Write Filter

Windows Write Filter sind eigens von Microsoft Windows entwickelte Werkzeuge, um eine Partition vor Schreibzugriffen zu schützen. Die Schreibzugriffe werden in den RAM umgeleitet und die Partition dadurch in einem vorkonfigurierten Zustand gesichert. Nach einem Neustart wird das System automatisch in den ursprünglich definierten Zustand zurückgesetzt.

Ein Schreibschutzfilter kann je nach Anwendungsfall konfiguriert werden. So wird das System vor ungewollten Schreibzugriffen geschützt. Durch Ausnahmen („Exclusions“) wird definiert, auf welche Ordner weiterhin auch Schreibzugriffe möglich sind.

Bedeutung für IT-Security

Aus Sicht des Betreibers ist es sinnvoll, wenn die Änderungen durch Malware nach einem Neustart rückgängig gemacht werden und der Betrieb wiederaufgenommen werden kann. Jedoch können dadurch weniger Informationen über die Infektion bzw. den Angriff gesammelt werden, welcher ggf. erneut erfolgen kann.

Außerdem ist das An- und Ausschalten des Write Filters nicht gesichert. Wenn der Benutzer, in dessen Kontext der Angriff stattfindet, die Write-Filter-Einstellungen ändern kann, kann das auch ein Angreifer.

Hinweis

Überfülltes RAM-Overlay und Disk-Overlay

Der UWF ist ohne kontinuierliche Überwachung und Standardeinstellungen nicht für den Dauerbetrieb (24/7) geeignet. Das RAM-Overlay bzw. Disk-Overlay wird durch Schreibzugriffe (auch in exkludierte Bereiche) kontinuierlich bis zur maximal eingestellten Größe anwachsen, bis die Schreibzugriffe fehlschlagen. Das Betriebssystem kann dann nicht mehr bedient werden.

Der UWF (Unified Write Filter) ist ein Write Filter, der nur unter Windows 10 installiert ist. Der Benutzer kann den UWF mit dem „Beckhoff Unified Write Filter Manager“ über eine grafische Benutzeroberfläche steuern. Diese Software stellt eine einfache Konfigurationsmöglichkeit bereit. Der volle Funktionsumfang steht in der Windows Kommandozeile zur Verfügung und wird ausführlich in der Microsoft Dokumentation beschrieben:
https://docs.microsoft.com/de-de/windows-hardware/customize/enterprise/unified-write-filter

Übersicht UWF-Manager

Über die Registerkarte General kann der UWF-Mode, Status und die Größe des Overlays eingestellt werden. An dieser Stelle wird der Write Filter aktiviert oder deaktiviert.

Write Filter 1: — UWF-Manager im RAM-Mode, Partition C: nicht geschützt.

Legende des UWF-Managers.
Nr.	Beschreibung
1	Über diese Schaltfläche können die einzelnen Partitionen geschützt werden.
2	An dieser Stelle wird der aktuelle UWF Mode, Status und die Größe des Overlays angezeigt.
3	Über diese Registerkarten können File- oder Registry-Exclusions definiert werden.
4	Hier wird bei Änderungen der zukünftige Status des UWFs angezeigt. Wechseln Sie über die Schaltfläche Change wischen dem RAM- und Disk-Mode.
5	Über dieses Feld kann die Größe des Overlays eingestellt werden.

Write Filter 2: — UWF-Manager im Disk-Mode, Partition C: ab nächstem Neustart geschützt.

Legende zu den Farben des UWF-Managers.
Nr.	Beschreibung
1	Rot = Ausgeschaltet, nicht geschützt
2	Grün = Eingeschaltet, geschützt
3	Gelb = Nach dem nächsten Neustart eingeschaltet und geschützt.

File-Exclusions

Unter der Registerkarte File-Exclusions können Ausnahmen definiert und Schreibzugriffe auf einzelne Dateien oder Ordner zugelassen werden.

Write Filter 3: — File-Exclusions des UWF-Managers.

