since its inception, adding many new features to its toolset, including the ability to lock files and protect them from deletion.

This is done via something that the developer likes to call banking-level encryption, meaning that no one other than yourself will ever have access to the data that you are archiving.

Of course, it hasn’t forgotten its roots, since it can still unzip all major file formats, compress files in the best ways possible, and even share them afterward over various platforms.

WinZip

WinZip

A great tool for creating archives that are not only smaller in size, but also secured via encryption, now available at a discount price.

How does Windows File Protection work?

Further, there are two ways the WFP feature works though fortunately for the user, most of its working goes on behind the scene and requires least intervention by the user.

Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.

For instance, the WFP feature kicks in automatically whenever there is a directory change notification raised. The latter again springs to life if there is a change detected in any files present in the protected directory.

The next thing for WFP to do is to determine which file has undergone a change and if the file is in the protected category:

  • If yes, WFP will then attempt to match the file signature with the file catalog to make sure if the new version of the file is indeed genuine.
  • If not, WFP will then replace the file with the correct version of it from the cache folder – %systemroot%system32dllcache.

Or if the said file is missing in the cache folder, WFP will then attempt to source the same from the installation source which can be either the Windows DVD, image file or such.

In such a scenario, WFP shows a message wherein it mentions the name of the corrupted file along with the original location of the said file. Point to note here is that the said messages will be shown only if you are logged in as an administrator.

Else, the system will wait for the administrator to log in for the message to be displayed.


SFC scannow and Windows File Protection


The other protection mechanism WFP feature comes with is the System File Checker or SFC. The way it works is this – the System File Checker will scan all protected file once the GUI mode of setup is complete.

This way, SFC will ensure all protected files are exactly how it should be. The SFC will also scan all the catalog files as well, the ones that are used to check the authenticity of the protected files.


And just in case there is any discrepancy found in the catalog file, it makes the necessary correction using the cached version of the file from the cache folder.

However, if the cached copy of the catalog file is also missing, the WFP feature will request the original Windows installation media to retrieve the correct version of the affected catalog file.

Windows File Protection originally debuted with Windows 2000 followed by other subsequent Windows versions such as Windows XP and Windows Server 2003.

With Windows Me, it came to be identified as System File Protection or SFP through the basic functioning remained the same.

Starting Windows Vista and all subsequent editions of Windows post that, its Windows Resource Protection that took on the role.

That included preventing undesired system configuration changes, protecting crucial registry keys and values besides ensuring all critical operating system files are in the current form and order, thereby preventing what has come to be known in the tech circle as the dreaded .dll hell state.



Still having issues? Fix them with this tool:

SPONSORED

If the advices above haven’t solved your issue, your PC may experience deeper Windows problems. We recommend downloading this PC Repair tool (rated Great on TrustPilot.com) to easily address them. After installation, simply click the Start Scan button and then press on Repair All.

newsletter icon

Newsletter

Содержание

  1. 2.10. Как полностью выключить SFC (System Files Protection)?
  2. Читайте также
  3. Должны ли сайты выглядеть полностью одинаково в каждом браузере?
  4. Планировщик ввода-вывода с полностью равноправными очередями
  5. Коллекция Files
  6. (2.8) Как полностью выключить SFC (System Files Protection)?
  7. (6.13) Как полностью отключить скрытые общие ресурсы (admin$, c$, d$ и т.д.)?
  8. 5.2.1.1. Секция Files
  9. Сторожевой K9 Web Protection
  10. System.DateTime и System.TimeSpan
  11. Базовые классы System.MulticastDelegate и System.Delegate
  12. Не полностью удалённые файлы
  13. Как включить и выключить нетбук?
  14. Вьюер полностью игнорирует альфа-канал
  15. Как выключить компьютер
  16. Как полностью отключить Защитник Windows на Windows 10
  17. Как отключить Защитник Windows через настройки безопасности Windows
  18. Как отключить Защитник Windows через групповые политики
  19. Как отключить Защитник Windows через реестр
  20. Как полностью отключить Microsoft Defender в Windows 10, версия 2004
  21. Важная информация
  22. Как отключить Microsoft Defender в Windows 10
  23. Примечание
  24. Содержание
  25. Инструкции для Windows 10 Pro и Enterprise
  26. Инструкции для Windows 10 Домашняя, Pro и Enterprise
  27. Как отключить Защиту от подделки
  28. Как отключить Microsoft Defender с помощью редактора групповой политики
  29. Обратите внимание
  30. Как отключить Microsoft Defender с помощью системного реестра
  31. Примечание
  32. Обратите внимание
  33. Как отключить «Безопасность Windows»
  34. Как временно отключить Microsoft Defender в Центре безопасности
  35. Заключение
  36. Описание механизма защиты файлов Windows
  37. Аннотация
  38. Дополнительная информация
  39. Принцип работы механизма защиты файлов Windows

