Duda existencial... Windows File Protection (WFP)

10/08/2006 - 20:30 por Juanito | Informe spam
Me ha surgido una duda existencial al hacer una serie de pruebas. La duda es
sobre la característica de Windows XP WFP (Windows File Protection).

Cito el documento de Microsoft http://support.microsoft.com/kb/222193/es
acerca de esta característica:

Protección de archivos de Windows (WFP, Windows File Protection) evita que
los programas reemplacen los archivos de sistema esenciales de Windows. Los
programas no deben sobrescribir estos archivos porque el sistema operativo y
otros programas los utilizan. Al proteger estos archivos, se evitan problemas
con los programas y el sistema operativo.

WFP protege los archivos de sistema esenciales que se instalan como parte de
Windows (por ejemplo, archivos con la extensión .dll, .exe, .ocx y .sys, y
algunas fuentes True Type). WFP utiliza las firmas de archivo y los archivos
de catálogo generados con firma de código para comprobar si los archivos de
sistema protegidos son las versiones de Microsoft correctas. Sólo se permite
reemplazar archivos de sistema protegidos a través de los mecanismos
siguientes:

• Instalación de Service Packs de Windows con Update.exe
• Hotfix instalados con Hotfix.exe o Update.exe
• Actualizaciones del sistema operativo con Winnt32.exe
• Windows Update

Si un programa utiliza un método diferente para reemplazar archivos
protegidos, WFP restaura los archivos originales. Windows Installer sigue las
normas de WFP al instalar archivos de sistema esenciales y lo llama con una
solicitud para instalar o reemplazar el archivo protegido en lugar de
intentar instalar o reemplazar el propio archivo.

Entiendo que Windows utiliza algún sistema de comprobación de firma de
archivos para verificar si un archivo de sistema es legítimo o no. En el caso
de que las firmas no coincidan, WFP lo restaura, ya sea desde el directorio
dllcache, ruta de red, o CD de instalación.

He comprobado que si elimino, por ejemplo, el ejecutable regedit.exe, WFP lo
restaura, con un delay de unos 4, o 5 segundos de tiempo. Me figuro que si el
delay es menor, incrementaría el consumo de memoria, y por ende, el
rendimiento sería menor.
Hasta ahí, bien. El caso es que si elimino regedit.exe, y acto seguido copio
cualquier aplicación con nombre regedit.exe al directorio, WFP parece no
enterarse del cambio y deja esa copia (ilegítima de Windows) intacta, con lo
que no llega a restaurar.
Mis preguntas a los expertos son las siguientes:

1) WFP realmente comprueba las firmas de los archivos?
2) Caso de que haga la comprobación de firmas. La hace cada cierto tiempo? O
es instantáneo (delay de 4 o 5 segundos)
3) Si la cuestión 2 es correcta. Por qué en mis máquinas no lo hace? Hay
alguna clave del registro que modificar?

Me figuro que con un sfc /scannow detectaría la copia ilegítima.

Parto de la base de que en mis equipos sólo hay un administrador, y los
clientes están configurados bajo el grupo usuarios, con lo que no hay peligro
alguno de que modifiquen nada en System o System32. Tan solo estaba haciendo
pruebas de seguridad, me ha surgido esta duda, y no doy con la explicación...

Muchas gracias!! :-)
 

Leer las respuestas

#1 Jose Gallardo
10/08/2006 - 20:44 | Informe spam
Busca primero una información. ¿Qué información de aparece en el visor de sucesos de todo lo que has hecho?

Microsoft MVP Windows - Shell/User


"Juanito" wrote in message news:
Me ha surgido una duda existencial al hacer una serie de pruebas. La duda es
sobre la característica de Windows XP WFP (Windows File Protection).

Cito el documento de Microsoft http://support.microsoft.com/kb/222193/es
acerca de esta característica:

Protección de archivos de Windows (WFP, Windows File Protection) evita que
los programas reemplacen los archivos de sistema esenciales de Windows. Los
programas no deben sobrescribir estos archivos porque el sistema operativo y
otros programas los utilizan. Al proteger estos archivos, se evitan problemas
con los programas y el sistema operativo.

WFP protege los archivos de sistema esenciales que se instalan como parte de
Windows (por ejemplo, archivos con la extensión .dll, .exe, .ocx y .sys, y
algunas fuentes True Type). WFP utiliza las firmas de archivo y los archivos
de catálogo generados con firma de código para comprobar si los archivos de
sistema protegidos son las versiones de Microsoft correctas. Sólo se permite
reemplazar archivos de sistema protegidos a través de los mecanismos
siguientes:

• Instalación de Service Packs de Windows con Update.exe
• Hotfix instalados con Hotfix.exe o Update.exe
• Actualizaciones del sistema operativo con Winnt32.exe
• Windows Update

Si un programa utiliza un método diferente para reemplazar archivos
protegidos, WFP restaura los archivos originales. Windows Installer sigue las
normas de WFP al instalar archivos de sistema esenciales y lo llama con una
solicitud para instalar o reemplazar el archivo protegido en lugar de
intentar instalar o reemplazar el propio archivo.

Entiendo que Windows utiliza algún sistema de comprobación de firma de
archivos para verificar si un archivo de sistema es legítimo o no. En el caso
de que las firmas no coincidan, WFP lo restaura, ya sea desde el directorio
dllcache, ruta de red, o CD de instalación.

He comprobado que si elimino, por ejemplo, el ejecutable regedit.exe, WFP lo
restaura, con un delay de unos 4, o 5 segundos de tiempo. Me figuro que si el
delay es menor, incrementaría el consumo de memoria, y por ende, el
rendimiento sería menor.
Hasta ahí, bien. El caso es que si elimino regedit.exe, y acto seguido copio
cualquier aplicación con nombre regedit.exe al directorio, WFP parece no
enterarse del cambio y deja esa copia (ilegítima de Windows) intacta, con lo
que no llega a restaurar.
Mis preguntas a los expertos son las siguientes:

1) WFP realmente comprueba las firmas de los archivos?
2) Caso de que haga la comprobación de firmas. La hace cada cierto tiempo? O
es instantáneo (delay de 4 o 5 segundos)
3) Si la cuestión 2 es correcta. Por qué en mis máquinas no lo hace? Hay
alguna clave del registro que modificar?

Me figuro que con un sfc /scannow detectaría la copia ilegítima.

Parto de la base de que en mis equipos sólo hay un administrador, y los
clientes están configurados bajo el grupo usuarios, con lo que no hay peligro
alguno de que modifiquen nada en System o System32. Tan solo estaba haciendo
pruebas de seguridad, me ha surgido esta duda, y no doy con la explicación...

Muchas gracias!! :-)

Preguntas similares