こんにちは、Windows プラットフォーム サポートの大川です。
今回は Windows10 におけるレガシー フィルター ドライバーのブロック動作のお話になります。
まずは、フィルター ドライバーについてお話したいと思います。ファイル システムへ I/O が届くまでには、
いくつかのドライバーを介して、読み取りや書き込みが行われます。フィルター ドライバーはこのドライバーの
階層に追加され、I/O の動作を変更するためのドライバーになります。
例えば、弊社製品のファイル サーバー リソース マネージャー (FSRM) にクォータという、フォルダの利用
サイズを制限する機能があります。これは、Quota.sys というフィルター ドライバーが階層に追加されること
により実現されています。対象のフォルダ内にあるファイルに対してI/O が発行された際に書き込まれるサイズ
などを参照し、制限サイズを超える場合には、この I/O をファイル システムに届く前にブロックします。
これにより、設定したサイズ以上のデータが書き込まれないようにしています。
このように I/O の動作を変更する フィルター ドライバーですが、実は 2 種類のドライバーがあります。
ミニ フィルター ドライバーとレガシー フィルター ドライバーになります。
ミニフィルター ドライバーはフィルター マネージャーというコンポーネントと連携して動作しますが、
レガシー フィルター ドライバーはこのコンポーネントを介さずに直接、ファイル システムなどの操作を行います。
現在ご利用いただいている環境のフィルター ドライバーは fltmc コマンドで確認が可能です。
// 動作しているフィルタードライバーの表示方法
=============================================================================
1) コマンド プロンプトを管理者権限で起動します。
2) 以下のコマンドを実行します。
fltmc filters
表示例)
Filter Name Num Instances Altitude Frame
------------------------------ ------------------ ------------ -----
AVLegacy 389998.99 <Legacy>
EncryptionLegacy 149998.99 <Legacy>
AVMiniFilter 3 32800 0
※レガシー フィルター ドライバーが動作している場合は、上記のように一番右に が
表示されます。それ以外は、ミニ フィルター ドライバーとして動作しています。
=============================================================================
弊社としては、ミニフィルターに属するドライバーを使用することを推奨しています。これは、直接、
ファイル システムを操作するよりも、フィルター マネージャーを介して動作した方が、Windows 内で
より親和性や危険な動作などを検知し、抑止することが可能となるためです。
Windows10 では 2016 年 8 月頃に提供を開始した Aniversary Update から、このレガシーフィルター
に属するドライバーを動作させないための機能が追加されました。この機能は既定では無効となっており、
有効にすると、レガシー フィルター ドライバーのロードをブロックするように動作します。
この動作は、レジストリの値を変更することにより変えることが可能です。
この動作について、弊社から公開させていただいている記事がありますので、参照いただければと思います。
Blocking legacy file system filter drivers
https://ift.tt/2HdZ7SW
現在提供させていただいている Windows10 のどのバージョンにおいても、既定の動作としては、ブロックする
機能は無効となっております。
しかし、2018 年春に提供を予定している Windows10 のバージョン以降においては、この既定の動作が変わる予定です。
つまり、レジストリの値を変更していなくても、既定でレガシー フィルター ドライバーのロードがブロックされます。
※ 2018 年春に提供を予定している Windows10 のインサイダー プレビューの動作もブロックする動作となっています。
もし、継続してレガシー フィルター ドライバーを利用されたい場合には、以下の手順でレジストリを変更いただければと思います。
// レガシー フィルター ドライバーの有効化手順
=============================================================================
1. コマンド プロンプトを管理者権限で起動します。
2. 以下のコマンドを実行し、有効化の項目を設定します。
reg add " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerI/O System" /v IoBlockLegacyFsFilters /t REG_DWORD /d 0
3. 以下のコマンドを実行し、項目が追加されていることを確認します。
reg query " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerI/O System" /v IoBlockLegacyFsFilters
表示例)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerI/O System
IoBlockLegacyFsFilters REG_DWORD 0x0
4. OS を再起動します。
5. 再起動が完了したら、ログオンし、fltmc コマンドにてレガシー フィルター ドライバーがロードされていることを確認します。
=============================================================================
本ブログが少しでも皆様のお役に立てますと幸いです。
from TechNet Blogs https://ift.tt/2qOeGWj
No comments:
Post a Comment