Microsoft TechDays Павел Белевский Системный инженер по встраиваемым решениям, Кварта Технологии

Microsoft TechDays Зачем использовать фильтры записи? Фильтр записи Enhanced Write Filter Файловый фильтр записи (File Based Write Filter) Фильтр записи реестра (Registry Filter) Выбор фильтра записи

Microsoft TechDays

Фильтры позволяют защитить раздел диска Запись на диск перенаправляется в оверлей Прозрачно для приложений Используется для защиты системного раздела Перебои с электропитание Вирусные атаки Увеличение ресурса флэш-диска 3 фильтра Фильтр на уровне раздела (Enhanced Write Filter) Файловый фильтр (File Based Write Filter) Фильтр для защиты реестра (Registry Filter)

Microsoft TechDays Оверлей Диск 1) Чтение данных с диска 2) Запись данных в оверлей 3) Повторное чтение данных Приложение обращающееся к защищенному разделу

Microsoft TechDays Менеджер ввода/вывода Диспетчер фильтров Драйвер файловой системы (ntfs.sys) EWF Менеджер томов Драйвер класса устройств (disk.sys) Port-драйвер Miniport-драйвер Устройство IRPs Минифильтр FBWF Минифильтр

Microsoft TechDays Enhanced Write Filter Защита на уровне секторов Позволяет загружаться с носителей только для чтения Изменения сохраняются для всего раздела целиком

Microsoft TechDays EWF фильтр может быть настроен для защиты нескольких разделов и независимо для каждого раздела выбирается либо дисковый оверлей либо оверлей в оперативной памяти Дисковый оверлей Используется дополнительный том На томе хранится таблица, стек оверлея и данные оверлея После перезагрузки изменения сохраняются RAM или RAMREG оверлей После перезагрузки изменения не сохраняются Запускается без дисковых накопителей

Microsoft TechDays RAM оверлей Дисковый оверлей RAM-REG оверлей C:\C:\ Раздел 1 Защищенный том Раздел 2 EWF раздел Диск C:\C:\ EWF Раздел Раздел 1Раздел 2 Диск Защищенный раздел EWF раздел EWF оверлей Память C:\C:\ ДискПамять РеестрРеестр Раздел 1 Защищенный раздел

Microsoft TechDays

EWFMGR.EXE: утилита командной строки EWF API Управление EWF фильтром из собственных приложений Приложения разрабатываются на Visual C++ EWFAPI.H и EWFAPI.LIB Более подробная документация в MSDN: Controlling EWF by Using the EWF APIs

Microsoft TechDays По возможности уменьшить количество операций записи на защищенный том Использовать FAT Минимизирует обращения к диску Если требуется NTFS, то использовать сжатие Отключить журналирование обращений HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem NameTypeValue NtfsDisableLastAccessUpdateREG_DWORD1 (0=откл, 1=включить) Данный ключ реестра отключает обновление времени доступа к файловой системе

Microsoft TechDays Защита на уровне файловой системы Позволяет определенные файлы оставить незащищенными Исключения для записи Пофайловое утверждение изменений Используется только оверлей в оперативной памяти – не нужен дополнительный раздел Есть некоторые ограничения FBWF Reparse-точки «Жесткие» ссылки (Hard links) Шифрование файлов

Microsoft TechDays Менеджер ввода/вывода Менеджер фильтров Файловая система (ntfs.sys) EWF Диспетчер томов Драйвер класса устройства (disk.sys) Port-драйвер Miniport-драйвер Устройство IRPs Минифильтр FBWF Минифильтр

Microsoft TechDays Итоговая файловая система Папка А*Папка БПапка ВФайл 1Файл 3 Кэш фильтра записи Измененная папка Новая папка Удаленный файл Новый файл Папка А* Папка В Файл 3 Файл 2 Защищенный том Папка АПапка Б Файл 1 Файл 2

Microsoft TechDays Папка А Папка Б Файл 1 Файл 2 Файл 3 Структура папок Кэш фильтра записи Файлы Файл 1Файл 2Файл 3

Microsoft TechDays

Список исключений Раздел защищенный файловым фильтром Системные файлы защищенные фильтром Динамически изменяемое свободное пространство Защищенная область Незащищенная область (Область исключений) Незащищенные файлы

Microsoft TechDays FFFFFFFF Динамически изменяется Выделено изначально Невыгружаемый пул ~491MB Выгружаемый пул ~960MB MDL

Microsoft TechDays FFFFFFFF Выделяется динамически Выделяется предварительно ~359MB Выгружаемый пул ~768MB MDL

Microsoft TechDays

Задействовать расширенные настройки фильтра для увеличения пула страниц памяти HKLM\SYSTEM\CurrentControlSet\Control\Sessio n Manager\Memory Management, PagedPoolSize Динамическое выделение также поддерживает сжатие Предел для динамического выделения не проверяется Статическое выделение работает быстрее и стабильнее

Microsoft TechDays Общие настройки FBWF Указывается количество томов Состояние фильтра при первом запуске – включен/выключен Устанавливается объем оперативной памяти под нужды фильтра Тип кэша Включение/выключение дополнительных возможностей Настройки защищенного тома Указывается буква тома Список незащищенных файлов

Microsoft TechDays FBWFMGR.EXE – утилита командной строки FBWF APIs Управление фильтром из собственного приложения Предоставляется необходимое API для разработки в Visual C++ FBWFAPI.H and FBWFAPI.LIB

Microsoft TechDays

При использовании EWF или FBWF могут быть потеряны TSCAL и доменный ключ, что в результате может сказаться на производительности системы Фильтр реестра сохраняет лицензионную информацию и ключ для входа в домен в реестре Реализован через специальный файл - файл RAM-диска

Microsoft TechDays Оверлей Диск Запись TSCAL и ключа домена выполняется напрямую Приложение обращающееся к защищенному тому Файл RAM-диска Реестр

Microsoft TechDays Информация о ключах хранится в файле \RegfData на системном диске В случае совместного использования с файловым фильтром файл добавляется в список исключений Не удалять файл из списка исключений

Microsoft TechDays Сочетание EWF и ACPI – Hibernation Каждая загрузка выполняется с hiberfil.sys Идеально при требованиях быстрого старта системы Допускается использование только EWF RAM или RAM-REG Требуется реализовать монтирование томов на которые выполняется запись В случае отсутствия – потеря данных Дополнительная информация в MSDN Альтернатива: спящий режим

Microsoft TechDays ФункциональностьEWFFBWF ОверлейДисковый или в памяти (non volatile cache writing) В оперативной памяти ИсключенияНетФайлы и папки Сохранение измененийПолностью весь оверлейФайлы по отдельности HORMДаНет Поддержка NTFSПолнаяЧастичная Степень защитыВыше (Ниже в стеке I/O) Ниже (Выше в стеке I/O ) Оптимизация использования памяти НетДа (высвобождается по мере удаления файлов)

Microsoft TechDays Фильтры записи XP Embedded Защита флэш-памяти Создание «Stateless» устройств Загрузка с носителей только для чтения EWF поддерживает различные опции оверлея FBWF позволяет использовать исключения Фильтр реестра работает совметсно с EWF или FBWF для сохранения настроек реестра между перезагрузками

Microsoft TechDays Русcкоязычный форум для разработчиков встраиваимых систем Книга « Введение в Windows XP Embedded »

Microsoft TechDays © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.