[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:00263] WFP ( Windows File Protection)に関するメモ
- To: "port139@xxxxxxxxxxxxx" <port139@xxxxxxxxxxxxx>
- Subject: [port139:00263] WFP ( Windows File Protection)に関するメモ
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Mon, 11 Jun 2001 10:01:59 +0900
おはようございます、Port139 伊原です。
PASSJ の ML で WFP(Windows File Protection)について出ていた話題
に関連して調べたことのメモです。
---
★WFP(Windows File Protection)に関するメモ
Windows 2000 には、WFP とよばれるシステム関連ファイルの保護機能が
備わっています。この機能により、システム関連ファイルが不用意に書き
換えられたり、削除された場合に自動的に元に戻されます。
*J049768
WFP のデフォルト設定では、HDD 容量のある限り(残り容量が 150M 以下
になるまで)DLLCache にファイルを追加できるように設定されています。
*JP244861
この設定は sfc /CACHESIZE=x コマンドか、レジストリを直接操作するこ
とで、 WFP が利用できるキャッシュサイズを制限することもできます。
しかし、サイズを制限した場合、WFP がどう動作するのかの資料がないの
でこれを今回は実験してみることにします。
まず sfc コマンドから WFP が利用できるキャッシュサイズを 1M に制限
し、再起動後に sfc /PURGECACHE を実行します。
このままでは i386 フォルダ(約 50M)が削除されず残るため、
system32\DllCache\i386 フォルダをエクスプローラから削除し DllCache
フォルダの容量をゼロにしておきます。
これで綺麗な状態になったので、Windows 2000 に対して Sp2 を適用して
みたところ、適用後の DllCache フォルダのサイズは約 1.4 M 程度で押
さえられていました。
幾つかのファイルが DllCache に保存されますが、どういう法則でそれら
のファイルが DllCache に保存されたのかはわかりません。
とりあえずサイズ制限はうまくいっているようですので、この状態でサー
ビスパック 2 に含まれていない修正モジュールを適用してみます。
Windows 2000 Security Patch: Malformed Event Record Vulnerability
の修正モジュールである Q285156_w2k_sp3_x86_ja.exe をシステムへ適用
し els.dll を更新してみたところ、system32 フォルダにあった els.dll
は hotfix に含まれたファイルに更新されましたが、DllCache には追加
されませんでした。
というわけで? DllCache のサイズ制限を行った場合、または HDD の容量
が 150M 以下になった場合には、DllCache にファイルが追加されません。
当然のことながら、DllCache に含まれないファイルは WFP による保護対
象とはなりませんので注意する必要があります。
また、WFP は不正なアクセスからシステムファイルの改竄を防ぐ為の仕組
みというわけではありません。
WFP は DllCache にあるファイルを、system32 フォルダなどへ書き戻す
だけです。例えば DllCache に古い日付のファイルを強制的に放り込めば、
新しいファイルが古い日付のファイルで更新されてしまいます。
(DllCacheが更新されるとすぐにそのファイルで上書きされるようです)
基本的には、システム関連ファイルを含め、なんらかのミスオペレーショ
ンや不正アクセスによりファイルが改竄されていないかといったシステム
全体の整合性は別の仕組みで監視する必要があります。
関連URL
[NT] 再起動まで DLLCache にコピーされたファイルを使用できない
http://www.microsoft.com/JAPAN/support/kb/articles/J049/7/68.htm
Windows 2000 へのアップグレード後ディスク使用容量が増加
http://www.microsoft.com/JAPAN/support/kb/articles/JP244/8/61.HTM
Registry Settings for Windows File Protection
http://support.microsoft.com/support/kb/articles/Q222/4/73.ASP
[NT]Hotfix インストール時 Windows ファイル保護イベント ID 64021 が表示
http://www.microsoft.com/JAPAN/support/kb/articles/J054/5/31.htm
[NT] 走査が停止されると WFP がイベント ログ エントリを作成する
http://www.microsoft.com/JAPAN/support/kb/articles/J051/7/70.htm
---
WinSyslog,EventReporter 販売中: http://adiscon.port139.co.jp/
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/