2.10. Как полностью выключить SFC (System Files Protection)?

2.10. Как полностью выключить SFC (System Files Protection)?

Для этого необходимо поменять значение [HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon] «SfcDisable» на «dword:ffffff9d». Для того чтобы включить его обратно, этот же ключ надо изменить на 0. Кроме этого, можно воспользоваться вот этой утилиткой http://www.3dnews.ru/documents/1143/setsfc.zip, с помощью которой можно не только выключить sfc, но и изменить некоторые другие его параметры, причём делать это гораздо удобнее, чем копаться в дебрях реестра.

Однако, следует помнить что сделав это, вы рискуете испытать на себе все последствия Dll-hell, начиная от снижения общей производительности системы и заканчивая самыми разнообразными проблемами и глюками, вызванных заменой системных библиотек на несовместимые версии от сторонних производителей.

Читайте также

Должны ли сайты выглядеть полностью одинаково в каждом браузере?

Должны ли сайты выглядеть полностью одинаково в каждом браузере? Это важный вопрос (и вполне подходящий для того, чтобы задать его сейчас), и я пробую ответить на него на сайте с невероятно длинным доменным именем (рис. 3.06): http://dowebsitesneedtobeexperiencedexactlythesameineverybrowser.com. Рис. 3.06.

Планировщик ввода-вывода с полностью равноправными очередями

Планировщик ввода-вывода с полностью равноправными очередями Планировщик ввода-вывода с полностью равноправными очередями (Complete Fair Queuing, CFQ) был разработан для определенного типа нагрузок на систему, по на практике он позволяет получить хорошую производительность для

Коллекция Files

Коллекция Files Коллекция Files содержит объекты File для всех файлов, находящихся внутри определенного каталога. Создается эта коллекция с помощью свойства Files соответствующего объекта Folder. Например, в следующем примере переменная Files является коллекцией, содержащей объекты

(2.8) Как полностью выключить SFC (System Files Protection)?

(2.8) Как полностью выключить SFC (System Files Protection)? Для этого необходимо поменять значение [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] «SfcDisable» на «dword:ffffff9d». Для того что бы включить его обратно, этот же ключ надо изменить на 0. Кроме этого, можно воспользоваться вот этой утилиткой

(6.13) Как полностью отключить скрытые общие ресурсы (admin$, c$, d$ и т.д.)?

(6.13) Как полностью отключить скрытые общие ресурсы (admin$, c$, d$ и т.д.)? Данные скрытые ресурсы существуют по умолчанию. Доступ к ним возможен только из под аккаунта администратора, поэтому не рекомендуется задавать для этого аккаунта слишком простой пароль (например, Enter :)).

5.2.1.1. Секция Files

Сторожевой K9 Web Protection

Сторожевой K9 Web Protection K9 Web Protection – простая в использовании система веб-фильтрации и ограничения доступа к веб-сервисам. Ее интерфейс не локализован, но это не мешает быстрому ее освоению. K9 Web Protection готов к работе сразу после установки.При вводе адреса интернет-ресурса к

System.DateTime и System.TimeSpan

System.DateTime и System.TimeSpan В завершение нашего обзора базовых типов данных позволите обратить ваше внимание на то, что пространство имен System определяет несколько полезных типов данных, для которых в C# не предусмотрено ключевых слов. Это, в частности, типы DateTime и TimeSpan (задачу

Базовые классы System.MulticastDelegate и System.Delegate

Базовые классы System.MulticastDelegate и System.Delegate Таким образом, при создании типов c помощью) ключевого слова delegate в C# вы неявно объявляете тип класса, являющегося производным от System.MulticastDelegate. Этот класс обеспечивает своим потомкам доступ к списку с адресами тех методов, которые

Не полностью удалённые файлы

Не полностью удалённые файлы Другая потенциальная угроза безопасности исходит из того, как большинство операционных систем удаляют файлы. Когда вы зашифровали файл и хотите удалить оригинал с открытым текстом, ОС на самом деле не стирает данные физически — она просто

Как включить и выключить нетбук?

