Uwf windows 10

Содержание

Использование Объединенного фильтра записи – Windows IoT

Uwf windows 10

  • 08/28/2017
  • Чтение занимает 2 мин
    • T
    • o

Объединенный фильтр записи (UWF) — это функция, которая защищает носители физического хранилища от операций записи данных.

The Unified Write Filter (UWF) is a feature that protects physical storage media from data writes. UWF перехватывает все попытки операций записи на защищенный том, и перенаправляет их на виртуальный слой.

UWF intercepts all write attempts to a protected volume and redirects those write attempts to a virtual overlay. Это повышает надежность и стабильность устройства и снижает износ чувствительных к записи носителей, например носителей с флэш-памятью, таких как твердотельные накопители.

This improves the reliability and stability of your device and reduces the wear on write-sensitive media, such as flash memory media solid-state drives.

Дополнительные сведения см. в документации по Объединенному фильтру записи .Read our documentation on the Unified Write Filter for more information.

Установка UWF на устройстве под Windows 10 IoT базоваяHow to Install UWF on a device running Windows 10 IoT Core

  • Если у вас еще нет текущей версии комплектов Windows 10 IoT Core, скачайте и установите пакеты Windows 10 для центра Интернета вещей.If you do not have the current version of the Windows 10 IoT Core Kits yet, download and install the Windows 10 IoT Core Packages.
  • На основе архитектуры устройства Скопируйте пакеты UWF ( Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab и Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab ) с компьютера ( C:\Program Files (x86)\Windows Kits\10\MSPackages\Retail\\fre\ ) на устройство (например, с общим доступом к файлам Windows). your device architecture, copy UWF packages ( Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab and Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab ) from your PC (C:\Program Files (x86)\Windows Kits\10\MSPackages\Retail\\fre\) to the device (for example, with Windows file sharing).
  • Запустите SSH или PowerShell и получите доступ к устройству под Windows 10 IOT базовая.Launch SSH or PowerShell and access your device running Windows 10 IoT Core.
  • С помощью SSH или PowerShell выполните следующие действия.From SSH or PowerShell, do the following:
    • Перейдите в каталог, в который были скопированы файлы.change to the directory where you have copied your files
    • Выполните следующие команды, чтобы установить пакеты в образ системы для устройств IoT:Run these commands to install the packages to your IoT device system image:
      • applyupdate –stage .\Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab
      • applyupdate –stage .\Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab
      • applyupdate –commit
  • Устройство будет загружаться в ОС обновления, устанавливать компоненты UWF и перезагружаться в Маинос.The device will boot to the Update OS, install UWF features, and reboot to the MainOS.

  • Когда устройство возвращается к Маинос, функция UWF готова и доступна для использования.Once the device comes back to the MainOS, the UWF feature is ready and available to use. Это можно проверить, введя uwfmgr.exe в окно PowerShell или SSH.This can be verified by typing uwfmgr.exe into your PowerShell or SSH window.

Как включить UWF в пользовательский ФФУHow to include UWF in Your Custom FFU

  • Добавление идентификатора компонента IOT_UNIFIED_WRITE_FILTER в входной файл изготовителя оборудованияAdd IOT_UNIFIED_WRITE_FILTER feature ID to the OEM Input file
  • Создание Имаже\ффу.Create the image\FFU. Инструкции см. в статье Создание базового образа .Read Create a basic image for instructions.

Как использовать UWFHow to Use UWF

UWF можно настроить с помощью средства uwfmgr.exe через сеанс PowerShell или SSH.UWF can be configured using the uwfmgr.exe tool via a PowerShell or SSH session. uwfmgr.exe Средство чтения для доступных параметров с исключением некоторых перечисленных ниже команд, которые не поддерживаются в IOT Core.Read uwfmgr.

exe tool for the available options with an exception of some commands listed below that are not supported in IoT Core.Проверьте параметры конфигурации наложения по умолчанию и адаптируйте их в соответствии с вашими требованиями.Review the default settings of the Overlay configurations and adapt them per your requirements.

Кроме того, UWF можно настроить через канал MDM с помощью Объединенного фильтра записи CSP.UWF can also be configured via MDM channel using Unified Write Filter CSP.

