01.02.2013
PC absichern
1. Teil: „1-Klick-Schutz für Windows“
1-Klick-Schutz für Windows
Autor: Andreas Dumont
Machen Sie Windows unverwundbar: Spezielle Treiber installieren einen Schutzmodus, der sich beliebig ein- und ausschalten lässt. Auf Wunsch macht dann ein Neustart alle Änderungen rückgängig.
Das wäre zu schön, um wahr zu sein: Irgendetwas geht schief unter Windows 7, und Sie könnten einfach einen Neustart durchführen, um den Fehler ungeschehen zu machen.
Solch einen Schutzmodus gibt es tatsächlich. Er lässt sich mit einem Mausklick einschalten, etwa bevor Sie eine neue Software installieren. Erst später entscheiden Sie dann, ob Sie die Software behalten oder ob Sie Windows wieder in den alten Zustand zurückversetzen wollen.
Solch ein Schutzmodus ist zum Beispiel auch praktisch, wenn ein Bekannter mal kurz an Ihren PC möchte. Egal was der macht — nach einem Neustart ist Windows wie vorher.
Möglich macht das der EWF-Treiber. Wenn er aktiv ist, dann schreibt Windows alles was Sie tun, nicht mehr auf die Festplatte, sondern in den Arbeitsspeicher. Die gesamte Systempartition von Windows, in der Regel also Laufwerk „C:“, ist dann schreibgeschützt.
Am Ende schalten Sie den EWF-Treiber, also den Schutzmodus, einfach wieder aus und entscheiden dabei, ob Sie die zwischenzeitlich gemachten Änderungen speichern oder verwerfen möchten. Nur wenn Sie sich fürs Speichern entscheiden, schreibt Windows sämtliche Änderungen, die ja bislang nur im Arbeitsspeicher stattgefunden haben, auf die Festplatte.
Woher kommt dieser EWF-Treiber? EWF steht für „Enhanced Write Filter“, auf Deutsch „erweiterter Schreibfilter“. EWF-Treiber finden sich in sogenannten Embedded-Versionen von Windows. Das sind Windows-Varianten, die in Geräten ohne Festplatte eingesetzt werden, also beispielsweise in Registrierkassen, in Telefonzellen oder in medizinischen Geräten. Deshalb lenkt der EWF-Treiber alle Schreibvorgänge in den Arbeitsspeicher um.
Der Artikel beschreibt, wie Sie ein kostenloses Windows 7 Embedded von Microsoft herunterladen und den EWF-Treiber dort herauspulen. Anschließend müsse n Sie die fünf Treiberdateien nur noch an eine bestimmte Stelle kopieren und die Registry anpassen — fertig ist der Schutzmodus.
2. Teil: „Installation vorbereiten“
Installation vorbereiten
Alles was Sie benötigen, ist eine Internetverbindung und etwas Zeit. Ihr PC sollte zudem mindestens 2 GByte Arbeitsspeicher haben.
Windows Embedded herunterladen
Um an die EWF-Treiber zu gelangen, brauchen Sie Windows Embedded nur herunterzuladen. Eine Installation ist nicht notwendig. Wenn Sie eine 64-Bit-Version von Windows 7 verwenden, dann benötigen Sie Windows 7 Embedded SP1 64 Bit, das sind 2,9 GByte.
Wenn Sie eine 32-Bit-Version von Windows 7 verwenden, laden Sie stattdessen das Windows 7 Embedded SP1 Toolkit herunter, das sind 3,6 GByte.
In beiden Fällen ist der Ausgangspunkt die Webseite www.microsoft.com/windowsembedded. Dort wählen Sie bei „Choose an Embedded OS“ den Eintrag „Kiosk“ und klicken dann auf den orangefarbenen Button daneben. Anschließend wählen Sie „Windows Embedded Standard“. Auf der nächsten Seite klicken Sie rechts auf den Link „Download the Windows Embedded Standard 7 Trial Version“ und danach auf „Get Started“.
