Windows unkaputtbar dank Enhanced Write-Filtertreiber !

Hallo zusammen,

in der PCWelt wird ein klasse Verfahren beschrieben, Windows gegen Schreib-Zugriffe und damit gegen Änderungen zu schützen.

Es heißt Enhanced Write Filter (EWF), ist von Microsoft, hat aber nichts mit dem Shared Computer Toolkit (SCT) von denen zu tun.
SCT ist für öffentliche PCs, als Privater ist man schnell genervt davon, der PC ist stark verrammelt, man kann nur umständlich etwas am System ändern.

Wie SCT fängt auch EWF Schreib-Zugriffe auf die Windows-Partition ab und speichert diese zwischen, allerdings im RAM und nicht auf ner extra Partition.

Vorteil ist, dass die Platte nicht verändert wird, der Nachteil, das RAM nicht unbegrenzt da ist.

Lohnt also nicht für Power-User, die schon mit Ihren 2 oder 4 GB nicht klar kommen.

Man kann den Cache aber jederzeit per cmd auf die Platte schreiben, das macht es sehr flexibel und User-freundlich.
Von meinen 1 GB nimmt sich EWF 512 MB, bemerkt habe Ich es überhaupt nicht, obwohl Ich zum Testen die Hiberfil.sys (1GB ) löschte, war sie nach nem Neustart wieder da, vermutlich wird der virt. Speicher mitgenutzt.

EWF lässt sich im Betrieb abschalten, mit ohne ohne Cache schreiben. Wenn mit Video-Files oder VMware gearbeitet wird, schaltet man es ab und gut.
Fürs Surfen, E-Mail, Office usw. lässt man es im Hintergrund laufen und hat so ein weiteres Netz gespannt.

Man ist zwar genauso angreifbar wie zuvor, es heißt dann aber nicht mehr automatisch Windows-CD suchen. Neu Booten und zumindest Windows ist wieder das alte!

EWF kann auch so eingestell werden, das es zum Booten immer gleiche Ruhezustands-Datei verwendet, die man vorher so eingestellt hat, das die wichtigsten Anwendungen schon laufen.

Vista arbeitet mit einem ähnlichem Verfahren, die System-Partition wird auch da nur virtuell eingeblendet.

Leider ist EWF nur über ein XP Embedded SP zu kriegen, aber 270 MB (!!) für 3 Dateien mit zus. 320 Kb zu saugen, ist wohl nicht jedermanns Sache.

Ich habe deshalb mal die Dateien geuppt,ne Anleitung gibts extra


Ist auf jeden Fall ne interessante Sache, probiert es mal aus.


PCB

Sry, die Word-Datei wollte nicht so wie Ich, hier ist sie nun (und unter 150 kb :-)

Interessant, danke.

Verstehe ich das richtig, dass die Anwendung des Programms VOR einer (gewünschten) Installation deaktiviert werden muss, nach dem Muster: commitanddisable; Installation; enable ?

Hört sich Interessant an, das werd ich mir gleich mal anschauen.

/edit
Die exe Datei fehlt im Archiv!

@eraz: Die ist im dem Doc-File enthalten, musste die wegen dem 150kb Limit da reinpacken

@zazie: Ja, das kannst du so machen, allerdings ist die zu inst. Anwendung dann fest "installiert".
Es geht aber auch so, das du die Anwendung erst mit aktiven EWF installierst, dann prüfst,ob sie keine "Probleme" macht und erst dann mit ewfmgr c: -commitanddisable -live endgültig freigibst.

Nachtag: Hab mich noch was eingelesen zu dem Tool, MS gibt noch folgende Tipps zu EWF:

- Auslagerungsdatei auf anderes LW als C: verschieben, EWF monitort auch das Swapfile, da EWF diese auch selbst benutzt, beißt sich sonst die Katze in den Schwanz!

- Systemwiederherstellung deaktivieren

- Prefetch deaktivieren

- Temp IE Files auf anderes LW legen.

Damit wird EWF entlastet.

Nochmal zumVerständnis: Den EWF Ram-Bedarf sieht man im Betrieb überhaupt nicht, sprich es ist genauso viel Speicher wie vorher für das System verfügbar.

Wie schon erwähnt, habe Ich das HORM Feature aktiviert, mein System bootet jetzt in etwa 10 sek von der immer gleichen Hibernate-Datei, ist einfach nur Klasse!