Legende des UWF-Managers (File-Exclusions).
Nr.	Beschreibung
1	Über dieses Feld können neue Ordner zu den Exclusions hinzugefügt werden.
2	Über diese Schaltfläche können bestehende Exclusions ein- oder ausgeschaltet werden.

Registry-Exclusions

Unter der Registerkarte Registry-Exclusions können Ausnahmen definiert und Schreibzugriffe auf einzelne Registry-Schlüssel zugelassen werden.

Write Filter 4: — Registry-Exclusions des UWF-Managers.

Legende des UWF-Managers (Registry-Exclusions).
Nr.	Beschreibung
1	Über dieses Feld können neue Registry-Schlüssel zu den Exclusions hinzugefügt werden.
2	Über diese Schaltfläche können bestehende Exclusions ein- oder ausgeschaltet werden.

Bei einem aktiven UWF werden alle Schreibzugriffe auf den Arbeitsspeicher (RAM-Overlay) bzw. den Disk-Overlay umgeleitet und auf die Partition nur lesend zugegriffen. Nach einem Neustart startet Windows wieder im ursprünglich definierten Zustand.

Write Filter 5: — Windows Write Filter, Arbeitsweise einer Anwendungssoftware im RAM-Mode.

Zusätzlich können beim UWF Ausnahmen definiert und dadurch Schreibzugriffe auf einzelne Dateien, Ordner oder Registry-Schlüssel zugelassen werden. Beachten Sie, dass die Ausnahmen erst nach einem Neustart auf die Partition geschrieben werden und bis dahin im RAM-Overlay bzw. Disk-Overlay zwischengespeichert werden.

Der UWF ist mit Standardeinstellungen nicht für den Dauerbetrieb geeignet

Der UWF ist mit Standardeinstellungen nicht für den Dauerbetrieb (24/7) geeignet. Das RAM-Overlay bzw. Disk-Overlay wird durch Schreibzugriffe (auch in exkludierte Bereiche) kontinuierlich bis zur maximal eingestellten Größe anwachsen, bis die Schreibzugriffe fehlschlagen. Der Overlay wird erst nach einem Neustart wieder freigegeben.

Unabhängig davon, wie groß das RAM-Overlay bzw. Disk-Overlay eingestellt wird, kann dieses ohne Neustart irgendwann volllaufen. Das RAM-Overlay ist besonders gefährdet, da es maximal 50 % des gesamten Arbeitsspeichers betragen kann. Mit einem vollen RAM-Overlay bzw. Disk-Overlay werden weitere Schreibversuche fehlschlagen. In diesem Zustand kann es sein, dass Ihr Gerät nicht mehr reagiert und träge wird. Der Disk-Overlay kann eine Lösung sein, da bei genügend freiem Speicher ein entsprechend großer Overlay generiert werden kann.

Siehe Microsoft Dokumentation:
https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/uwfoverlay

Warnungen bei hoher Auslastung

Die Belastung des Overlays kann nicht genau vorhergesagt werden. Der neue UWF-Manager optimiert das Betriebssystem zwar für die Nutzung des UWF, kann aber nicht ausnahmslos für einen problemlosen 24/7 Betrieb sorgen. Bei 50 % und 70 % Auslastung des Overlays werden Benachrichtigungen für den Benutzer eingeblendet. Beachten Sie diese Warnungen in jedem Fall.

Allgemeine Empfehlung

Setzen Sie den UWF mit RAM-Overlay nicht im Dauerbetrieb (24/7-Betrieb) ein.
Bevor der UWF dauerhaft in einem System eingeschaltet wird, sollte sein Verhalten genau analysiert werden.

Empfehlung für verschiedene Anwendungsszenarien

Wenig Daten, genügend RAM, wenig freier Speicherplatz auf der Disk → RAM-Mode
Genügend freier Speicher auf der Disk, ggf. größere Datenmengen → Disk-Mode
Große Datenmengen → Zweites Volume erstellen für Daten, nur C: mit UWF schützen