  • Например, приведенные ниже сочетания команд позволяют увфмгр и настроить защиту диска C.For example, the following combinations of commands enable uwfmgr and configure to protect the C driveuwfmgr.exe filter enable Включает фильтр записиuwfmgr.exe filter enable Enables the write filteruwfmgr.exe volume protect c: Защищает том Cuwfmgr.exe volume protect c: Protects the Volume Cshutdown /r /t 0 Перезапускает устройство, чтобы параметры фильтра записи были эффективными.shutdown /r /t 0 Restarts the device to make the write filter settings effective

Для вступления в силу всех параметров увфмгр требуется Перезагрузка .Reboot is required to make all the uwfmgr settings effective.

Защита тома данныхProtecting a Data Volume

Объем данных в IoT Core можно защитить с помощью идентификатора GUID для тома.Data volume in IoT Core can be protected using the GUID for the volume.Идентификатор GUID доступных томов можно найти с помощью следующей команды:The GUID for the available volumes can be found through the following command

dir /AL
uwfmgr.exe volume protect \\?\Volume {GUID}

Рекомендуемые исключенияRecommended Exclusions

При защите тома данных рекомендуется добавлять исключения для папок обслуживания и ведения журнала, к которым обращаются службы Windows OS.When protecting the data volume, we recommend that you add exceptions for the servicing and logging folders that are accessed by Windows OS Services.

C:\Data\Users\System\AppData\Local\UpdateStagingRootC:\Data\SharedData\DuSharedC:\Data\SystemData\tempC:\Data\users\defaultaccount\appdata\local\tempC:\Data\Programdata\softwaredistributionC:\Data\systemdataonetwlogs

Чтобы добавить исключения, сделайте следующее: uwfmgr.exe file Add-Exclusion To add the exclusions: uwfmgr.exe file Add-Exclusion

Обслуживание защищенных устройств UWFServicing UWF protected devices

Примечание

Начиная с версии 16299 Windows 10 IoT базовая версия 1709, основной том ОС (C: ) может быть защищен с помощью UWF и обслуживается автоматически без каких-либо специальных действий.Starting Windows 10 IoT Core Release 1709, version 16299, the main OS volume (C:) can be protected with UWF and serviced automatically without any special steps.

Для обслуживания защищенных томов данных с защищаемыми томами необходимо выполнить следующие действия.The following steps are required to service UWF protected devices with protected data volumes.

  • uwfmgr.exe filter disable Отключение UWFuwfmgr.exe filter disable Disable UWF
  • shutdown /r /t 0 Перезагрузка устройства для отключения UWFshutdown /r /t 0 Reboot device to disable UWF
  • Включение обслуживания (с помощью пакета подготовки или MDM для установки политики обновления)Enable Servicing (using provisioning package or MDM to set Update policy)
    • Обратите внимание, что устройство будет автоматически перезагружено для выполнения обновлений обслуживания.Note that the device will automatically reboot to perform the servicing updates
  • uwfmgr.exe filter enable Включить UWFuwfmgr.exe filter enable Enable UWF
  • shutdown /r /t 0 Перезагрузка устройства для включения UWFshutdown /r /t 0 Reboot device to enable UWF

Неподдерживаемые команды uwfmgr.exeUnsupported uwfmgr.exe Commands

Режим обслуживания UWF не поддерживается в IOT Core.UWF Servicing Mode is not supported in IoT Core.

uwfmgr.exe в Windows 10 IoT базовая не поддерживает команды, перечисленные ниже.uwfmgr.exe on Windows 10 IoT Core does not support commands listed below.

Filter Shutdown RestartServicing Enable Disable Update-Windows

Источник: https://docs.microsoft.com/ru-ru/windows/iot-core/secure-your-device/unifiedwritefilter

Что такое фильтр записей в Windows 10 и как им воспользоваться

Uwf windows 10

Опытные пользователи наверняка знакомы с программами, позволяющими как бы замораживать Windows, перенаправляя запись операций в оперативную память.

Благодаря этим программам при следующей перезагрузке все изменения в файловой системе сбрасываются, и Windows возвращается в исходное состояние. Но мало кто знает, что операционная система Windows 8.

1 и 10 обладает собственной функцией «заморозки», по умолчанию отключённой.

Называется она Unified Write Filter или Фильтр записей, сокращённо UWF. Если фильтр включён, все записи, производимые в ходе операций с файлами и папками, будут записываться не на физический диск, а в особую область оперативной памяти.

То есть, если вы перезагрузите компьютер, все произведённые вами или программным обеспечением изменения в файловой системе будут отменены.

