Lumières sur la sécurité

lundi 20 novembre 2017

Nous avons déjà écrit sur les VSS - Volume Shadow Copy Service. Rappelons que cette fonctionnalité vous permet de restaurer toutes les modifications système au moment où la copie a été effectuée. Cette fonctionnalité est souvent utilisée en formation et est recommandée comme un moyen de protection contre les logiciels malveillants.

Attention ! L'utilisation de VSS comme une protection contre les programmes malveillants devrait être autorisée uniquement si l'utilisateur possède des privilèges réduits, ou si l'accès aux fonctions avec les privilèges d'administrateur demande au moins une confirmation. Dans le cas contraire, les programmes malveillants peuvent détruire les VSS.

En plus des VSS, il existe dans Windows 8 et 10, un filtre d'écriture unifié ou UWF (Unified Write Filter). Lorsque le filtre est configuré et activé, toutes les modifications apportées aux fichiers et répertoires sur les disques sont effectuées dans la mémoire vive sans écriture sur le disque. Après le redémarrage, l'OS revient toujours à son état d'origine correspondant au moment de l'activation du filtre UWF, et aucune modification n'est enregistrée sur les disques protégés.

Les VSS sont en fait une variante des sauvegardes. Lorsqu’elles sont utilisées, toutes les données modifiées sont enregistrées sur le disque, et il est possible de revenir à leur état initial en les restaurant depuis les VSS. Quant à l’UWF, ses fonctions sont différentes de celles des VSS : avec UWF, les données protégées par le filtre restent inchangées sur le disque. Toutes les modifications sont apportées à leurs copies. En fait, c'est un cache des modifications qui n'est jamais écrit sur le disque. UWF peut être appliqué pour protéger les données qui ne doivent en principe pas être modifiées.

Attention ! Malheureusement, cette fonctionnalité est disponible uniquement dans les versions Windows 10 Enterprise (y compris LTSB) et Windows 10 Éducation.

Par défaut, UWF est désactivé. Vous pouvez l'activer via le panneau de configuration (Control Panel → Programs and Features → Turn Windows Features On or Off → Device Lockdown → Unified Write Filter).

Lorsque ce composant est installé, vous pouvez gérer les paramètres du filtre avec l'utilitaire uwfmgr.exe, en lançant la console avec les privilèges administrateur. Pour lancer la console avec ces droits, dans la barre de recherche, entrez Command Prompt puis sélectionnez Run as administrator.

Après avoir installé le filtre UWF, il faut l'activer à l'aide de la commande uwfmgr.exe filter enable. Puis redémarrez votre ordinateur.

Attention ! Lors de l'activation du filtre, les opérations qui écrivent sur le disque en tâche de font seront automatiquement désactivées : le fichier d'échange, les points de restauration, l'indexation des fichiers, la défragmentation etc.

Pour activer la protection contre l'écriture pour un lecteur de système en particulier, vous devez exécuter la commande uwfmgr.exe volume protect c: - et redémarrer l'ordinateur. Où " c " correspond au lecteur pour lequel la protection en écriture est activée.

Certains fichiers, répertoires ou clés de Registre peuvent être ajoutés à la liste des exceptions du filtre UWF. Les modifications apportées à ces objets seront écrites directement sur le disque, et non vers overlay. Certains répertoires et fichiers ne peuvent pas être ajoutés aux exclusions, notamment :

• les fichiers du registre dans le répertoire \Windows\System32 config\ ;
• la racine des disques ;
• les répertoires \Windows\Windows\System32\Windows\System32\Drivers ;

Pour ajouter un fichier ou un dossier aux exclusions, lancez la commande suivante :

Uwfmgr.exe file add-exclusion c:\student

Pour activer l'enregistrement des modifications dans une clé de Registre :

Registre Uwfmgr.exe add-exclusion "HKLM \ Software \ MyRegKey"

Pour appliquer les exclusions, redémarrez la machine.

Lors de l'entretien du système (l'installation des mises à jour, la mise à jour de l'antivirus, la copie des nouveaux fichiers), vous devez mettre votre ordinateur en mode de service spécialisé :

Uwfmgr.exe servicing enable

L'ordinateur va démarrer à partir du compte local UWF-Servicing, ce qui permettra d'installer les mises à jour nécessaires. Après cela, le PC redémarre automatiquement en mode normal avec un filtre UWF activé.

Pour en savoir plus sur les fonctionnalités du filtre UWF, consultez l'article (http://winitpro.ru/index.php/2017/09/28/filtr-zapisi-unified-write-filter-uwf-v-windows-10).