Windows Schreibschutz mit UWF

Windows wird in vielen öffentlichen Bereichen eingesetzt. Das können Rechner an Schulen, Universitäten, Behörden, Demo Räumen oder auch Thin Clients sein. Die wechselnden Benutzer und die unterschiedlich ausgeführten Aktivitäten sind also sehr abwechslungsreich und schwer zu kontrollieren. Gerade Windows ist ein Betriebssystem, welches nicht für den jahrelangen Dauereinsatz gemacht ist. Auch aus Sicherheitssicht kann ein mehr oder weniger frei zugänglicher Rechner ein Risiko darstellen. Natürlich ist es sinnvoll und wichtig, über ein vernünftiges Client Design und ein wohl überlegtes Berechtigungsmodell den Betrieb einzuschränken. Hinzu kommt noch das System “sauber” zu halten, was durchaus eine Herausforderung sein kann. Um den Administratoren solcher Rechner die Arbeit etwas zu erleichtern, gibt es unter Windows den “Einheitlichen Schreibfilter”. Die gängige Abkürzung “UWF” steht für “Universal Write Filter”.

Dieser sorgt dafür, dass Daten nicht mehr persistent auf dem System gespeichert werden. Alle Schreibzugriffe werden in den Arbeitsspeicher ausgelagert und stehen bis zu einem Neustart des Systems zur Verfügung. Sobald der Rechner neu gestartet wird, verliert er letztendlich sein Gedächtnis und erhält den Zustand wieder, den er seit Aktivieren des Filters hatte. In der Theorie also wunderbar, in der Praxis gibt es jedoch ein paar Kleinigkeiten zu beachten. Zuerst muss das benötigte Windows Feature aktiviert werden.

UWF MIcrosoft Schreibfilter Windows Universal Write Filter

Um die Funktionalität zu nutzen, muss der Rechner neu gestartet werden. Die Konfiguration erfolgt ausschließlich über die Kommandozeile. Diese ist aber sehr gut dokumentiert und einfach zu bedienen. Wichtig ist, dass die Kommandozeile im administrativen Modus gestartet wird. Um sich einen Überblick über die aktuelle Konfiguration anzeigen zu lassen, wird folgender Befehl ausgeführt.

uwfmgr get-config

UWF MIcrosoft Schreibfilter Windows Universal Write Filter

Um das Systemlaufwerk “C” zu schützen, muss dieses explizit angesprochen werden.

uwfmgr volume protect c:

UWF MIcrosoft Schreibfilter Windows Universal Write Filter

Hierbei kann es zu einem Fehler kommen, falls die Geschwätzigkeit von Windows 10 abgedreht wurde. Damit der UWF Schutz funktioniert, muss der Dienst “dmwappushservice” aktiviert und gestartet sein.

Solange der UWF Filter jedoch noch nicht aktiv ist, wird nicht viel passieren.

uwfmgr filter enable

UWF MIcrosoft Schreibfilter Windows Universal Write Filter

Nach einem Neustart ist der Schutz aktiv. Dies kann leicht getestet werden, indem zum Beispiel eine Datei auf dem Desktop abgelegt wird. Nach einem Neustart ist diese wieder verschwunden. Allerdings macht es wohl wenig Sinn, in einem produktiven System gar nichts mehr persistent zu halten. Als Beispiel sei hier ein Virenscanner erwähnt. Dieser müsste bei jedem Neustart die Signaturen erneut herunterladen. Gleiches gilt für Windows Updates. Würden diese einen Neustart erfordern, hätte man ein schönes “Henne Ei Problem”. Um das System so anzupassen, dass es die eigenen Anforderungen erfüllt, lassen sich Ausnahmen setzen oder ein Wartungsmodus aktivieren. Soll beispielsweise eine Datei oder ein ganzes Verzeichnis vom UWF Schutz ausgeschlossen werden, kann dies über die Kommandozeile definiert werden. Natürlich ist dies auch für Aktionen in der Registry möglich.

uwfmgr.exe file add-exclusion c:\foo\

Ein Wartungsmodus lässt sich auch manuell setzen. Während dieser aktiv ist, können neue Programme oder Updates für Programme installiert werden.

uwfmgr servicing enable

Wichtig ist, dass der Rechner erst neu gestartet wird, bevor mit der Wartung begonnen wird. Nach getaner Arbeit lässt sich der Wartungsmodus wieder deaktivieren.

uwfmgr servicing disable

Sollen nur Windows Updates installiert werden, muss kein Wartungsmodus gesetzt werden. Diese können direkt im laufenden Betrieb installiert werden.

uwfmgr servicing update-windows

Macht man sich also ein wenig Gedanken, was an einem öffentlichen Rechner alles machbar sein muss, lässt sich das System mit UWF so absichern, dass ein Dauereinsatz durchaus möglich ist ohne jede Woche das System komplett neu installieren zu müssen.