Quản lý và vô hiệu hoá cơ chế bảo vệ tệp

Để bảo vệ Windows chống lại những người dùng thiếu hiểu biết, những người thích làm rộng ổ cứng bằng cách xoá bớt những tệp mà họ không biết rõ tác dụng của chúng, Microsoft đã thực hiện trong Windows 2000 một công nghệ để kiểm soát những tệp thiết yếu đối với hệ thống và thay thế chúng khi cần thiết. Theo PC World VN Công nghệ này được gọi với nhiều tên khác nhau như Windows File Protection (WFP), System File Protection (SFP) và System File Checker (SFC); nếu xem kỹ trong registry thì các bạn sẽ thấy ngay bản thân Microsort cũng không nhất quán trong việc gọi tên nó! Trên lý thuyết đây là một thứ rất hay ho nhưng đối với những người dùng hiểu biết thì nó vừa tiêu tốn tài nguyên hệ thống vừa gây khó chịu khi bạn muốn thử nghiệm hay tuỳ biến hệ thống trong hai thư mục %SYSTEMROOT và %SYSTEMROOT\system32. Hãy lấy ví dụ đơn giản như tập NOTEPAD.EXE, liệu có cần bảo vệ chương trình soạn thảo cũ rích và đầy hạn chế này? Nhiều người trong số các bạn chắc đều mong muốn thay NOTEPAD bằng trình soạn thảo yêu thích của mình. Vì vậy, trong bài viết này chúng ta sẽ cùng tìm hiểu cách vô hiệu hoá WFP hay ít nhất là điều chỉnh khối lượng mà nó giám sát. Các bạn cũng sẽ biết được cách di chuyển nơi cất trữ bản sao các tệp thiết yếu của hệ điều hành tới một thư mục khác, những người quản trị mạng có thể dùng kiến thức này để tập trung kho chứa này lên máy chủ. Cơ chế bảo vệ WFP làm việc như thế nào? WFP chạy ngầm và giám sát các thay đổi của hệ thống. Khi một tệp được bảo vệ bị thay đổi, WFP sẽ tự động khôi phục tệp về phiên bản mà nó cho là đúng. Điều này sẽ dẫn đến một trong hai khả năng sau: 1. Tệp được lưu trong thư mục %SYSTEMROOT\system32\dllcache và do đó được chép đè vào thư mục làm việc. 2. Windows yêu cầu bạn đưa đĩa cài đặt. Đối với Windows 2000 Professional, DllCache thường chiếm khoảng 50MB. Đối với bản Server, nó chiếm tới tận 300MB - một sự lãng phí to lớn. Những thứ gì được bảo vệ?. Rất nhiều thứ, trong đó bao gồm các tệp thi hành của bộ cài đặt mặc định, các font chữ, các tệp cấu hình hệ thống, các thư viện liên kết động, các Active X Controls (đuôi OCX), các trình điều khiển thiết bị và các tệp trợ giúp. Tại sao lại có người muốn vô hiệu hoá WFP? Trong phần lớn các trường hợp, chúng ta có thể coi WFP là một thứ có tác dụng tốt. Nó ngăn ngừa sự hỗn loạn, trong đó bao gồm cả những cuộc tấn công có khả năng xảy ra đối với máy tính của các loại virus và những con ngựa thành Troa. Tuy nhiên, có ba lý do chính khiến bạn có thể muốn loại bỏ nó: 1. WFP thường nhầm lẫn khi bạn cố áp dụng nhiều bản vá hệ thống (system patch) một lúc, khiến cho bạn phải khởi động lại máy nhiều lần. Mặc dù điều này không tệ lắm nhưng nó là lại là một nỗi khổ thực sự cho những người quản trị các máy tính từ xa muốn cập nhật những thay đổi một cách nhanh chóng. 2. Nhiều người không muốn hệ điều hành tiêu tốn thời gian vào công việc đó. 3. Nếu đĩa cứng của bạn quá chật chội thì việc loại bỏ WFP cùng với kho chứa của nó có thể đem lại một chút gì đó. Dù không phải lúc nào cũng cần tới WFP nhưng nếu bạn không thường xuyên gặp khó chịu với nó thì tốt nhất là giữ nguyên hiện trạng hay chỉ đơn giản thay đổi kích thước của kho chứa là đủ. Làm thế nào để quản lý hay vô hiệu hoá WFP? Quá trình thực hiện có thể gặp sai sót, vì vậv hãy sao lưu cẩn thận và chuẩn bị sẵn một rdisk trước khi sửa đổi registry. Chúng ta sẽ thao tác với một trong hai khoá: SFCDisable hay SfcQuota. Cả hai đều nằm tại: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Để vô hiệu: 1. Đặt (hay tạo mới) giá trị SFCDisable kiểu REG_DWORD thành 'ffffff9d'. (Giá trị hiện thời của nó là '0') 2. Khởi động lại máy. 3. Windows sẽ không xoá các tệp lưu trong kho chứa, nếu bạn muốn thì hãy tự làm việc đó nhưng nhớ để nguyên thư mục. 4. Kiểm tra nhật ký sự kiện (even log) để thấy Windows đã thực sự vô hiệu hoá nó. Một số tài liệu nói rằng giá trị '1' sẽ vô hiệu hoá WFP nhưng hình như đặt như vậy không có hiệu quả (giá trị SFCDisable sẽ bị đặt lại như cũ sau một lần khởi động máy). Để quản lý kích thước của dllcache: Bạn có thể làm theo hai cách: sửa registry hay gõ lệnh từ dấu nhắc hệ thống. Trong registry, đặt giá trị SfcQuota thành một số dạng hexa (cơ số 16) tương đương tới số MB bạn muốn phân cho dllcache. Nếu bạn không biết cách đổi sang cơ số 16 thì có thể dùng Calculator trong Accessories của Windows (chế độ Scientific) hoặc tham khảo một vài ví dụ sau: 00000099 = 153 (MB) 0000004b = 75 (MB) 00000032 = 50 (MB) 0000000a = 10 (MB) FFFFFFFF = Không giới hạn (thiết lập mặc định) Sau khi sửa xong, chạy lệnh sfc/Scannow rồi khởi động lại. Nếu gọi sfc từ dấu nhắc hệ thống thì mọi việc còn đơn giản hơn nhiều. Hãy gõ lệnh: sfc/cachesize=X với X là số MB (ví dụ: X=50 đặt kích thước kho chứa thành 50MB). Sau đó chạy lệnh sfc/scannow rồi khởi động lại. Làm thế nào để di chuyển dllcache? Để làm được điều này, bạn sẽ phải tạo ra một khoá mới trong registry bằng chương trình REGEDT32. Tìm đến khoá sau: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Tạo ra một giá trị kiểu REG_SZ_EXPAND với tên là SFPGDllCacheDir. Chuỗi ký tự bạn nhập vào đó sẽ chỉ định thư mục nơi đặt kho chứa. Một vài ví dụ: %systemroot%\system32 (thư mục mặc định) \\BigServer\sneakypoo$\admin (thư mục admin trong thư mục dùng chung ẩn sneakypot), trên máy chủ BigServer). Bản quyền Công ty Phát triển Phần mềm (VASC) E-mail: mailto:it-today@vasc.vnn.vn