Как включить и выключить нетбук? Вкючение нетбукаЧтобы включить компьютер, нажмите кнопку питания. Засветится индикатор питания, а на экране побегут сообщения начальной загрузки. Через короткое время вы увидите на экране Рабочий стол Windows — нетбук готов к

Вьюер полностью игнорирует альфа-канал

Вьюер полностью игнорирует альфа-канал Неправильно отображаются строки 2, 4, 5,

Как выключить компьютер

Как выключить компьютер Выключать свой компьютер вы будете с помощью кнопки ПУСК. Всегда! Можно резонно заметить, что раз вы включили кнопкой POWER компьютер, значит, для его выключения нужно на нее же и нажать. Логично, но только для телевизора. Выдернуть вилку из розетки

Источник

Как полностью отключить Защитник Windows на Windows 10

image loader

В Windows 10 имеется встроенный антивирус Windows Defender («Защитник Windows»), защищающий компьютер и данные от нежелательных программ: вирусов, шпионских программ, программ-вымогателей и многих других типов вредоносных программ и действий хакеров.

И хотя встроенного решения для защиты достаточно для большинства пользователей, бывают ситуации, в которых вы можете не захотеть пользоваться этой программой. К примеру, если вы настраиваете устройство, которое не будет выходить в сеть; если вам необходимо выполнить задачу, блокируемую этой программой; если вам нужно уложиться в требования политики безопасности вашей организации.

Единственная проблема связана с тем, что полностью удалить или отключить Windows Defender у вас не выйдет – эта система глубоко интегрирована в Windows 10. Однако есть несколько обходных путей, при помощи которых вы можете отключить антивирус – это использование локальной групповой политики, реестра или настроек Windows в разделе «Безопасность» (временно).

Как отключить Защитник Windows через настройки безопасности Windows

Если вам нужно выполнить определённую задачу, и не нужно отключать Защитника полностью, вы можете сделать это временно. Для этого при помощи поиска в кнопке «Пуск» найдите раздел «Центр безопасности Защитника Windows», и выберите в нём пункт «Защита от вирусов и угроз».

image loader

Там перейдите в раздел «Параметры защиты от вирусов и других угроз» и кликните по переключателю «Защита в режиме реального времени».

image loader

После этого антивирус отключит защиту компьютера в реальном времени, что позволит вам устанавливать приложения или выполнять определённую задачу, которая была недоступна вам из-за того, что антивирус блокировал необходимое действие.

Чтобы снова включить защиту в реальном времени, перезапустите компьютер или заново пройдите все этапы настроек, но на последнем шаге включите переключатель.

Это решение не является постоянным, но лучше всего подходит для отключения антивируса Windows 10 для выполнения определённой задачи.

Как отключить Защитник Windows через групповые политики

В версиях Windows 10 Pro и Enterprise вам доступен редактор локальных групповых политик, где можно навсегда отключить Защитника следующим образом:

Через кнопку «Пуск» запустите исполняемый скрипт gpedit.msc. Откроется редактор политик. Перейдите по следующему пути: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа «Защитник Windows».

image loader

Двойным нажатием откройте пункт «Выключить антивирусную программу „Защитник Windows“». Выберите настройку «Включено» для включения этой опции, и, соответственно, отключения Защитника.

image loader

Нажмите «ОК» и перезапустите компьютер.

После этого антивирус будет навсегда отключён на вашем устройстве. Но вы заметите, что иконка со щитом останется в панели задач – так и должно быть, поскольку эта иконка принадлежит к приложению «Безопасность Windows», а не самому антивирусу.

Если вы передумаете, вы всегда можете заново включить Защитника, повторив эти шаги, и на последнем шаге выбрав вариант «Не задано», после чего снова нужно будет перезагрузить компьютер.