Vor den eigentlichen Download hat Microsoft noch einen ziemlich langen Fragebogen in englischer Sprache gesetzt. Da Sie Windows Embedded gar nicht installieren wollen, ist es ziemlich egal, wie Sie ihn ausfüllen. Den Trial-Product-Key benötigen Sie ebenfalls nicht.
Jetzt sind Sie auf der eigentlichen Download-Seite. Sie sehen ein lange Liste von Dateien. Um Windows 7 Embedded SP1 64 Bit zu erhalten, müssen Sie sieben Dateien herunterladen. Sie heißen „Standard_7SP1_64bit\Standard 7 SP1 64bit IBW.part1.exe“ bis „Standard_7SP1_64bit\Standard 7 SP1 64bit IBW.part7.rar“.
Wenn alle Downloads abgeschlossen sind, rufen Sie jeweils die EXE-Datei auf. Sie extrahiert aus den RAR-Dateien eine zusammenhängende ISO-Datei. Alle anderen Dateien können Sie wieder löschen — die brauchen Sie nicht mehr.
EWF-Treiber extrahieren
Als Nächstes benötigen Sie einen Packer, der mit CAB-Dateien umgehen kann. Das ist zum Beispiel 7-Zip.
Öffnen Sie die Datei wiederum mit 7-Zip und wechseln Sie in ihr in den Ordner mit dem sehr langen Dateinamen, der mit „amd64“ beginnt. Kopieren Sie die fünf Dateien, die mit „ewf“ beginnen, in ein beliebiges Verzeichnis, wo Sie sie später leicht wiederfinden.
Für Windows 7 32 Bit: Das Vorgehen ist analog zu dem eben beschriebenen, lediglich die Datei- und Ordnernamen sind anders. Öffnen Sie die Datei „Standard 7 SP1 Toolkit.iso“ mit 7-Zip und navigieren Sie zum Ordner „x86~winemb-enhanced-write-filter~~~~6.1.7601.17514~1.0“. Entpacken Sie die darin enthaltene CAB-Datei. Öffnen Sie diese wiederum mit 7-Zip und entpacken Sie die fünf Dateien, deren Name mit „ewf“ beginnt.
Zum Schluss räumen Sie wieder auf: Dazu löschen Sie alle in diesem Abschnitt erzeugten Verzeichnisse und Dateien — natürlich mit Ausnahme der fünf EWF-Dateien.
Auslagerungsdatei
Wenn Sie mehrere Partitionen haben, dann verschieben Sie die Auslagerungsdatei „pagefile.sys“ auf eine andere Partition. Ansonsten könnte es passieren, dass Windows den Arbeitsspeicher in sich selbst auslagert, wenn Sie wenig Arbeitsspeicher haben und es zu vielen Schreibvorgängen kommt.
So verschieben Sie die Auslagerungsdatei: Rufen Sie die Systemsteuerung auf und wählen Sie „System und Sicherheit, System, Erweiterte Systemeinstellungen“. Im Reiter „Erweitert“ klicken Sie im Abschnitt „Leistung“ auf „Einstellungen…“ und öffnen dort wiederum den Reiter „Erweitert“. Hier klicken Sie auf „Ändern…“. Es erscheint das Fenster „Virtueller Arbeitsspeicher“.
Entfernen Sie oben das Häkchen bei „Auslagerungsdateigröße (…)“. Wählen Sie in der Liste der Partitionen „C:“. Klicken Sie auf „Keine Auslagerungsdatei“ und dann auf „Festlegen“. Ignorieren Sie die Warnmeldung.
Wählen Sie nun in der Liste der Partitionen eine andere Partition aus, etwa „D:“. Klicken Sie auf „Größe wird vom System verwaltet“ und auf „Festlegen“. Bestätigen Sie die neuen Einstellungen mit „OK“.