PCB

PCB schrieb:

@eraz: Die ist im dem Doc-File enthalten, musste die wegen dem 150kb Limit da reinpacken

Zum Vergrößern anklicken....

Ja ich habs gesehen, aber sag mir mal bitte wie ich die das rausbekomme!? *schäm*
Ich kann sie nur öffnen, aber nicht speichern.

@eraz: Lol, also ich mache es per Drag-n-Drop, einfach auf den Desktop ziehen.

Hallo,
tut mir leid dass ich diesen alten Thread wieder ausgrabe,
aber ich habe einige Fragen zu diesem Thema.

Also ich möchte selbst bei meinem kleinen Passiv P3 Rechner auf Flashsspeicher (CF) umsteigen, und da ist der EWF ja ganz passend.

Habe deshalb den Schreibfilter mal bei Windows XP installiert um zu testen.
Ging alles soweit ganz gut, der Filter ist nun auf meinen beiden Platten aktiv.


Was allerdings jetzt nur ein Problem darstellt ist die Größe des Overlays...
Da mein passivrechner als homepage server dient ist leider irgendwann mal das overlay größer als der RAM (aktuell 768 MB SDRAM) und dann passiert folgendes:
PC wird ganz langsam, alle lese und schreibaktivitäten werden eingestellt mit folgender meldung:"Keine freine Resourcen mehr"
Man kann nichtmal per
EWFMGR -all -commitanddisable -live
den EWF ausschalten..

Hat vielleicht jemand eine Idee was ich als Lösung machen kann??

Ich stelle mir das so vor,
2 CF Karten so a la 8GB im Rechner. Auf der einen eben Windows drauf, auf der anderen die Dateien für den Webserver.

Jetzt soll der EWF die anfallenden Daten so lange im RAM buffern, bis dieser voll ist.
Danach alle Änderungen auf einmal auf die CF Karten schreiben und den RAM wieder leerhalten. Und so weiter.

So könnte man die zu schreibende Datenmenge eben sehr gering mit vielleicht nur 1 Schreibvorgang am Tag halten.

Vorraussetzung ist aber dass das alles während dem Betrieb geschieht und der Server dazu nicht runtergefahren werden muss oder sonstwas (macht ja keinen Sinn bei einem Webserver).

Bin für alle Vorschläge dankbar

Hi Ooreilly,
ich verstehe nicht warum du einen Web Server auf CF Karten laufen läßt, aber du
wirst deine Gründe haben.
Ich würde den Task Scheduler einfach den Befehl ewfmgr {Drive} -commit in einem bestimmten Zeitintervall ausführen lassen.
Meiner Meinung nach die einfachste Lösung.
Damit schaffst du's vieleicht nicht nur einmal Täglich zu schreiben
(kommt drauf an wie schnell dir der RAM ausgeht) aber es sollte gehen.


Hallo PCB,

vielen Dank für Dein DOC und ZIP file, habe es dank deiner Dateien nach drei Tagen endlich geschaft EWF zum laufen zu bringen.

Liebe Grüße DDT

Koennte interessant sein, um die "Belastung" von SD oder CF gering zu halten auch bei einem vielleicht EEE PC oder Clone mit SSD. Dumm nur dass man dann die SSD oder Platte offenbar neu partitionieren muss in mindestens 2 Partitionen fuer die Auslagerungsdatei. Diese auf eine SD oder USB oder CF zu packen, waere dann ja wieder nicht sinnvoll, da man genau die ja eben vor dem "kaputtschreiben" schuetzen will

Hi Notebug,

kommtdrauf anwieviel RAM du hast, mein Notebook hat nur 380irgendwas ram undes arbeitet einwandfrei. Witzig, sitz grad im Arbeitsamt am Stellensuch terminal und bin hier gelandet.
Feswegen auh die Tippfehler, die Tastatur is voll "bescheiden" & Maus gibts auch keine.
Für den Notfall unterden Abspeckjunckys gibt es da noch XPlite, damit kanst sogar den IE deinstalliern. Einfach mal goobeln, kostetaber geld.
Is aber zu empfehlen, hab alles möglich deinstalliert.
Windows Update, Media Player, Sicherheitscenter, Firewall, undund und.
Statt 2 Partitionen knst auch einenDUAL SATA CF Adapter nehmen, glaub diegibts.
Da must du aber gucken ob deinNotebook auch 2x HDD an Pri Controllerkann.
Kaba Tastatur, ichhör jetzauf undschau obder Ly Cht auchgeht.