Как отключить Защитник Windows через реестр

Если у вас нет доступа к редактору политик, или у вас установлена Windows 10 Home, вы можете отредактировать реестр Windows, отключив тем самым Защитника.

Напоминаю, что редактировать реестр рискованно, и ошибки в этом деле могут нанести непоправимый ущерб текущей установленной копии Windows. Лучше сделать резервную копию системы перед тем, как начинать редактирование.

Чтобы полностью отключить Защитиника через реестр, запустите через кнопку «Пуск» программу regedit, и перейдите в ней по следующему пути:

Совет: этот путь можно скопировать и вставить в адресную строку редактора реестра.

image loader

Затем правой клавишей нажмите на ключ (каталог) Windows Defender, выберите «Новый» и DWORD (32-bit) Value. Назовите новый ключ DisableAntiSpyware и нажмите «Ввод». Затем двойным щелчком откройте редактор ключа и задайте ему значение 1.

image loader

Нажмите ОК, и перезапустите компьютер.

После этого Защитник Windows уже не будет защищать вашу систему. Если вы захотите отменить эти изменения, повторите все шаги, но в конце удалите этот ключ или назначьте ему значение 0.

Источник

Как полностью отключить Microsoft Defender в Windows 10, версия 2004

Важная информация

Microsoft отключила ключ реестра DisableAntiSpyware, который администраторы использовали для принудительного отключения встроенного антивируса Windows 10 – Microsoft Defender (Защитник Windows)

В обновлении функций Windows 10, версия 2004, Microsoft переименовала встроенный антивирус «Защитник Windows» на Microsoft Defender.

Для того, чтобы отключить встроенный антивирус в Windows 10 версии 1909, 1903, 1809 и ниже, воспользуйтесь инструкцией Как полностью отключить Защитник Windows 10.

Если вы хотите полностью отключить Microsoft Defender в Windows 10 используйте данное руководство, которое работает для Windows 10 May 2020 Update (версия 2004).

Антивирусная программа Microsoft Defender – бесплатное решение для защиты от вредоносных программ, которое поставляется Microsoft с каждой установкой Windows 10. Данный пакет инструментов безопасности предназначен для обеспечения базового уровня защиты устройства от различных видов вредоносных программ, включая вирусы, программы-вымогатели, руткиты, шпионское ПО и др.

Несмотря на то, что антивирус запускается автоматически, он может отключиться при установке стороннего антивирусного продукта. Тем не менее, Windows 10 не предлагает возможности для полного отключения встроенной системной защиты. Главная причина этого заключается в том, что Microsoft не хочет, чтобы устройства Windows 10 использовались без какой-либо защиты.

Тем не менее, иногда пользователи хотят полностью отказаться от использования Microsoft Defender, например, при использовании компьютерных терминалов без подключения к сети и с настроенным запретом подключения периферийных устройств.

В этом руководстве Windows 10 мы приведем пошаговые инструкции по отключению Microsoft Defender на компьютере с помощью редактора групповой политики, системного реестра, компонента Безопасность Windows или с помощью сторонних утилит.

Как отключить Microsoft Defender в Windows 10

Примечание

Все указанные в статье действия можно выполнить только в учетной записи с правами Администратор.

Содержание

Инструкции для Windows 10 Pro и Enterprise

Инструкции для Windows 10 Домашняя, Pro и Enterprise

Как отключить Защиту от подделки

Компонент Защита от подделки в Microsoft Defender блокирует изменения функций безопасности, чтобы избежать их неправильного использования. Известно, что вредоносные программы могут изменять настройки безопасности, но защита от несанкционированного доступа заблокирует подозрительные попытки изменения важных параметров защиты. Защита также сработает, если вы попытаетесь вручную отключить встроенный антивирус.

Чтобы полностью отключить Microsoft Defender в Windows 10, версия 2004 и выше, необходимо сначала отключить Защиту от подделки.

В любое время, при необходимости, вы можете включить защиту обратно.

Как отключить Microsoft Defender с помощью редактора групповой политики

Редактор групповых политик является компонентом Windows 10 Pro и Enterprise (Корпоративная). Для отключения Microsoft Defender нужно выполнить следующие шаги:

Обратите внимание

После отключения встроенного антивируса Microsoft Defender иконка компонента Безопасность Windows по-прежнему будет отображаться в области уведомлений панели задач. Если вы хотите избавиться от данной иконки, то отключите «Безопасность Windows».