Eigentlich müssten Sie jetzt den PC noch neu starten. Da später aber ohnehin noch ein Neustart erfolgt, können Sie ihn sich an dieser Stelle sparen.
Datenträger-ID und Offset ermitteln
Bevor Sie die Registry für den EWF-Treiber anpassen, benötigen Sie noch zwei Informationen: die Datenträger-ID und den Partition-Offset von Ihrer Systempartition.
So finden Sie die Informationen: Öffnen Sie die Eingabeaufforderung als Administrator. Wählen Sie dazu „Start, Alle Programme, Zubehör“, klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“ und dann auf „Als Administrator ausführen“. In der Eingabeaufforderung geben Sie diskpart ein, um das Partitionierungsprogramm von Windows 7 aufzurufen. Es benötigt einige Sekunden zum Starten.
Nun geben Sie select disk x ein, wobei Sie x durch die Nummer der Festplatte ersetzen, in den meisten Fällen also durch 0. Schließlich verwenden Sie den Befehl detail disk. Notieren Sie sich den achtstelligen Eintrag bei „Datenträger-ID“.
Als Nächstes ermitteln Sie den Partition-Offset. Er gibt an, wo sich eine Partition auf der Festplatte befindet.
Dazu verwenden Sie wieder diskpart und geben den Befehl list partition ein. Die erste Partition hat die Nummer 1 und ist auf einem Windows-7-PC in der Regel 100 MByte groß.
Es handelt sich dabei um die versteckte Startpartition von Windows 7, die bei der Installation automatisch angelegt wird. In den meisten Fällen ist also die nächste Partition mit der Nummer 2 die Systempartition. Wenn Sie nicht sicher sind, dann identifizieren Sie die Systempartition — meist Laufwerk „C:“ — anhand ihrer Größe.
Jetzt haben Sie alle nötigen Informationen beisammen, um die Registry zu bearbeiten.
Registry anpassen
In diesem Abschnitt machen Sie mit Hilfe der Registry Windows 7 mit dem EWF-Treiber bekannt.
Vorher ist aber ein guter Zeitpunkt, um einen Wiederherstellungspunkt zu erstellen — falls beim Anpassen der Registry oder bei der Installation des Treibers etwas schiefgeht. Dazu drücken Sie [Windows Pause], klicken links auf „Computerschutz“ und dann auf „Erstellen…“. Geben Sie dem Wiederherstellungspunkt einen aussagekräftigen Namen, etwa Vor dem EWF-Treiber.
Jetzt müssen in die Registry mehrere Schlüssel eingefügt werden. Da dabei leicht Tippfehler passieren, laden Sie sich die Datei ewf.zip herunter und entpacken Sie diese. In der entpackten Datei „ewf.reg“ haben wir alle Schlüssel vorbereitet. Sie werden in Ihre Registry eingefügt, indem Sie „ewf.reg“ doppelt anklicken.
Was ist passiert? In Ihrer Registry gibt es unter „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services“ einen neuen Zweig namens „ewf“. Darunter befinden sich alle Schlüssel für den EWF-Treiber.
Abschließend sind noch zwei Handgriffe notwendig, die wir nicht vorbereiten konnten: Sie müssen die soeben ermittelte Datenträger-ID und den ermittelten Partition-Offset eintragen.
Verfahren Sie analog mit dem Eintrag „PartitionOffset“. Legen Sie hier als Basis „Dezimal“ fest und tragen Sie den ermittelten Offset-Wert ein. Damit ist die Registry fertig vorbereitet; schließen Sie den Registrierungs-Editor.
EWF-Treiber installieren
Nun installieren Sie den EWF-Treiber. Eigentlich ist installieren das falsche Wort. Vielmehr verschieben Sie die EWF-Dateien nur an die richtige Stelle im Betriebssystem.
