Manchmal will man einfach etwas ausprobieren, ein neues Tool oder eine größere Anwendung, die tief ins Windows-System eingreifen und zahlreiche Einstellungen verändern. Um später wieder zum alten Zustand zurückzukehren, ist eine einfache Deinstallation oft nicht ausreichend: Viele Programme versehen die Registry mit Dutzenden neuer Einträge und legen über die ganze Festplatte verstreut Ordner für ihre Daten an, die von der Uninstall-Routine nicht erfasst werden. Zwar können Sie dann immer noch auf die Systemwiederherstellung zurückgreifen. Sie benötigt allerdings mehrere Minuten, bis sie ein umfangreiches Windows-System wieder in den vorherigen Zustand zurückversetzt hat.
Eine Alternative bietet sich in Form des EWF-Treibers von Windows, die Abkürzung steht für Enhanced Write Filter. Er leitet sämtliche Schreibzugriffe auf die Festplatte in eine Datei um, die er beim Herunterfahren des Betriebssystems einfach wegwirft. Mit anderen Worten: Sämtliche Änderungen, die eine Anwendung an der Registry oder am Dateisystem vornimmt, sind nach einem Neustart wieder verschwunden. Damit Sie anschließend wieder wie gewohnt mit Ihrem Rechner arbeiten können, lässt sich der EWF-Treiber mit wenigen Handgriffen deaktivieren.
Der Treiber ist in den normalen Windows-Versionen nicht enthalten, und Sie bekommen ihn auch nicht als Download von Microsoft. Er ist jedoch Bestandteil von Windows Embedded, einer speziellen Ausführung von Windows, die etwa in Registrierkassen und anderen Systemen ohne Festplatte zum Einsatz kommt. In diesem Workshop zeigen wir Ihnen, wie Sie den EWF-Treiber von Windows 7 installieren – Sie benötigen jeweils den Treiber aus der entsprechenden Embedded-Version des Betriebssystems. Der Trick mit dem EWF-Treibern funktionierte bei Tests in der Redaktion nicht bei Windows 8. Das System beim Test ernsthaft beschädigt. Wir raten Windows-8-Nutzer von dem Trick ab.
Bevor Sie beginnen, sollten Sie jedoch zur Vorsicht einen Wiederherstellungspunkt setzen, um Ihr System jederzeit wieder in den Ausgangszustand zurückversetzen zu können. Klicken Sie dazu im Startmenü von Windows 7 mit der rechten Maustaste auf „Computer“ und wählen Sie „Eigenschaften“. Klicken Sie auf der linken Seite auf „Computerschutz“ und bestätigen Sie die Sicherheitsabfrage mit „Ja“. Im folgenden Fenster klicken Sie einfach auf „Erstellen“ und warten, bis das Systemabbild angelegt ist.
Windows Embedded herunterladen
In einem ersten Schritt laden Sie sich eine kostenlose Testversion von Windows Embedded herunter. Sie finden sie unter
www.microsoft.com/windowsembedded/en-us/downloads.aspx .
Scrollen Sie nach unten bis Sie „Windows Embedded Standard 7“ finden. Klicken Sie auf das vorangestellte Pluszeichen und anschließend auf den Link für die Evaluation-Version. Auf der nächsten Seite melden Sie sich mit Ihrer Microsoft Live-ID an. Sie gelangen nun zu einem Fragebogen, bei dem Sie lediglich die gekennzeichneten Felder für Name und Adresse ausfüllen müssen, die Fragen zu Ihrer Nutzung von Windows Embedded können Sie ignorieren. Weiter geht’s unten mit „Continue“. Als nächstes wird ein Trial Product Key eingeblendet. Da Sie nur einen Treiber benötigen und nicht das gesamte Betriebssystem installieren wollen, brauchen Sie den Key nicht. Klicken Sie auf den Download-Link.
Sie sehen nun eine lange Liste von Downloads. Wenn Sie die 32-Bit-Version von Windows 7 verwenden, laden Sie die acht Dateien von Standard_7SP1_ToolkitStandard 7 SP1 Toolkit.part01.exe bis Standard_7SP1 ToolkitStandard 7 SP1 Toolkit.part08.rar herunter. Arbeiten Sie mit der 64-Bit-Version, holen Sie sich die sieben Files von Standard_7SP1_64bitStandard 7 SP1 64bit IBW.part1.exe bis Standard_7SP1_64bitStandard 7 SP1 64bit IBW.part7.rar. Sobald der Download abgeschlossen ist, klicken Sie jeweils auf die EXE-Datei. Dadurch entsteht ein großes ISO-File, das Image der Installations-DVD von Windows Embedded. Von dort müssen Sie nun einige Dateien auf die Festplatte kopieren.