После завершения данных шагов и перезагрузки ПК Microsoft Defender больше не будет сканировать и обнаруживать вредоносные программы.

В любое время вы можете снова включить антивирусную программу Microsoft Defender – для этого выполните предыдущие шаги указав значение “Не задано”.

Как отключить Microsoft Defender с помощью системного реестра

Редактор групповых политик недоступен в Windows 10 Домашняя, но вы можете сделать то же самое с помощью редактора реестра.

Примечание

Некорректное изменение реестра может привести к серьезным проблемам. Рекомендуется создать резервную копию реестра Windows перед тем, как выполнить данные шаги. В меню редактора реестра выберите Файл > Экспорт для сохранения резервной копии.

Обратите внимание

После отключения встроенного антивируса Microsoft Defender иконка компонента Безопасность Windows по-прежнему будет отображаться в области уведомлений панели задач. Если вы хотите избавиться от данной иконки, то отключите «Безопасность Windows».

После завершения данных шагов и перезагрузки ПК Microsoft Defender больше не будет сканировать и обнаруживать вредоносные программы.

В любое время вы можете снова включить антивирусную программу Microsoft Defender. Для этого нужно удалить ключ DisableAntiSpyware. Затем нужно удалить раздел “Real-Time Protection” и все его содержимое, после чего потребуется перезагрузка компьютера.

Как отключить «Безопасность Windows»

Обратите внимание, что после отключения встроенного антивируса https://www.comss.ru/page.php?id=7469 иконка компонента Безопасность Windows по-прежнему будет отображаться в области уведомлений панели задач. Если вы хотите избавиться от данной иконки, то выполните следующие действия:

Как временно отключить Microsoft Defender в Центре безопасности

Если нужно временно отключить Microsoft Defender, можно воспользоваться следующей инструкцией:

После завершения данных шагов Microsoft Defender будет отключен. Тем не менее, это временное решение. Антивирус будет повторно активирован после перезагрузки устройства.

Заключение

Хотя в отдельных случаях действительно может потребоваться отключение встроенного антивируса Windows 10, пользователям не рекомендуется использовать устройство без какой-либо защиты.

Если вы пытаетесь отключить Microsoft Defender, потому что предпочли ему другое антивирусное решение, то должны учитывать, что встроенный антивирус будет автоматически отключен во время установки альтернативного решения.

Источник

Описание механизма защиты файлов Windows

Аннотация

В данной статье приведено описание механизма защиты файлов Windows (WFP).

Дополнительная информация

Защита файлов Windows (WFP) служит для предотвращения перезаписи программами важных файлов операционной системы. Такие файлы нельзя перезаписывать, поскольку они используются как самой операционной системой, так и другими программами. Защита таких файлов необходима для предупреждения возможных неполадок в работе операционной системы и установленного программного обеспечения.

Механизм WFP отвечает за защиту важных системных файлов, устанавливаемых вместе с Windows (например, файлы с расширениями dll, exe, ocx и sys, а также некоторые шрифты True Type). Проверка правильности версии защищенных системных файлов производится с помощью подписей файлов и файлов каталога, созданных в процессе подписывания. Замена защищенных файлов операционной системы возможна только посредством следующих механизмов.

При установке пакетов обновления для Windows с помощью программы Update.exe.

При установке исправлений с помощью программ Hotfix.exe и Update.exe.

При обновлении операционной системы с помощью программы Winnt32.exe.

При использовании веб-узла Windows Update.

Если для замены защищенного файла используется другой способ, функция WFP восстанавливает исходные файлы. При установке важных системных файлов установщик Windows не устанавливает и не заменяет их самостоятельно, а всегда использует механизм WFP, обращаясь к нему с запросом установки или замены защищенных файлов.

Принцип работы механизма защиты файлов Windows

Для защиты файлов операционной системы в WFP предусмотрены два механизма. Первый механизм работает в фоновом режиме и активируется после того, как WFP получает уведомление об изменении папки для файла из защищенной папки. После получения этого уведомления WFP определяет, какой файл был изменен. Если был изменен защищенный файл, WFP находит в файле каталога подпись защищенного файла для проверки правильности версии нового файла. Если версия является неправильной, новый файл заменяется исходным из папки кэша (если он там имеется) или источника установки. Поиск файла допустимой версии производится в следующем порядке.

