拡張書き込みフィルター（EWF）を実装する

Enhanced Write Filter（EWF）は、Windows Embeddedで使用されるオプションのコンポーネントです。 EWFは、ディスクボリュームを読み取り専用にします。 この場合、このディスクボリュームに保存されたデータを使用して実行される書き込み操作は、別のディスクまたはコンピューターのメモリにあるオーバーレイにリダイレクトされます。 Windowsは、EWFオーバーレイとそのディスクボリュームを単一のデバイスとして表示します。 ただし、ディスクボリュームは実質的に変更されません。 すべての変更はEWFオーバーレイにのみ保存されます。 変更はいつでもディスクボリュームに保存できます。

拡張書き込みフィルターは、さまざまな目的に使用できます。

• 強化された書き込みフィルターを使用すると、Windowsシステムの起動可能なフラッシュカードを作成し、カードへの書き込みサイクル数を減らして、サービス寿命を延ばすことができます。
• SSDを使用する場合、EWFによる書き込み保護はディスクの寿命を延ばすのにも役立ちます。
• EWFを使用して、インターネットで経験の浅いユーザーを使用している場合、ウイルス、トロイの木馬、およびその他の危険の影響からPCを保護することもできます。

コンピューターを安定して動作させるために、Windows XPでEWFを使用しました。

主なアイデアは、インターネットサーフィンのための安全なOSを入手することでした。 EWFを使用すると、エンターテインメントや情報リソースを訪問した結果からPCを保護できます。 最近、不公平な広告のケースがより頻繁になっていることは秘密ではありません。 広告が配置されているリソースに到達すると、さまざまな攻撃を受ける可能性があります。 ただし、EWFを使用する場合、システムドライブで発生したすべての変更は再起動後に保存されず、攻撃されたシステムは再び使用できる状態になります。 2番目の良い点は、EWFを通じて作業する場合、OSが動作を遅くする変更を蓄積せず、6か月後にWindows XPがOSがインストールされた日と同じ速度で動作することです。

この場合、必要なすべての可変ファイル（ユーザードキュメントなど）を2番目のディスクに保存するか、システムとファイルを保存するセクションの2つのセクションに分割できます。

Windows XPにEWFをインストールする

1. Windows XPにEWFをインストールするには、 EWF.zipアーカイブをダウンロードする必要があります。
次のファイルが含まれています。
ewf.sys
EWFMGR.EXE
ewfntldr
ewf.reg
ewf.sysファイルewf.sys %systemroot%\system32\driversコピーされます
％systemroot％\ system32にある EWFMGR.EXE 。

2.システムドライブのルートディレクトリにあるntldrを置き換えるには、 ewfntldrファイルewfntldr必要です。 変更を破棄する場合に備えて、元のファイルのコピーを作成することを忘れないでください。

3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF情報を追加する必要がありHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF 。

これを行うには、作業するユーザーに代わって、 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Rootセクションへの書き込みアクセス権を付与します。

デフォルトでは、 システムのみがこのセクションへの書き込みアクセス権を持っています。

4.次の情報がレジストリに追加されます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000]
"Service"="EWF"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000020
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="EWF"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000\Control]
"ActiveService"="EWF"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
"ErrorControl"=dword:00000001
"Group"="System Bus Extender"
"Start"=dword:00000000
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
"UpperFilters"="Ewf"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected\Volume0]
"Type"=dword:00000001
"ArcName"="multi(0)disk(0)rdisk(0)partition(1)"


5.ここで、一時ディスクおよび不要なファイルからシステムディスクを最大限にクリーンアップする必要があります。

6.ユーザープロファイルを別のドライブに転送することもできます。 Windows XPでは、このために、管理者アカウントに代わって、管理者以外のすべてのプロファイルを転送し、 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\SID\ProfileImagePath\の場所情報を修正する必要があります。

7.次に、一時ユーザーを作成し、管理者権限を付与し、彼に代わってシステムにログインし、管理者ディレクトリを転送して、レジストリの値を置き換える必要があります。

ユーザープロファイルを転送する利点は、システムが推奨する場所にドキュメントを保存できることです。

欠点は、読み込まれた情報とブラウザのキャッシュがプロファイルにすぐに蓄積されることです。

8. EWFを実行するだけです。 これを行うには、ewfmgr c：-enableコマンドを使用します。

EWFを制御できるコマンドのリスト：

• ewfmgr c：-enable -EWFを有効にします。
• ewfmgr c：-commitanddisable-次の再起動時にEWFを無効にし、システムのシャットダウン/再起動時にすべての変更をディスクに保存します。
• ewfmgr c：-commitanddisable -live-システムを再起動せずにEWFを無効にします（この場合、ディスク上の情報はコマンドの実行直後に保存されます）。
• ewfmgr c：-commit -PCの再起動またはシャットダウン時にディスクへのすべての変更を保存します。

最後のコマンドは、システムアップデートをインストールするときに非常に重要です。 そうしないと、Windowsセッション中に行ったすべての操作が永久に失われます。

EWFをフラッシュカードまたはSSDを多数の書き込み/読み取りサイクルから保護するためだけに使用する場合、このコマンドは起動時に配置するのが最適です。

Windows 7にEWFをインストールする

Windows 7にEWFをインストールできるのは、SSDにEWFを使用している場合のみです。

インストールは、次の手順で構成されます。

1.次の情報をレジストリに追加します。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
"UpperFilters"="Ewf"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
"ErrorControl"=dword:00000001
"Start"=dword:00000000
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Ewf\Parameters\Protected\Volume0]
"Type"=dword:00000001
"Enabled"=dword:00000001
"CompareBeforeAlloc"=dword:00000000
"DiskSignature"=dword:00000000
"PartitionOffset"=hex(b):00,00,00,00,00,00,00,00

2. ファイルをレイアウトします 。
ewf.sys %systemroot%\system32\driversへのコピー
%systemroot%\system32 EWFMGR.EXE。

3. cmdを実行し、その中でdiskpartユーティリティを実行します。

4.「select disk nn」と入力します。nnはディスク番号です（0からカウント）。
次に、「詳細ディスク」：



「ディスクID」（ロシア語版の「ディスクID」）に興味があり、この値を覚えています。

5.ここで、「select partition nn」と入力します。nnは番号です。

「詳細パーティション」という情報を表示します。



「Offset in Bytes」に続く数字に興味があります（ロシア語版の「Offset in Bytes」）。

6. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Ewf\Parameters\Protected\Volume0でHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Ewf\Parameters\Protected\Volume0を編集します。

DiskSignatureここに「ディスクID」を入力します。
PartitionOffset 「バイト単位のオフセット」。

7. EWFコマンド「 ewfmgr c：-enable 」をオンにしてコンピューターを再起動するだけです。

EWFの詳細は、MSDNで入手できます。

Posted by Konstantin Ivanishchev、Leading Information Security Specialist Positive Technologies。