Sie können das Image auf eine DVD brennen oder mit Virtual CloneDrive als virtuelles Laufwerk in ihr Dateisystem einbinden. Am einfachsten geht es jedoch mit dem Freeware-Packer 7-Zip : Steuern Sie mit dieser Software die ISO-Datei an und suchen Sie in der 32-Bit-Version von Windows Embedded den Ordner DSPackagesFeaturePackx86~winemb-enhanced-write-filter~~~~6.1.7601.17514~1.0, beim 64-Bit-Windows beginnt der Ordnername mit amd64~.
Darin finden Sie die Datei winemb-enhanced-write-filter.cab, entpacken Sie sie mit dem Windows-Explorer oder 7-Zip. Sie enthält einen Unterordner, in dem wiederum sechs Dateien stecken. Kopieren Sie den EWF-Treiber ewf.sys nach C:WindowsSystem32drivers und den EWF-Manager ewfmgr.exe in den Ordner C:WindowsSystem32. Das ist alles, was Sie aus dem Embedded-Betriebssystem benötigen. Die heruntergeladenen Dateien und die ISO-Files können Sie nun wieder löschen.
Datenträger-ID ermitteln
Als nächstes geht es darum, die Festplatte auszuwählen, für die der Schreibschutz eingerichtet werden soll. Dazu benötigen Sie deren Datenträger-ID. Sie lässt sich ermitteln mit Diskpart, einem mitgelieferten Tool von Windows 7.
Sie müssen Diskpart mit Administrator-Rechten starten. Gehen Sie daher im Startmenü auf „Alle Programme, Ausführen, Zubehör“, klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“, wählen Sie „Als Administrator ausführen“ und bestätigen Sie die folgende Sicherheitsabfrage mit „Ja“. Es erscheint das Konsolen-Fenster von Windows, tippen Sie hier „diskpart“ ein. Sobald das Programm geladen ist, erscheint „DISKPART>“ als Prompt. Geben Sie „list disk“ ein, um eine Auflistung aller installierten Festplatten mit ihren Nummern zu erhalten.
Suchen Sie die Platte heraus, auf der die Partition liegt, die Sie per EMF-Treiber schützen wollen, und wählen Sie sie mit „select disk x“ aus, wobei „x“ für die Festplattennummer steht. Geben Sie anschließend „detail disk“ ein. Diskpart zeigt Ihnen nun weitere Informationen zu der Platte an, in der zweiten Zeile steht die Datenträger-ID. Notieren Sie sich diesen Code.
Jetzt suchen Sie nach dem Code der Partition, die mit dem Treiber gesperrt werden soll. Mit „list partition“ rufen Sie eine Liste der vorhandenen Partitionen auf der zuvor ausgewählten Platte auf. Tippen Sie „select partition x“ ein, wobei „x“ für die Nummer des Laufwerks steht. Mit „detail partition“ rufen Sie die Daten der Partition ab. Notieren Sie sich den Code, der hinter „Offset in Byte:“ steht. Danach können Sie Diskpart mit „exit“ beenden und die Eingabeaufforderung schließen.
Registry anpassen
Die beiden Codes benötigen Sie, um in der Registry von Windows einzustellen, wo der EWF-Treiber wirksam sein soll. So gehen Sie vor: Laden Sie sich unsere Datei ewf.reg hier herunter . Dabei handelt es sich um eine Textdatei, die so gestaltet ist, dass ihre Inhalte nach einem Doppelklick automatisch in die Registrierdatenbank von Windows eingefügt werden. Auf diese Weise ist sichergestellt, dass bei der Bearbeitung nichts schief geht. Kopieren Sie die Datei also in einen beliebigen Ordner auf Ihrer Festplatte und führen Sie einen Doppelklick darauf aus. Es folgen zwei Sicherheitsabfragen, die Sie mit „Ja“ bestätigen, danach erhalten Sie eine Vollzugsmeldung.