Функция доступна не во всех редакциях Windows, а лишь в Education, Enterprise и LTSB, а также встроенных системах (Embedded), используемых в терминалах, банкоматах и других подобных устройствах.

Сразу нужно отметить, что UWF не идеален, поэтому мы бы не советовали использовать его на практике. Если вы всё же решите им воспользоваться, необходимо будет внести в его работу определённые изменения.

В Windows фильтр записи представлен отдельным компонентом в Панели управления (апплет «Программы и компоненты»).

Чтобы его активировать, откройте окошко включения и отключения компонентов Windows, найдите и разверните элемент «Блокировка устройства» и установите галочку в пункте «Объединённый фильтр записи».

Сохраните настройки, нажав «OK» и перезагрузите компьютер.

Включить фильтр можно также с помощью PowerShell или консольной утилиты Dism, выполнив в запущенной с повышенными привилегиями консоли CMD команду:

DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter

Управление установленным компонентом производится с помощью командной строки, а именно встроенной утилиты uwfmgr.exe. Включается фильтр записей командой uwfmgr.exe filter enable, отключается командой uwfmgr.exe filter disable.

Защита вступает в силу после перезагрузки компьютера. В состоянии защиты будут отключены файл подкачки, автоматическая дефрагментация, индексирование и создание системных точек восстановления. Помимо включения самого фильтра, нужно указать защищаемый том, например, системный раздел C.

uwfmgr.exe volume protect C:

Исключение составляют внешние накопители (USB-диски), по всей видимости, защита для них отключена на программном уровне, хотя её можно и обойти. Как проверить, включена ли защита? Командой uwfmgr.exe get-config.

При этом в консоли будет выведен список параметров фильтра для каждого контролируемого компонента. После этого вы можете выполнять в системе различные действия: устанавливать и удалять программы, тестировать твики реестра и т.п. Как только вы перезагрузитесь, Windows будет возвращена в состояние, в котором она находилась в момент включения UWF.

А теперь внимание. При использовании фильтр записей некоторые службы могут начать работать некорректно. Чтобы этого избежать, их нужно будет добавить в список исключений. Список исключаемых подсистем вы можете скачать по ссылке yadi.sk/i/0-X7WdAh3NX5GL. Чтобы добавить в исключения папку/файл или ключ реестра, необходимо выполнить такие команды:

Uwfmgr.exe file add-exclusion C:\Путь_к_папке\файлу
Uwfmgr.exe registry add-exclusion “ключ_реестра”

Изменения вступают в силу после перезагрузки. Для этого правила действуют свои исключения. Так, вы не можете отключить защиту UWF для системных каталогов Windows и важных ключей реестра (см. Скриншот «ошибка отказано в доступе»).

При отключении UWF командой uwfmgr.exe filter disable все правила будут удалены. Защиту также можно отключить для конкретного раздела, например, фильтр записей для диска C отключается командой uwfmgr.

exe volume unprotect C:.

При работе с Unified Write Filter у вас может возникнуть необходимость временно отключить защиту, например, для установки обновлений системы или антивируса. В этом случае полное отключения фильтра необязательно, вместо этого его можно перевести в сервисный режим, выполнив команду Uwfmgr.exe servicing enable.

После перезагрузки вы можете устанавливать обновления. Повторная автоматическая перезагрузка восстановит обычный режим UWF.

И последнее.

Использовать фильтр записей в Windows мы не советовали по той причине, что он может работать некорректно. Если вдруг после включения UWF у вас перестала загружаться система, необходимо будет загрузиться с установочного диска Windows и, получив доступ к реестру, отредактировать эти два ключа:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower Filters

В первом ключе нужно изменить значение параметра start на 4, во втором удалить строку uwfvol. Также можно попробовать прибегнуть к откату с помощью системных точек восстановления.

Оцените Статью:

Загрузка…

Рубрики: 10, Windows

UWF, папки, файлы, фильтр записей

Источник: https://www.white-windows.ru/chto-takoe-filtr-zapisej-v-windows-10-i-kak-im-vospolzovatsya/

Внедрение Enhanced Write Filter (EWF)

Uwf windows 10
Расширенный фильтр записи (Enhanced Write Filter, EWF) — это дополнительный компонент, использующийся в Windows Embedded. EWF делает дисковый том доступным только для чтения. При этом операции записи, которые выполняются с данными, хранящимися на этом дисковом томе, перенаправляются в его наложение, которое может находиться на другом диске или в памяти компьютера.