LiebeGrüße DDT

den Ruhezustand, bzw. die Datensammlung dafuer kannst du auch deaktivieren. Systemsteuerung - > Energieoptionen, Ruhezustand

Hallo Notebug und herzliche Grüße auch an alle anderen,

die Hibernate Funktion is eben da ganz praktisch. Denn man kann mit EWF immer die gleiche hiberfil.sys Abbildung verwenden, außer man macht ein neues.

Für alle die sich mal über EWF informieren möchten hier der Link zur MSDN "Enhanced Write Filter (EWF) Overview (eng.)".


Ganz neuer Status zu EWF!

Hier war bis vor kurzem noch mei EWF Button.
Ich habe diesen eben entfernt, da ich die ewfcpl.cpl und ewfstatussvc.exe gefunden habe und aus dem Image rausbekam.
Es is jetz nach 5.00 Uhr. Der EWF Button is im Systemtray, hat aber probleme den Status zu ermitteln.
Über das Controlpanel kann man EWF einstellen, kann aber den Overlay Modus nicht einstellen.
Wer Lust hat mit zu machen, das Ding zum laufen zu bringen, kann sich hier einfach melden.
Sieht fürs erste richtig gut aus und am ende hat man die ganze Kontrolle übers SysTray und ControlPanel.
Den ewfmgr.exe braucht man dann nicht mehr über irgendwelche scripte zu steuern.
Werde morgen noch mal alle Links zusammen suchen und ein vorläufiges FAQ erstellen.
Ich sag euch aber gleich, mit den paar downloads mit denen PCB auskam ist es nicht getan!
Ich geh jetzt erstmal ins Bett, was ich schon lange machen wollte.
hab grad keinen Durchblick mehr und auf meinen Protokollzettel auch nicht.

Liebe Grüße Frank

Hi nochmal was zu dem Thema,

also mein Server läuft nun schon eine ganze Weile problemlos mit dem EWF,
habe kurze Zeit nach meinem letzten Beitrag es nun folgendermaßen eingerichtet:
per Taskplaner (musste einen externen verwenden, da der XP Taskplaner nicht funktionierte) wird nun täglich ein -commit ausgeführt und die änderungen auf die karte geschrieben. anschließend wird der rechner neugestartet um sicherzugehen, dass der RAM auch wirklich leer ist.
Die ganzen protokollierungsfunktionen von windows sind auch ausgeschalten.
So denke ich wird die CF Karte ewig halten, da quasi 365 schreibzugriffe pro jahr ja eigentlich nichts sind im vergleich zum üblichen angegebene wert

Die zweite CF Karte (laufwerk D dient als FTP sowie Fileshare (intern im wLAN/LAN) Platte (damit ohne enhanced write filter) und hat jetzt schon deutlich mehr schreibzugriffe gehabt, weswegen ich hier auch regelmäßig ein backup ziehe sollte die CF Karte eines tages ausfallen.
Aber bisher schlägt die sich noch ganz gut, und wenn sie ausfällt denke ich werden die CF Karte so billig sein, dass ich dann eine 10gb aufwärts einbauen werde

Die Durchsatzraten sind eigentlich auch in ordnung, liegen laut meiner letzten messung bei ca 5-10MB/s reicht völllig im WLAN aus und fürs internet alle male, da wir sowieso nur 1mbit upload haben.

Acha noch @ DDT
Ich setze die CF Karten in meinem Server deshalb ein,
weils sie a. absolut geräuschlos arbeiten,
b. weniger strom als festplatten brauchen
und c. viel kleiner in den ausmaßen sind
All das brauche ich eben, weil das ein mini server ist (single board computer), der in meinem routerschrank steht, und dort eben vorallem absolut geräuschlos (wie der router eben) arbeiten muss.

er hat jetzt noch eine neue aufgabe bekommen, und zwar druckserver für einen angeschlossenen farblaser

hab sooeben von dem Tool erfahren - mach hier auch gleich weiter:

Funktioniert das Teil auch mit XP SP3 noch?

danke & salü