Папка кэша (по умолчанию %systemroot%system32dllcache).

Путь к сетевому источнику установки, если он был использован для установки операционной системы.

Компакт-диск Windows, если он был использован для установки операционной системы.

Если файл удается найти в папке кэша или выполняется автоматическое обнаружение источника установки, файл заменяется без уведомления пользователя. Если WFP не удается автоматически найти файл ни в одном из этих местоположений, пользователь получает одно из следующих сообщений, в которых имя_файла — это имя замененного файла, а продукт — это используемый продукт Windows.

Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Вставьте компакт-диск продукт.

Защита файлов Windows
Файлы, нужные для правильной работы Windows, были заменены неизвестными версиями. Для обеспечения стабильной работы системы Windows необходимо восстановить оригинальные версии этих файлов. Сетевая папка, из которой необходимо скопировать эти файлы, \ сервер общий_ресурс, недоступна. Обратитесь к системному администратору или вставьте компакт-диск продукт.

Примечание. Если вход в систему был выполнен с учетной записью, которая не дает прав администратора, описанные выше диалоговые окна не отображаются. В таком случае эти диалоговые окна отображаются только после входа в систему с правами администратора. WFP ждет входа в систему администратора в следующих ситуациях.

Запись реестра SFCShowProgress отсутствует или содержит значение 1, а сервер настроен на проверку при каждом запуске компьютера; в таком случае WFP ждет входа с консоли, поэтому сервер RPC не запускается, пока не будет выполнена проверка. В течение этого времени компьютер не защищен.

Примечание. При этом сохраняется возможность подключения сетевых дисков и использования системных файлов, и для входа на сервер можно использовать службы терминалов. WFP не считает эти операции консольным входом и находится в состоянии ожидания неограниченно долго.

WFP должен восстановить файл из общего сетевого ресурса. Такая ситуация может возникнуть в случае, если в папке Dllcache нет требуемого файла или он поврежден. В этом случае у WFP может не быть требуемых учетных данных для доступа к общему ресурсу на носителе для установки по сети.

В качестве второго механизма защиты, обеспечиваемого WFP, используется средство проверки системных файлов (файл Sfc.exe). В конце работы режима графического интерфейса программы установки это средство проверяет, не были ли защищенные файлы изменены программами, установленными автоматически. Кроме того, программа Sfc.exe проверяет все файлы каталога, используемые для отслеживания правильных версий файлов. В случае отсутствия или повреждения любого из файлов каталога он переименовывается и восстанавливается из папки кэша. Если в папке кэша файл найти не удается, WFP запрашивает установку соответствующего носителя с новой копией файла каталога.

Средство проверки системных файлов предоставляет администратору возможность проверить версии всех защищенных файлов. Кроме того, это средство проверяет и повторно заполняет папку кэша (по умолчанию — %SystemRoot%System32Dllcache) Если папка кэша повреждена или стала непригодной для использования, для восстановления ее содержимого используется команда sfc /scanonce или sfc /scanboot.

Параметр SfcScan из раздела системного реестра

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon может принимать три значения. Возможные значения параметра SfcScan:

0x0 — не проверять защищенные файлы после перезагрузки системы (по умолчанию);

0x1 — проверять все защищенные файлы после каждой перезагрузки системы (устанавливается после запуска команды sfc /scanboot).

0x2 — проверить все защищенные файлы после перезагрузки системы (устанавливается после запуска команды sfc /scanonce).

По умолчанию резервные копии всех системных файлов хранятся в папке кэша, размер которой составляет 400 МБ (по умолчанию). Хранение резервных копий всех системных файлов не всегда желательно с точки зрения наличия свободного места на диске. Для изменения размера кэша измените значение параметра SFCQuota в следующем разделе реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon. WFP хранит проверенные версии файлов на жестком диске в папке Dllcache. Количество хранимых файлов определяется значением параметра SFCQuota (по умолчанию 0xFFFFFFFF или 400 Мбайтов). Администратор может увеличивать или уменьшать значение параметра SFCQuota по своему усмотрению. Обратите внимание, что если для параметра SFCQuota установлено значение 0xFFFFFFFF, WFP хранит все защищенные файлы (приблизительно 2700 файлов).