Windows рассматривает наложение EWF и его дисковый том как единое устройство. При этом фактически на дисковом томе не происходит изменений. Все изменения сохраняются только в наложении EWF. Изменения можно сохранить на дисковый том в любой момент времени. Enhanced Write Filter может применяться в различных целях.

  • Enhanced Write Filter позволяет создать загрузочную Flash-карту системы Windows и уменьшить количество циклов записи на карту, тем самым увеличив срок ее службы.
  • При использовании SSD защита от записи с помощью EWF также позволяет увеличить срок службы диска.
  • Также можно использовать EWF для защиты ПК от последствий воздействия вирусов, троянов и прочих опасностей при работе неопытного пользователя в Интернете.

Я использовал EWF в Windows XP, чтобы обеспечить устойчивую работу компьютера. Основной идеей было получить безопасную ОС для серфинга в Интернете.

EWF позволяет уберечь ПК от последствий посещения развлекательно-информационных ресурсов. Не секрет, что в последнее время участились случаи недобросовестной рекламы. Зайдя на ресурс, где размещена реклама, можно подвергнуться различным атакам.

Однако, при использовании EWF все изменения, произошедшие на системном диске, после перезагрузки не сохраняются, и система, подвергнувшаяся атаке, снова готова к работе. Вторым приятным моментом является то, что при работе через EWF в ОС не накапливаются изменения, замедляющие ее работу, и через полгода Windows XP работает также шустро, как в день установки ОС.

При этом все необходимые изменяемые файлы (пользовательские документы и пр.) можно хранить на втором диске или разбить имеющийся на два раздела — системный и раздел для хранения файлов.
1. Для установки EWF на Windows XP необходимо скачать архив EWF.zip. В нем содержатся следующие файлы:

ewf.sys EWFMGR.EXE ewfntldr

ewf.reg

Файл ewf.sys копируем в %systemroot%\system32\drivers
EWFMGR.EXE в %systemroot%\system32. 2. Файл ewfntldr необходим для замены ntldr, находящегося в корневом каталоге системного диска. Не забудьте сделать копию оригинального файла, на случай если вы захотите отменить изменения.

3. Нам необходимо добавить информацию в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF.

Для этого надо дать пользователю, от имени которого вы работаете, доступ на запись в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root.

По умолчанию к этому разделу только System имеет доступ на запись.

4. В реестр добавляется следующая информация:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF] “NextInstance”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000]

“Service”=”EWF”
“Legacy”=dword:00000001
“ConfigFlags”=dword:00000020
“Class”=”LegacyDriver”
“ClassGUID”=”{8ECC055D-047F-11D1-A537-0000F8753ED1}”
“DeviceDesc”=”EWF”
“Capabilities”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000\Control]

“ActiveService”=”EWF”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]

“ErrorControl”=dword:00000001
“Group”=”System Bus Extender”
“Start”=dword:00000000
“Type”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

“UpperFilters”=”Ewf”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected\Volume0] “Type”=dword:00000001

“ArcName”=”multi(0)disk(0)rdisk(0)partition(1)”
5. Теперь необходимо максимально очистить системный диск от временных и ненужных файлов.

6. Также можно перенести профиль пользователя на другой диск. В Windows XP для этого необходимо от имени учетной записи администратора перенести все профили, кроме администраторского, и исправить информацию о расположении в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\SID\ProfileImagePath\.

7. Затем необходимо создать временного пользователя, дать ему права администратора, зайти в систему от его имени, перенести каталог администратора и заменить значение в реестре. Плюсом переноса пользовательских профилей является то, что можно сохранять документы в рекомендованном системой месте. Минусом является то, что подгружаемая информация и кэш браузера будут быстро накапливаться в профилях. 8. Остается только запустить EWF. Для этого используется команда ewfmgr c: -enable. Cписок команд, с помощью которых можно управлять EWF:

  • ewfmgr c: -enable — включение EWF;
  • ewfmgr c: -commitanddisable — отключение EWF при следующей перезагрузке и сохранение всех изменений на диск при выключении/перезагрузке системы;
  • ewfmgr c: -commitanddisable -live — отключение EWF без перезагрузки системы (при этом информация на диск сохраняется непосредственно после выполнения команды);
  • ewfmgr c: -commit — сохранить все изменения на диск при перезагрузке или выключении ПК.