Nun müssen Sie noch die Codes eintragen. Öffnen Sie das Startmenü und geben Sie unten in das Suchfeld „regedit“ ein. Nachdem Sie die Sicherheitsabfrage bejaht haben, erscheint der Registrierungs-Editor. Öffnen Sie dort den Zweig HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesewfParametersProtectedVolume0. Klicken Sie dort doppelt auf „DiskSignature“ und geben Sie im folgenden Fenster den achtstelligen Code für die Festplatte ein. Achten Sie darauf, dass unter „Basis“ die Option „Hexadezimal“ eingestellt ist und bestätigen Sie mit „OK“. Anschließend öffnen Sie „PartitionOffset“, stellen – Wichtig! – die Basis auf „Dezimal“ und tippen den Code für die Partition ein. Schließen Sie das Fenster mit „OK“ und beenden Sie den Editor. Damit ist die Installation des EWF-Treibers beendet.
Den Treiber aktivieren und konfigurieren
Um den Treiber zu aktivieren, öffnen Sie wie oben beschrieben die Eingabeaufforderung mit Administrator-Rechten, tippen Sie den Befehl „ewfmgr c: -enable“ ein und lassen Windows neu starten. Damit ist der Schutz eingeschaltet. Sie können die Wirkung sofort sehen, wenn Sie Windows ein weiteres Mal booten lassen: Da das Betriebssystem nun nicht mehr speichern kann, ob der letzte Start problemlos verlaufen ist, nimmt es an, dass etwas schiefgelaufen ist und empfiehlt Ihnen seine Starthilfe. Die benötigen Sie jedoch nicht, wechseln Sie daher im Boot-Menü zu „Windows normal starten“. Sie können den Status des Schutzmechanismus auch über die Eingabeaufforderung abfragen, geben Sie dort einfach „ewfmgr c:“ ein. Neben „STATE“ sehen Sie, ob er „ENABLED“ oder „DISABLED“ ist.
Wie anfangs bereits erklärt, leitet der EWF-Treiber sämtliche Änderungen in eine Datei um. Da er sie wegen des Schreibschutzes nicht auf der Festplatte speichern kann, legt er sie auf einer RAM-Disk im Arbeitsspeicher ab. Daher sind Änderungen am System oder Dokument-Bearbeitungen nach einem Neustart wieder verschwunden. Sie können also nach Herzenslust Software installieren oder gewagte Experimente mit der Registry anstellen – ganz gleich, wie stark sie das System verhunzt haben, nach einem Reboot ist alles wieder wie zuvor. Falls Sie die Änderungen hingegen dauerhaft übernehmen wollen, müssen Sie dem EWF-Manager ausdrücklich mitteilen, dass er sie auf die Festplatte schreiben soll. Dazu benutzen Sie den Befehl „ewfmgr c: -commit“.
Um den Treiber wieder zu deaktivieren, stellt der EWF-Manager den Parameter „-disable“ zur Verfügung, der Befehl lautet also „ewfmgr c: -disable“. Doch nach einem Neustart hat sich nichts getan, der Zugriff auf die Festplatte ist nach wie vor versperrt. Der Grund ist ganz einfach: Da Sie in diesem Workshop die Systempartition gesperrt haben, lässt der EWF-Treiber auch keine Änderungen an der eigenen Konfiguration zu. Die Option „-disable“ zeigt daher keine Wirkung. Sie können sie nur dann einsetzen, wenn Sie beispielsweise mit „ewfmgr d: -enable“ eine Daten-Partition mit dem Schreibschutz versehen haben. In diesem Fall führt „ewfmgr d: -disable“ mit anschließendem Reboot wieder zum Normalzustand. Um hingegen die Systempartition zu entsperren, geben Sie das Kommando „ewfmgr c: -commitanddisable -live“ ein und booten neu. Damit werden in einem Arbeitsgang die vorgenommenen Änderungen übernommen und der Festplattenschutz deaktiviert. Eine komplette Übersicht über die Parameter des EWF-Managers erhalten Sie durch Eingabe von „ewfmgr -help“.
Autor: Roland Freist
Roland Freist bearbeitet als freier IT-Fachjournalist Themen rund um Windows, Anwendungen, Netzwerke, Security und Internet.