連載
» 2018年10月22日 10時00分 公開

待ったなし!組み込み機器のWindows 10 IoT移行(4):Windows 10 IoTロックダウン機能の個別解説:Unified Write Filter (2/3)

[杉本拓也(株式会社富士通ソフトウェアテクノロジーズ),MONOist]

UWFのオーバーレイタイプ

 UWFのオーバーレイは、RAMオーバーレイとDiskオーバーレイの2つのタイプが提供されています。

 RAMオーバーレイは、書き込みをメモリにリダイレクトします。RAMを消費するため、オーバーレイが枯渇するとOSの再起動が必要になるなどの注意が必要です。しかし、UWFを利用するほとんどの機器がRAMオーバーレイを利用すると思われます。

 Diskオーバーレイは、リダイレクト先をディスクの空領域にリダイレクトします。RAMを消費しないためシステムとしては安定しやすいですが、代わりにSSDやCFastなどのディスクの延命効果がなくなります。

Windows 10 IoT EnterpriseでUWFを設定する

 UWFを設定する方式は以下の2つあります。

  1. コマンドラインよりuwfmgr.exeを利用する
  2. Windows Management Instrumentation(WMI)から制御する

 今回はUWFを簡単に有効にするためuwfmgr.exeを利用します。管理者権限のコマンドプロンプトを起動しuwfmgrを起動してみてください。uwfmgr.exeはUWFの設定と状態を表示するためのコマンドです。

 このuwfmgrを利用してUWFを設定していきます。

  1. C:をUWFによって保護対象にする。
    • uwfmgr volume protect c:
  2. C:\data配下をUWFのフィルターの除外対象に設定する
    • uwfmgr file add-exclusion C:\data
  3. 上記の設定を有効にしてOSを再起動する
    • uwfmgr filter enable
    • shutdown /r /t 0

 上記の手順でUWFが有効になります。次に、管理者権限のコマンドプロンプトを再度開き、以下を起動してみてください。

  • uwfmgr overlay get-consumption

 すると、現在のオーバーレイの消費量が表示されます。UWFは、保護対象となるボリュームへの書き込み動作をオーバーレイ領域にリダイレクトします。オーバーレイ領域は、デフォルトで1024MBが割り当てられています。このオーバーレイ領域を超える書き込みが発生するようなシステムでは、UWFの設計が不十分となります。

 UWFを適用するシステムでは、システムの評価時にオーバーレイ領域の消費量を常に確認し、保護対象ボリュームへの書き込み動作を把握する必要があります。

UWFのフィルターの除外設定時の注意点

 UWFでは、フィルター対象としないためにファイル・レジストリを除外指定することができます。ただし、制限として以下のフォルダやファイルは除外指定できません。

  • \Windows\System32\config\DEFAULT
  • \Windows\System32\config\SAM
  • \Windows\System32\config\SECURITY
  • \Windows\System32\config\SOFTWARE
  • \Windows\System32\config\SYSTEM
  • \Users\\NTUSER.DAT
  • C:やD:のルートボリューム
  • \Windows
  • \Windows\System32
  • \Windows\System32\Drivers

 その他、除外設定の注意点についてはWrite filter exclusionsに記載がありますので参考にしてください。

Copyright © ITmedia, Inc. All Rights Reserved.