Последняя команда является очень важной при установке обновлений системы. Невыполнение этой команды ведет к безвозвратной потере всего, что вы сделали за сеанс работы Windows! Если вы используете EWF только для защиты Flash-карты или SSD-диска от большого количества циклов записи/чтения, эту команду лучше всего поместить в автозагрузку. Установка EWF на Windows 7 возможна только в том случае, если вы используете EWF для SSD-диска. Установка состоит из нижеперечисленных этапов. 1. Добавляем в реестр следующую информацию:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

“UpperFilters”=”Ewf”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]

“ErrorControl”=dword:00000001
“Start”=dword:00000000
“Type”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Ewf\Parameters\Protected\Volume0]

“Type”=dword:00000001
“Enabled”=dword:00000001
“CompareBeforeAlloc”=dword:00000000
“DiskSignature”=dword:00000000
“PartitionOffset”=hex(b):00,00,00,00,00,00,00,00

2. Раскладываем файлы.

ewf.sys копируем в %systemroot%\system32\drivers
EWFMGR.EXE в %systemroot%\system32. 3. Теперь запускаем cmd, а в нем — утилиту diskpart. 4. Набираем «select disk nn», где nn — это номер диска (считается с 0). Затем «detail disk»: Нас интересует «Disk ID» (в русифицированной версии «ИД Диска»), запоминаем это значение. 5. Теперь набираем «select partition nn», где nn — номер. Выводим информацию «detail partition»: Нас интересует число, идущее после «Offset in Bytes» (в русифицированной версии «Смещение в байтах»).

6. Открываем в regedit раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Ewf\Parameters\Protected\Volume0 и редактируем значения:

DiskSignature — сюда вписываем «Disk ID»;

PartitionOffset — «Offset in Bytes».

7. Остается только включить EWF командой «ewfmgr c: -enable» и перезагрузить компьютер.

Подробно с EWF можно ознакомиться на сайте MSDN.

Константин Иванищев, ведущий специалист по ИБ Positive Technologies.

Источник: https://habr.com/ru/company/pt/blog/155135/

Set up a kiosk environment using Unified Write Filter (UWF) in Windows 10

Uwf windows 10
Oct 29, 2018 · 5 min read

Article written by Sergio Calderón

As you can imagine, Windows is widely used in a lot of environments, that means the OS must supply many requested features from user experience to security.

In education, schools or universities, for example, they have frequent guests that use their computers, students download malicious files while searching or install unwanted applications.

They don’t have time to reinstall Windows every time a guest uses a computer, they need a way to allow them to use it in a security, reliability and controlled way.

Microsoft has developed some kiosk-related features, choosing one of them depends on what the schools needs.

I am going to talk a little bit about a not well know feature called Unified Write Filter (UWF).

What is Unified Write Filter?

Unified Write Filter or UWF for short, is an optional Windows 10 feature that helps to protect your drives by intercepting and redirecting any writes to the drive (app installation, settings changes, saved data) to a virtual overlay. The virtual overlay is a temporary location that is usually cleared during a reboot or when a guest user logs off (Microsoft, 2018).

Requirements

Windows 10 Enterprise, Windows 10 Education or Windows 10 IoT Core Enterprise (Microsoft, 2018).

Turning on UWF

Unified Write Filter is an optional feature included in Windows 10 Enterprise, Education or IoT; therefore, you have to install it before enabling.

To install UWF

  1. Click on Start menu
  2. Type PowerShell
  3. Right click on Windows PowerShell and click on Run as administrator

4. From the Windows PowerShell console, type and run:

To enable and configure UWF

After restarting Windows, you can start using the uwfmgr.exe utility to enable Unified Write Filter.

To keep it simple, I’m going to enable UWF to protect the C: drive with the default configurations.

1. Repeat the steps above from 1 to 3 to open a PowerShell console

2. Type and run:

1. uwfmgr.exe filter enable

3. Enable write protection by running:

uwfmgr.exe volume protect c:

4. Restart the system to the changes to apply

From now on, every change you make on the system will remain until a reboot or log off is made. After that, you will get a clean state back.

UWF exclusions

You can add specific files or folders on a protected volume to a file exclusion list to exclude those files and folders from being filtered by UWF. When a file or folder is in the exclusion list for a volume, all writes to that file or folder bypass UWF filtering and are written directly to the protected volume and persist after the device restarts (Microsoft, 2018).

