Sep 7

Written by: andy
07.09.2006

Nach wochenlanger Fehlersuche bin ich auf einen generellen Bug in Windows 2003 gestoßen. Wie allgemein bekannt schützt Windows seine Systemdateien mit der Windows File Protection. Wird eine System Datei gelöscht oder durch eine ungültige Datei ersetzt, sorgt der WFP dafür das die original Datei aus dem DLLCACHE Verzeichnis wieder hergestellt wird.
Neben dem WFP gibt es noch den System File Checker (SFC). Mit dem SCF kann explizit jede Systemdatei validiert werden. Im Gegensatz zum WFP der nur aktiv wird wenn eine Systemdatei geändert wird, überprüft der SFC aktiv jede Systemdatei.
Der SFC kann mit so eingestellt werden das bei jedem Boot alle Systemdateien validiert werden. Weiterhin kann der SFC so eingestellt werden das er auf der Konsole eine Dialogbox mit dem Fortschritt der Überprüfung anzeigt.

Und kommt der Haken: Die Überwachung der Systemdateien startet erst dann wenn die Fortschrittsanzeige angezeigt werden kann. Das ist dann der Fall, wenn sich ein Benutzer / Administrator auf der Konsole anmeldet.
Dummerweise beginnt der WFP erst dann mit seiner Arbeit wenn der SFC mit seiner Arbeit begonnen hat. D.h. solange sich kein Benutzer auf der Konsole anmeldet ist die WFP funktion blockiert. Werden jetzt Systemdateien gelöscht und / oder verändert sind diese durch den WFP nicht geschützt.

Microsoft ist dieser Fehler bekannt, sieht aber im Moment keinerlei Veranlassung den Bug zu beheben. Somit bleibt nur eine Empfehlung:
Die Fortschrittsanzeige für den SFC beim Bootup scan muss deaktiviert sein. In einer Domain kann diese Einstellung über die Group Policy gesteuert werden. Hierzu muss die Option Administrativ Templates /Windows File Protection
Hide the file scan progressbar auf enabled gesetzt werden

Bei lokalen Einstellungen muss der HKLMSoftwareMicrosoftWindows NTCurrentVersionSFCShowProgress auf den Wert 0 gesetzt werden.

Tags: