1771246

Schreibschutz für Windows mit EWF-Treiber nachrüsten - so geht´s

14.07.2013 | 16:34 Uhr |

Windows ist ein sehr stabiles System, kann aber nach Änderungen an der Registry leicht unbenutzbar werden. Wollen Sie das verhindern, schalten Sie den Schreibschutz ein.

Manchmal will man einfach etwas ausprobieren, ein neues Tool oder eine größere Anwendung, die tief ins Windows-System eingreifen und zahlreiche Einstellungen verändern. Um später wieder zum alten Zustand zurückzukehren, ist eine einfache Deinstallation oft nicht ausreichend: Viele Programme versehen die Registry mit Dutzenden neuer Einträge und legen über die ganze Festplatte verstreut Ordner für ihre Daten an, die von der Uninstall-Routine nicht erfasst werden. Zwar können Sie dann immer noch auf die Systemwiederherstellung zurückgreifen. Sie benötigt allerdings mehrere Minuten, bis sie ein umfangreiches Windows-System wieder in den vorherigen Zustand zurückversetzt hat.

Eine Alternative bietet sich in Form des EWF-Treibers von Windows, die Abkürzung steht für Enhanced Write Filter. Er leitet sämtliche Schreibzugriffe auf die Festplatte in eine Datei um, die er beim Herunterfahren des Betriebssystems einfach wegwirft. Mit anderen Worten: Sämtliche Änderungen, die eine Anwendung an der Registry oder am Dateisystem vornimmt, sind nach einem Neustart wieder verschwunden. Damit Sie anschließend wieder wie gewohnt mit Ihrem Rechner arbeiten können, lässt sich der EWF-Treiber mit wenigen Handgriffen deaktivieren.

Der Treiber ist in den normalen Windows-Versionen nicht enthalten, und Sie bekommen ihn auch nicht als Download von Microsoft. Er ist jedoch Bestandteil von Windows Embedded, einer speziellen Ausführung von Windows, die etwa in Registrierkassen und anderen Systemen ohne Festplatte zum Einsatz kommt. In diesem Workshop zeigen wir Ihnen, wie Sie den EWF-Treiber von Windows 7 installieren – Sie benötigen jeweils den Treiber aus der entsprechenden Embedded-Version des Betriebssystems. Der Trick mit dem EWF-Treibern funktionierte bei Tests in der Redaktion nicht bei Windows 8. Das System beim Test ernsthaft beschädigt. Wir raten Windows-8-Nutzer von dem Trick ab.

Bevor Sie beginnen, sollten Sie jedoch zur Vorsicht einen Wiederherstellungspunkt setzen, um Ihr System jederzeit wieder in den Ausgangszustand zurückversetzen zu können. Klicken Sie dazu im Startmenü von Windows 7 mit der rechten Maustaste auf „Computer“ und wählen Sie „Eigenschaften“. Klicken Sie auf der linken Seite auf „Computerschutz“ und bestätigen Sie die Sicherheitsabfrage mit „Ja“. Im folgenden Fenster klicken Sie einfach auf „Erstellen“ und warten, bis das Systemabbild angelegt ist.

Windows 7 Embedded ist als kostenlose Testversion auf den Download-Seiten von Microsoft erhältlich.
Vergrößern Windows 7 Embedded ist als kostenlose Testversion auf den Download-Seiten von Microsoft erhältlich.

Windows Embedded herunterladen

In einem ersten Schritt laden Sie sich eine kostenlose Testversion von Windows Embedded herunter. Sie finden sie unter

www.microsoft.com/windowsembedded/en-us/downloads.aspx .

Scrollen Sie nach unten bis Sie „Windows Embedded Standard 7“ finden. Klicken Sie auf das vorangestellte Pluszeichen und anschließend auf den Link für die Evaluation-Version. Auf der nächsten Seite melden Sie sich mit Ihrer Microsoft Live-ID an. Sie gelangen nun zu einem Fragebogen, bei dem Sie lediglich die gekennzeichneten Felder für Name und Adresse ausfüllen müssen, die Fragen zu Ihrer Nutzung von Windows Embedded können Sie ignorieren. Weiter geht’s unten mit „Continue“. Als nächstes wird ein Trial Product Key eingeblendet. Da Sie nur einen Treiber benötigen und nicht das gesamte Betriebssystem installieren wollen, brauchen Sie den Key nicht. Klicken Sie auf den Download-Link.

Der EWF-Treiber ist in Windows 7 Embedded über einen eigenen Ordner einfach zu identifizieren.
Vergrößern Der EWF-Treiber ist in Windows 7 Embedded über einen eigenen Ordner einfach zu identifizieren.