File exclusions

Let´s say I have a TXT file called ProtectedFile.txt on my Desktop folder. Because I enabled all the c: drive to be protected, all the changes I do to that file will be restored after restarting.

Note: remember that all files that were present before enabling the protected volume with UWF will be available on every restart.

If you want the file to be unprotected from the filter, you can add it to the file exclusions by running from an elevated command:

Uwfmgr.exe file add-exclusion [PathToFile]

Where [PathToFile] is the full path to the file you want to add to the exclusion file list. For example:

Uwfmgr.exe file add-exclusion “C:\Users\Andy\Desktop\ProtectedFile.txt”

After Windows is restarted, you will be able to do any changes to the file, even delete it!

Folder exclusions

As for files, you can also exclude an entire folder, so all files included will be modifiable. To add a folder exclusion, run:

Uwfmgr.exe file add-exclusion [FolderPath]

Where [FolderPath] is the full path to the folder. For example:

Uwfmgr.exe file add-exclusion C:\ExcludedFolder

Recommended exclusions

There are, of course, some exclusions you should apply recommended by Microsoft. Look at the Common write-filter exclusion in the official documentation or more info.

Turning off UWF

If you need to install some apps or create some files that will be preserved, you can unprotect any protected volume or disable all the filters.

Unprotecting volumes

To unprotect a volume, just run:

Uwfmgr.exe volume unprotect [Volume]

Where [Volume] is the volume name that was previously protected. For example:

Uwfmgr.exe volume unprotect c:

Disabling Unified Write Filters

To completely disable Unified Write Filter, run from an elevated prompt:

Uwfmgr.exe filter disable

Restart Windows after disabling filters.

If you want to automate this process massively and automatically, use Vtul

Check out Vtul, a cloud based solution that will allow you to automate this process to thousand of machines with a single instruction using a common web browser.

References

Microsoft. (2018, 01 10). Unified Write Filter (UWF) Feature. Retrieved from Microsoft Docs: https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/unified-write-filter

Microsoft. (2018, 01 10). Write filter exclusions. Retrieved from Microsoft Docs: https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/uwfexclusions

“,”author”:”Jason Corchuelo”,”date_published”:”2018-10-29T20:34:34.978Z”,”lead_image_url”:”https://miro.medium.com/max/374/1*GFW173YJtX6hAVGT5kEj9w.png”,”dek”:null,”next_page_url”:null,”url”:”https://medium.com/tulpep/set-up-a-kiosk-environment-using-unified-write-filter-uwf-in-windows-10-86826a0b2b91″,”domain”:”medium.com”,”excerpt”:”Article written by Sergio Calderón”,”word_count”:743,”direction”:”ltr”,”total_pages”:1,”rendered_pages”:1}

Источник: https://medium.com/tulpep/set-up-a-kiosk-environment-using-unified-write-filter-uwf-in-windows-10-86826a0b2b91

Фильтр защиты от записи на диск Unified Write Filter (UWF) в Windows 10

Uwf windows 10

UWF (Unified Write Filter — объединенный фильтр записи) – это специальный фильтр записи файловой системы в Windows 10, который позволяет защитить системные файлы Windows и данные на диске от любых изменений.

При включенном UWF фильтре любые операции записи на защищаемый диск или в системный реестр перехватываются драйвером UWF фильтра и помещаются в отдельное виртуально пространство (оверлей). После перезагрузки Windows все изменения на защищаемых дисках не сохраняются, т.е.

Windows всегда возвращается к исходному состоянию на момент включения фильтра UWF.

Как работает фильтр UWF? Он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, который хранит все изменения.

Как включить и настроить Unified Write Filter в Windows 10

Фильтр записи UWF представляет собой отдельный компонент Windows и включается через панель управления: Control Panel -> Programs and Features -> Turn Windows Features On or Off -> Device Lockdown ->Unified Write Filter.

Также можно установить компонент UWF с помощью PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName “Client-UnifiedWriteFilter” –All
Или DISM:

DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter

Для управления настройками UWF используется консольная утилита uwfmgr.exe.

Чтобы включить UWF фильтр в Windows 10, выполните следующую команду и перезагрузите компьютер:

uwfmgr.exe filter enable
При включении фильтра, Windows автоматически перенастраивается так, чтобы исключить лишние операций записи на диск (отключаются файл подкачки, точки восстановления, индексирование файлов, дефрагментация).