Отсутствие в папке кэша копий некоторых системных файлов (независимо от значения параметра SFCQuota) возможно по двум причинам.

Недостаточно места на диске.

На компьютере под управлением Windows XP запись в папку Dllcache прекращается, когда на жестком диске объем оставшегося свободного места меньше суммы (600 МБ + максимальный размер файла подкачки).
На компьютере под управлением Windows 2000 запись в папку Dllcache прекращается, когда на жестком диске остается менее 600 МБ свободного места.

Если ОС Windows 2000 или Windows XP установлена по сети, файлы из папки i386lang не заносятся в папку Dllcache.

Кроме того, все драйверы в файле Driver.cab являются защищенными, но в папку Dllcache не записываются. WFP восстанавливает эти файлы непосредственно из файла Driver.cab без вывода пользователю запроса на предоставление носителя исходных файлов, однако при выполнении команды sfc /scannow файлы, содержащиеся в файле Driver.cab, записываются в папку Dllcache.

Если WFP обнаруживает изменение файла, не входящего в папку кэша, выполняется проверка версии измененного файла, используемой операционной системой в текущий момент. Если используемый в текущий момент файл имеет допустимую версию, он копируется в папку кэша. Если версия файла не является допустимой или файл отсутствует в папке кэша, WFP выполняет поиск источника установки. Если его найти не удается, WFP предлагает администратору установить соответствующий носитель для замены версии файла, находящегося в папке кэша.

Местонахождение папки Dllcache указывается параметром SFCDllCacheDir ( REG_EXPAND_SZ) из следующего раздела реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon По умолчанию параметр SFCDllCacheDir имеет значение %SystemRoot%System32. В качестве значения параметра SFCDllCacheDir может быть использован путь к папке на локальном диске. По умолчанию параметр SFCDllCacheDir в разделе HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon отсутствует. Таким образом, для изменения местонахождения папки кэша этот параметр необходимо добавить самостоятельно.

При запуске Windows значения параметров из раздела

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTWindows File Protection WFP копируются в соответствующие параметры в разделе

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon. Следовательно, если в разделе HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindows NTWindows File Protection присутствуют параметры SfcScan, SFCQuota или SFCDllCacheDir, их значения имеют преимущество перед значениями аналогичных параметров в подразделе HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon.

Для получения дополнительных сведений о механизме WFP щелкните следующий номер статьи базы знаний Майкрософт:

Настройки реестра для защиты файлов WindowsДля получения дополнительных сведений о средстве проверки системных файлов в Windows XP и Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:

Описание средства проверки системных файлов Windows XP и Windows Server 2003 (Sfc.exe)Для получения дополнительных сведений о средстве проверки системных файлов в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:

Описание средства проверки системных файлов Windows 2000 (Sfc.exe) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о механизме WFP посетите веб-узел корпорации Майкрософт по адресу:

Для получения дополнительных сведений об установщике Windows и механизме WFP посетите веб-узел корпорации Майкрософт по адресу:

Источник

Как отключить защиту системных файлов

В операционной системе Windows, начиная с версии Millenium, включена защита системных файлов. Сделано это для дополнительной безопасности ОС, снижения риска выхода системы из строя при попадании на компьютер вредоносных программ. Но в этой ситуации есть свои минусы. Например, иногда не удается установить некоторые программы.

Как отключить защиту системных файлов

Вам понадобится

  • — компьютер с ОС Windows;
  • — утилита Tweaker.

Инструкция

Отключить защиту системных файлов операционной системы можно с помощью редактирования реестра. Нажмите «Пуск». Дальше выберите «Все программы», а в списке программ — «Стандартные». Найдите и откройте командную строку. В командной строке введите regedit. Нажмите клавишу Enter. Через секунду откроется окно редактора системного реестра.

