Windows10で統合書き込みフィルタをGUI(Windows ICD)で設定する方法
※注意 Windows10で統合書き込みフィルタが有効化できるのは、「Windows10 Enterprise」等の上のエディションだけかと思っていましたが、どうやら他のエディションでも可能らしい。
ここでは、「Windows10 Enterprise」についての設定方法を記載する。(2016年4月時点では、Windows10 Enterpriseでのロックダウンマネージャ(Embedded Lockdown Manager)が提供されていない。) ⇒2016年10月時点で、Windows ICDでロックダウン機能のGUI設定が可能になりましたが、統合書き込みフィルタに関しても、Windows ICDで設定可能。
統合書き込みフィルタを設定を行う前に、コマンドを使用できるようにする必要がある ⇒ 統合書き込みフィルタを使用する方法(有効化する方法)
ここでは「Windows10 Enterprise」を使用し、Windows ICD(GUI)を操作することで設定を行う。
コマンドで行う場合は⇒※統合書き込みフィルタをコマンドで設定する方法
uwfmgr.exeの細かいヘルプ詳細は紹介はせず、実際に機能を使用するのに有効と思われる機能の設定を行う。
★ここで設定する内容(大まかに)
■1、Cドライブをプロテクト設定にする(Cドライブの書き込みは再起動時に無効になる)
■2、特定のユーザのデスクトップ配下は書き込みを戻さない設定にする
■3、設定を反映させる
※プロビジョニングパッケージを使用して、設定を行う。プロビジョニングパッケージの作成については以下を参考に。
1、Winodws ICDを起動し、プロビジョニングパッケージのプロジェクトを作成する。(エディションは、ALL Windows desktop editionを選択する)
2、設定項目が表示されたら、全ての設定になっていることを確認。
3、■1のCドライブのプロテクト設定を行う。実行時の設定⇒UnifiedWriteFilter⇒Volumesを選択。
4、右のウィンドウに表示される、DriveLetterに「C:\」と入力し追加を行うと、ドライブレターの設定が出来る状態になる。
5、「DriveLetter C:」の部分を選択し、右側のProtectをTrueにする。※尚、ドライブレターには円マーク(\)は入れないように。 入れるパッケージファイルを作成するときにエラーになる。
6、■2、特定のユーザのデスクトップ配下は書き込みを戻さない設定にする。 「DriveLetter C:\⇒FileExclusions⇒Add」を選択し、右のFilePathに「c:\user\<ユーザ名>\desktop」を記入し追加ボタンを選択。
7、■3、設定を反映させる。 「FilterEnabled」を選択し、右のFilterEnabledに「TRUE」を選択。
8、設定終えたら、ファイルメニュー⇒保存をする。
9、以下の画面が出る場合もあるが、OKを選択。
10、次に、PCに適用できるようにパッケージングビルドを行う。上のエクスポート⇒プロビジョニングパッケージを選択。
11、パッケージ名や所有者等の情報を入力して、次へを選択。
12、パスワード等の情報が必要な場合は、暗号化パスワードを入力する。今回は設定する。
13、パッケージの保存先を指定して次へ。
14、最後にビルドを行う。
15、作成完了。尚、ppkgファイル(パッケージファイル)が適用ファイル。catファイルも出来るがこちらは今回は不要。
※1、適用する際は、パッケージファイルをダブルクリックで良い。暗号化がある場合はパスワードを入力し、注意が出ますが、そのまま追加する。適用済みとなる。
16、適用後は除外したユーザのデスクトップ以外は、ファイル、フォルダ作成しても再起動後に元に戻る(消える)。
※プロビジョニングパッケージで、統合書き込みフィルター設定の無効化を行う方法は2ステップある。通常はコマンドだけで良いが、プロビジョニングパッケージの適用解除も行った方が良い。
1、プロビジョニングパッケージ適用解除(削除)⇒プロビジョニングパッケージ削除方法
2、コマンド ⇒ 「uwfmgr.exe filter disable」