Die Datei „ewf.sys“ — das ist der eigentliche Treiber — gehört in das Verzeichnis „C:\Windows\System32\drivers“. Die anderen vier EWF-Dateien legen Sie in das Verzeichnis „C:\Windows\System32“. Das war’s schon.
Starten Sie jetzt Ihren Computer neu. Der EWF-Treiber wird beim nächsten Systemstart automatisch geladen. Standardmäßig ist dann der Schutzmodus aktiv.
3. Teil: „Windows konfigurieren“
Windows konfigurieren
Der Mühe Lohn ist ein optionaler Schreibschutz für Windows 7. Diesen testen und konfigurieren Sie in den folgenden Abschnitten.
Schreibschutz prüfen
Probieren Sie erst einmal aus, ob der Schreibschutz funktioniert: Nehmen Sie eine Änderung an Ihrem System vor. Wechseln Sie den Bildschirmhintergrund oder legen Sie auf dem Desktop eine neue Datei an. Danach starten Sie Ihren PC neu.
Nach dem Neustart landen Sie zunächst in der Windows-Fehlerbehebung. Sie erhalten die Meldung, dass Windows nicht ordnungsgemäß starten konnte. Das ist kein Wunder, schließlich hat der aktive EWF-Treiber verhindert, dass Windows die Information auf die Festplatte schreiben konnte, es sei ordnungsgemäß heruntergefahren. Wählen Sie „Windows normal starten“, um das System hochzufahren.
Sie sehen, dass alle Änderungen, die Sie vorgenommen hatten, wieder verschwunden sind. Solange Sie den Schreibschutz aktiviert lassen, bleibt Ihr PC immer auf dem Stand, auf dem er war, als Sie den Schreibschutz eingeschaltet haben.
Schutzmodus ein- und ausschalten
Natürlich wollen Sie nicht permanent Windows mit Schreibschutz betreiben. Um den Schutz ein- und auszuschalten, verwenden Sie das Kommandozeilenprogramm Ewfmgr.
Rufen Sie dazu die Eingabeaufforderung mit Administratorrechten auf: Wählen Sie „Start, Alle Programme, Zubehör“, klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“ und dann auf „Als Administrator ausführen“.
Wenn Sie den Schutzmodus ausschalten wollen, dann haben Sie zwei Möglichkeiten: Sie können Änderungen am System einfach verwerfen oder Sie können die Änderungen auf die Festplatte schreiben lassen.
Änderungen verwerfen Sie, indem Sie einen Neustart durchführen und direkt danach den Befehl ewfmgr c: -commitanddisable -live auf der Kommandozeile eingeben.
Sollen die Änderungen auf die Festplatte geschrieben werden, dann geben Sie nur den Befehl ein — ohne vorherigen Neustart. Um den Schreibschutz für das Laufwerk „C:“ wieder zu aktivieren, geben Sie ewfmgr c: -enable ein und führen einen Neustart durch.
Die Tabelle „Übersicht: Alle EWF-Befehle“ zeigt die wichtigsten EWF-Befehle im Überblick.
Übrigens: Wenn Sie die Hilfe aufrufen, dann sehen Sie unter anderem den Befehl ewfmgr x: -disable. Auf unseren Test-PCs funktionierte dieser Befehl allerdings nicht.
Übersicht: Alle EWF-Befehle
Das sind die Befehle, die den EWF-Treiber steuern. Öffnen Sie dazu die Kommandozeile mit Administratorrechten: Wählen Sie „Start, Alle Programme, Zubehör“, klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“ und dann auf „Als Administrator ausführen“.
Mac-Tipps
In schönster Harmonie - Windows auf dem Mac
Parallels Desktop entbindet unzählige Mac-Anwender davon, sich für bestimmte Aufgaben einen Windows-PC zu kaufen. Der virtuelle PC funktioniert erst noch einfacher als sein Vorbild aus der realen Welt. Mit diesem Leitfaden wird der Umgang zum Klacks.
>>
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>