В правом окне редактора есть список основных разделов. Найдите раздел HKEY_LOCAL_MACHINE. Рядом с ним есть стрелочка. Нажмите по ней. Таким способом вы откроете дополнительные подразделы, возле которых также есть стрелочка. Вам нужно открывать их в таком порядке SOFTWARE/Microsoft/Windows NT/CurrentVersion/. В CurrentVersion найдите строку Winlogon. Кликните по этой строке левой кнопкой мышки, выделив ее.

В правой части окна редактора реестра откроется список параметров. В этом списке вам необходимо найти параметр SFCDisable. Кликните по нему двойным левым щелчком мышки. В строке «Значение» введите dword:ffffff9d, после чего нажмите OK. Закройте окно редактора реестра. Теперь вы отключили защиту системных файлов. Если вам понадобится включить ее, вам придется вернуть параметру SFCDisable значение dword:00000000. Защита системных файлов опять будет включена.

Также для отключения защиты системных файлов можно использовать специальный Tweaker. Это утилита, которая может тонко настроить работу операционной системы. Скачайте Tweaker. При скачивании обязательно учитывайте версию вашей операционной системы. Если у вас Windows 7, то Tweaker должен быть именно для нее. Версии для разных ОС могут быть несовместимы.

Запустите Tweaker. Появится окно с основными настройками работы операционной системы. В этом окне напротив строки «Отключить system file protection SFC» установите флажок и нажмите «Применить». Защита будет снята.

Видео по теме

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Все версии Windows, предшествовавшие Windows 2000, имели один общий недостаток — при установке дополнительного программного обеспечения практически любые совместно используемые системные файлы, в том числе *.dll и *.ехе, могли быть изменены. Последствия замены этих файлов некорректными или несовместимыми версиями могли быть непредсказуемыми: от снижения производительности операционной системы до некорректного поведения остальных приложений, периодического появления ошибок STOP и даже проблем с загрузкой.
В Windows 2000 впервые за всю историю Windows была сделана попытка исправления этой ситуации. Разумеется, эта же функциональная возможность присутствует и в Windows ХР, а также в продуктах из семейства Windows Server 2003. Функция защиты системных файлов Windows (Windows File Protection, WFP) включает в свой состав следующие два компонента:

  • сервис защиты системных файлов (Windows File Protection service);
  • утилиту командной строки System File Checker (Sfc.exe).

Сервис Windows File Protection (WFP) работает по принципу определения цифровых подписей защищенных системных файлов (в их число входят файлы с расширениями sys, dll, ocx, ttf, fon и ехе), не позволяя произвольно модифицировать и замещать эти файлы. Сервис Windows File Protection работает в фоновом режиме и защищает все системные файлы, установленные программой Setup при инсталляции операционной системы. Выявив попытку изменения или перемещения защищенного файла, WFP проверяет измененный файл на наличие у него цифровой подписи. В случаях, когда версия, предназначенная на замену, не является корректной, Windows File Protection замещает этот файл резервной копией из папки %SystemRoot% system32dllcache и регистрирует попытку замещения файла в журнале системных событий.

Папка %SystemRoot%System32Dllcache может быть достаточно объемной и занимать до 300 Мбайт дискового пространства. По этой причине некоторые пользователи, в целях освобождения дополнительного дискового пространства, удаляют эту папку вместе со всем ее содержимым. Если дополнительный объем дискового пространства для вас актуален, вы тоже можете поступить таким образом. Однако при этом следует иметь в виду, что если сервис WFP не сможет обнаружить надлежащей версии файла в папке %SystemRoot%system32dllcache, то вам будет предложено вставить дистрибутивный компакт-диск в устройство CD-ROM или указать путь к каталогу, из которого такая версия может быть скопирована.

По умолчанию функция WFP всегда активизирована и позволяет выполнять замену системных файлов только в случае установки следующих видов программного обеспечения:

  • сервисных пакетов Windows 2000/XP и Windows Server 2003 (с использованием программы Update.exe);
  • дистрибутивных пакетов типа Hotfix (с использованием Hotfix.exe);
  • обновлений версии операционной системы (с помощью Winnt32.exe);
  • программного обеспечения с сайта Windows Update.

Like this post? Please share to your friends:
  • Windows file explorer download windows 7
  • Windows error recovery что делать windows 7 asus
  • Windows error recovery при установке windows
  • Windows file association fix windows 7 скачать
  • Windows error recovery после установки windows 7