Sie sehen nun eine lange Liste von Downloads. Wenn Sie die 32-Bit-Version von Windows 7 verwenden, laden Sie die acht Dateien von Standard_7SP1_Toolkit\Standard 7 SP1 Toolkit.part01.exe bis Standard_7SP1 Toolkit\Standard 7 SP1 Toolkit.part08.rar herunter. Arbeiten Sie mit der 64-Bit-Version, holen Sie sich die sieben Files von Standard_7SP1_64bit\Standard 7 SP1 64bit IBW.part1.exe bis Standard_7SP1_64bit\Standard 7 SP1 64bit IBW.part7.rar. Sobald der Download abgeschlossen ist, klicken Sie jeweils auf die EXE-Datei. Dadurch entsteht ein großes ISO-File, das Image der Installations-DVD von Windows Embedded. Von dort müssen Sie nun einige Dateien auf die Festplatte kopieren.

Sie können das Image auf eine DVD brennen oder mit Virtual CloneDrive als virtuelles Laufwerk in ihr Dateisystem einbinden. Am einfachsten geht es jedoch mit dem Freeware-Packer 7-Zip : Steuern Sie mit dieser Software die ISO-Datei an und suchen Sie in der 32-Bit-Version von Windows Embedded den Ordner \DS\Packages\FeaturePack\x86~winemb-enhanced-write-filter~~~~6.1.7601.17514~1.0, beim 64-Bit-Windows beginnt der Ordnername mit amd64~.

Darin finden Sie die Datei winemb-enhanced-write-filter.cab, entpacken Sie sie mit dem Windows-Explorer oder 7-Zip. Sie enthält einen Unterordner, in dem wiederum sechs Dateien stecken. Kopieren Sie den EWF-Treiber ewf.sys nach C:\Windows\System32\drivers und den EWF-Manager ewfmgr.exe in den Ordner C:\Windows\System32. Das ist alles, was Sie aus dem Embedded-Betriebssystem benötigen. Die heruntergeladenen Dateien und die ISO-Files können Sie nun wieder löschen.

Mit „detail disk“ zeigt Ihnen Diskpart die Datenträger-ID Ihrer Festplatte an.
Vergrößern Mit „detail disk“ zeigt Ihnen Diskpart die Datenträger-ID Ihrer Festplatte an.

Datenträger-ID ermitteln

Als nächstes geht es darum, die Festplatte auszuwählen, für die der Schreibschutz eingerichtet werden soll. Dazu benötigen Sie deren Datenträger-ID. Sie lässt sich ermitteln mit Diskpart, einem mitgelieferten Tool von Windows 7.

Sie müssen Diskpart mit Administrator-Rechten starten. Gehen Sie daher im Startmenü auf „Alle Programme, Ausführen, Zubehör“, klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“, wählen Sie „Als Administrator ausführen“ und bestätigen Sie die folgende Sicherheitsabfrage mit „Ja“. Es erscheint das Konsolen-Fenster von Windows, tippen Sie hier „diskpart“ ein. Sobald das Programm geladen ist, erscheint „DISKPART>“ als Prompt. Geben Sie „list disk“ ein, um eine Auflistung aller installierten Festplatten mit ihren Nummern zu erhalten.

Achten Sie darauf, dass Sie den Wert für die Partition als Dezimalzahl kennzeichnen.
Vergrößern Achten Sie darauf, dass Sie den Wert für die Partition als Dezimalzahl kennzeichnen.

Suchen Sie die Platte heraus, auf der die Partition liegt, die Sie per EMF-Treiber schützen wollen, und wählen Sie sie mit „select disk x“ aus, wobei „x“ für die Festplattennummer steht. Geben Sie anschließend „detail disk“ ein. Diskpart zeigt Ihnen nun weitere Informationen zu der Platte an, in der zweiten Zeile steht die Datenträger-ID. Notieren Sie sich diesen Code.

Jetzt suchen Sie nach dem Code der Partition, die mit dem Treiber gesperrt werden soll. Mit „list partition“ rufen Sie eine Liste der vorhandenen Partitionen auf der zuvor ausgewählten Platte auf. Tippen Sie „select partition x“ ein, wobei „x“ für die Nummer des Laufwerks steht. Mit „detail partition“ rufen Sie die Daten der Partition ab. Notieren Sie sich den Code, der hinter „Offset in Byte:“ steht. Danach können Sie Diskpart mit „exit“ beenden und die Eingabeaufforderung schließen.

Registry anpassen

Zur Kennzeichnung der Partition notieren Sie sich den Wert neben „Offset in Byte“.
Vergrößern Zur Kennzeichnung der Partition notieren Sie sich den Wert neben „Offset in Byte“.

