EWF: Wenn Sie spezielle Treiber unter Windows XP installieren, erhalten Sie einen Schreibschutz für Ihr System, der sich beliebig ein- und ausschalten lässt. Bei aktivem Schreibschutz ist das Betriebssystem nach einem Neustart im gleichen Zustand wie zu dem Zeitpunkt, an dem der Schreibschutz aktiviert wurde. Somit sind auch Viren, Trojaner oder andere Schadprogramme beseitigt. Der Schreibschutz basiert technisch auf dem EWF-Filter von Windows XP Embedded, EWF steht für Enhanced Write Filter, also erweiterter Schreibschutz. Windows XP Embedded kommt z.B. in medizinischen Systemen, Geldautomaten oder Registrierkassen zum Einsatz, in denen keine Festplatte vorhanden ist. Die EWF-Treiber sorgen dafür, dass bei aktivem Schreibschutz Windows sämtliche Daten statt auf die Festplatte in den Arbeitsspeicher schreibt. Die Schreibvorgänge erfolgen dabei sehr schnell, da sie im RAM ablaufen.
Die EWF-Treiber von Windows XP Embedded bestehen aus 6 Dateien: - ewf.sys, c:\windows\system32\drivers - ewfapi.dll, c:\windows\system32 - ewfdll.dll, c:\windows\system32 - ewfinit.dll, c:\windows\system32 - ewfmgr.exe, c:\windows\system32 - ewfntldr umbenennen in c:\ntldr, zuvor die originale ntldr -> ntldr.old
Falls Ihre Festplatte mehrere Partitionen hat, empfiehlt es sich, die Auslagerungsdatei "pagefile.sys" auf eine Partition zu verlagern, die nicht schreibgeschützt werden soll oder zu deaktivieren. Ansonsten versucht Windows im Extremfall, den Arbeitsspeicher in sich selbst auszulagern. Rufen Sie dazu die Systemsteuerung -> System -> Erweitert im Bereich "Systemleistung" auf den Button "Einstellungen". Hier finden Sie im Reiter "Erweitert" den Bereich "Virtueller Arbeitsspeicher". Ein Klick auf "Ändern" führt Sie zu Einstellungen wie Größe und Partition der Auslagerungsdatei, außerdem lässt sich die Auslagerungsdatei auch komplett deaktivieren. Ebenso deaktivieren Sie auch gleich die Systemwiederherstellung unter Systemsteuerung -> System -> Systemwiederherstellung. Ferner sollten Sie die temporären Dateien des Browsers auf eine nicht geschützte Partition auslagern.
Um die EWF-Treiber zu installieren, kopieren Sie einfach die EWF-Dateien (mit Hilfe der Batch-Datei) an die richtige Stelle im Betriebssystem. Ferner müssen Sie mit Hilfe von "ewf.reg" über die Registry Windows XP mit den EWF-Treibern bekannt machen, zuvor müssen Sie allerdings die "ewf.reg" anpassen und den Registry Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root editieren. Navigieren Sie dann zum Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Enum\Root und klicken Sie den Eintrag mit der rechten Maustaste an. Wählen Sie im Kontextmenü den Punkt Berechtigungen und aktivieren Sie für Jeden "Vollzugriff", anschließend öffnen Sie die Datei "ewf.reg" mit einem beliebigen Texteditor und achten Sie darauf, dass die letzte Zeile identisch ist mit dem Windows-Boot-Eintrag in der Datei "boot.ini", die im Normalfall unter "C:\" zu finden ist. In den meisten Fällen lautet der korrekte Eintrag: "ArcName"="multi(0)disk(0)rdisk(0)partition(1)" Ändern Sie dies gegebenenfalls ab und speichern Sie die Datei.
Doppelklicken Sie nun auf die Datei "ewf.reg", um die darin enthaltenen Registry-Einträge einzutragen und heben anschließend in der Registry die Berechtigung für "Jeder" wieder auf. Nach einem Neustart ist der Schreibschutz aktiv, statt auf die Festplatte schreibt Windows dann alle Dateien und Änderungen in den Arbeitsspeicher. Falls Sie beim Start eine Meldung erhalten, dass Windows nicht korrekt starten konnte, liegt das an der gesperrten Auslagerungsdatei. Wählen Sie dann die Option Windows normal starten und deaktivieren Sie ggf. die Auslagerungsdatei.
Die Installation der EWF-Treiber ist damit abgeschlossen. Nun richten Sie den Schreibschutz so ein, dass Sie ihn bequem bedienen und nach Belieben ein- und ausschalten können. Prüfen Sie zunächst, ob der Schreibschutz überhaupt funktioniert. Dazu ändern Sie den Bildschirmhintergrund oder löschen eine unwichtige Datei, starten Sie Ihren PC neu. Wenn das Bild auf dem Desktop wieder das alte ist oder die im Schreibschutzmodus gelöschte Datei wieder da ist, dann funktioniert der Schreibschutz.
Um den Schreibschutz an- oder auszuschalten oder um Änderungen auf die Festplatte zu übernehmen, verwenden Sie die Kommandozeile unter Start -> Ausführen -> "cmd": - ewfmgr c: (Statusanzeige) - ewfmgr c: -enable (nach Neustart aktivieren) - ewfmgr c: -disable (nach Neustart deaktivieren) - ewfmgr c: -commit (Änderungen speichern) - ewfmgr c: -commitanddisable (Änderungen speichern und Schreibschutz deaktivieren)
Um den Schreibschutz einzuschalten, verwenden Sie "ewfmgr c: -enable", und um ihn wieder auszuschalten "ewfmgr c: -disable", wobei die Änderung erst nach einem Neustart wirksam ist. Der Befehl "ewfmgr c: -commit" schreibt die Änderungen der aktuellen Sitzung vom Arbeitsspeicher auf die Festplatte und "ewfmgr c: -commitanddisable –live" übernimmt die Änderungen sofort und deaktiviert nach kurzer Wartezeit den Treiber. In diesem Fall ist ein Neustart nicht notwendig.
Ab Windows 7 wird der File Based Write Filter (FBWF) verwendet, der den Zustand einzelner Dateien sichert. Leider zieht das Aus- und Einschalten stets einen Neustart mit sich, da die Einstellungen mit dem Administrator-Konto konfiguriert werden müssen.