Die beiden Codes benötigen Sie, um in der Registry von Windows einzustellen, wo der EWF-Treiber wirksam sein soll. So gehen Sie vor: Laden Sie sich unsere Datei ewf.reg hier herunter . Dabei handelt es sich um eine Textdatei, die so gestaltet ist, dass ihre Inhalte nach einem Doppelklick automatisch in die Registrierdatenbank von Windows eingefügt werden. Auf diese Weise ist sichergestellt, dass bei der Bearbeitung nichts schief geht. Kopieren Sie die Datei also in einen beliebigen Ordner auf Ihrer Festplatte und führen Sie einen Doppelklick darauf aus. Es folgen zwei Sicherheitsabfragen, die Sie mit „Ja“ bestätigen, danach erhalten Sie eine Vollzugsmeldung.

Nach dem Doppelklick auf ewf.reg finden Sie in der Registry eine Reihe neuer Schlüssel.
Vergrößern Nach dem Doppelklick auf ewf.reg finden Sie in der Registry eine Reihe neuer Schlüssel.

Nun müssen Sie noch die Codes eintragen. Öffnen Sie das Startmenü und geben Sie unten in das Suchfeld „regedit“ ein. Nachdem Sie die Sicherheitsabfrage bejaht haben, erscheint der Registrierungs-Editor. Öffnen Sie dort den Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ewf\ParametersProtected\Volume0. Klicken Sie dort doppelt auf „DiskSignature“ und geben Sie im folgenden Fenster den achtstelligen Code für die Festplatte ein. Achten Sie darauf, dass unter „Basis“ die Option „Hexadezimal“ eingestellt ist und bestätigen Sie mit „OK“. Anschließend öffnen Sie „PartitionOffset“, stellen – Wichtig! – die Basis auf „Dezimal“ und tippen den Code für die Partition ein. Schließen Sie das Fenster mit „OK“ und beenden Sie den Editor. Damit ist die Installation des EWF-Treibers beendet.

Den Treiber aktivieren und konfigurieren

Um den Treiber zu aktivieren, öffnen Sie wie oben beschrieben die Eingabeaufforderung mit Administrator-Rechten, tippen Sie den Befehl „ewfmgr c: -enable“ ein und lassen Windows neu starten. Damit ist der Schutz eingeschaltet. Sie können die Wirkung sofort sehen, wenn Sie Windows ein weiteres Mal booten lassen: Da das Betriebssystem nun nicht mehr speichern kann, ob der letzte Start problemlos verlaufen ist, nimmt es an, dass etwas schiefgelaufen ist und empfiehlt Ihnen seine Starthilfe. Die benötigen Sie jedoch nicht, wechseln Sie daher im Boot-Menü zu „Windows normal starten“. Sie können den Status des Schutzmechanismus auch über die Eingabeaufforderung abfragen, geben Sie dort einfach „ewfmgr c:“ ein. Neben „STATE“ sehen Sie, ob er „ENABLED“ oder „DISABLED“ ist.

Wie anfangs bereits erklärt, leitet der EWF-Treiber sämtliche Änderungen in eine Datei um. Da er sie wegen des Schreibschutzes nicht auf der Festplatte speichern kann, legt er sie auf einer RAM-Disk im Arbeitsspeicher ab. Daher sind Änderungen am System oder Dokument-Bearbeitungen nach einem Neustart wieder verschwunden. Sie können also nach Herzenslust Software installieren oder gewagte Experimente mit der Registry anstellen – ganz gleich, wie stark sie das System verhunzt haben, nach einem Reboot ist alles wieder wie zuvor. Falls Sie die Änderungen hingegen dauerhaft übernehmen wollen, müssen Sie dem EWF-Manager ausdrücklich mitteilen, dass er sie auf die Festplatte schreiben soll. Dazu benutzen Sie den Befehl „ewfmgr c: -commit“.

Um den Treiber wieder zu deaktivieren, stellt der EWF-Manager den Parameter „-disable“ zur Verfügung, der Befehl lautet also „ewfmgr c: -disable“. Doch nach einem Neustart hat sich nichts getan, der Zugriff auf die Festplatte ist nach wie vor versperrt. Der Grund ist ganz einfach: Da Sie in diesem Workshop die Systempartition gesperrt haben, lässt der EWF-Treiber auch keine Änderungen an der eigenen Konfiguration zu. Die Option „-disable“ zeigt daher keine Wirkung. Sie können sie nur dann einsetzen, wenn Sie beispielsweise mit „ewfmgr d: -enable“ eine Daten-Partition mit dem Schreibschutz versehen haben. In diesem Fall führt „ewfmgr d: -disable“ mit anschließendem Reboot wieder zum Normalzustand. Um hingegen die Systempartition zu entsperren, geben Sie das Kommando „ewfmgr c: -commitanddisable -live“ ein und booten neu. Damit werden in einem Arbeitsgang die vorgenommenen Änderungen übernommen und der Festplattenschutz deaktiviert. Eine komplette Übersicht über die Parameter des EWF-Managers erhalten Sie durch Eingabe von „ewfmgr -help“.

 

0 Kommentare zu diesem Artikel
1771246