Чтобы включить защиту от записи для конкретного диска, выполните команду:

uwfmgr.exe volume protect c:
Теперь нужно перезагрузить компьютер. После его загрузки все, что пользователь запишет на диск за время сессии будет доступно только до момента следующей перезагрузки компьютера. Любые изменения будут сброшены.

Проверить состояние UWF фильтра можно командой:

uwfmgr.exe get-config

В нашем примере видной, что системный диск находится в защищенном состоянии, UWF фильтр включен (Volume state: Protected).

Текущие настройки оверлея, в котором UWF хранит временные данные можно вывести с помощью команды:

uwfmgr overlay get-config

Вы можете настроить следующие параметры:

  • Type – тип оверлея. Вы можете хранить данные на диск (DISK) или в оперативной памяти (RAM);
  • Maximum size – максимальный размер оверлея;
  • Warning Threshold – размер оверлея, при превышении которого нужно вывести предупреждение;
  • Critical Threshold – размер оверлея, при превышении которого появится ошибка UWF;
  • Freespace Passthrough – используется только для дискового оверлея. Позволяет разрешать писать данные в любое свободное место на диске, а не в выделенный файл.

По умолчанию используется RAM оверлей с размером 1 Гб.

Можно изменить эти настройки (если у вас достаточно свободной RAM):

uwfmgr overlay set-size 8192uwfmgr overlay set-criticalthreshold 8192

uwfmgr overlay set-warningthreshold 7168

Если нужно использовать оверлей на диске, выполните команду:

uwfmgr overlay set-type Disk

Текущий размер данных в оверлее можно вывести так:

uwfmgr overlay get-consumption

Оставшееся место:

uwfmgr overlay get-availablespace

Обслуживание Windows 10 с включенным фильтром UWF

При выполнении обслуживания системы (установка обновлений, обновление антивирусных сигнатур, копирование новых файлов), нужно перевести компьютер в специальный сервисный режим UWF:

uwfmgr servicing enable

После перезагрузки Windows загрузится под локальной учетной записью UWF-Servicing и автоматически установит доступные обновления Windows (через Windows Update или одобренные обновления WSUS), обновит сигнатуры антивируса. При желании, вы сможете войти на компьютер под учетной записью UWF-Servicing (пароль этого пользователя неизвестен, но можно сменить его).

При автовходе пользователя запускается uwfservicingshell.exe и запускает скрипты обслуживания Windows 10. Что-то другое выполнить в сервисном режиме нельзя.

После завершения установки обновлений, компьютер автоматически перезагрузится в нормальном режиме с включенным фильтром UWF.

Вы можете установить обновления Windows и из обычного режима, без перехода в режим Servicing. Воспользуйтесь командой:

uwfmgr servicing update-windows

Unified Write Filter updated Windows result: REBOOT REQUIRED.

Добавление исключений в фильтр записи UWF

Если вам нужно принудительно сохранить на диск некий изменённый файл при включенном фильтре UWF, нужно выполнить команду:

uwfmgr file commit C:\Distr\TestFile.txt

Теперь файл не исчезнет, даже если вы перезагрузите Windows.

Чтобы удалить файл при включенном UWF, используйте команду:

uwfmgr file commit-delete C:\Distr\TestFile.txt

Вы можете добавить определенные файлы, каталоги или ветки реестра в исключения фильтра UWF. Любые изменения по таким объектам будут записывать напрямую на диск, а не в оверлей.

Чтобы добавить в исключения конкретный файл или папку, выполните команду:

Uwfmgr.exe file add-exclusion  c:\student

Или

Uwfmgr.exe file add-exclusion  c:\student\report.docx

Чтобы разрешить запись изменений в ключ реестра:

Uwfmgr.exe registry add-exclusion “HKLM\Software\MyRegKey”

Для применения исключений нужно перезагрузить компьютер.

Чтобы вывести список исключений UWF фильтра, выполните команду:

uwfmgr file get-exclusions

Для удаления файла из исключений, выполните команду:

uwfmgr file remove-exclusion c:\student\report.docx

Некоторые системные каталоги и файлы нельзя добавить в исключения, например:

  • Файлы реестра в каталоге \Windows\System32\config\;
  • Корень диска;
  • Каталоги \Windows, \Windows\System32, \Windows\System32\Drivers;
  • Файлы подкачки
  • И т.д.

Для корректной работы некоторых служб необходимо добавить в список исключений фильтра записи пути к их каталогам, файлам и веткам реестра. В следующем списке я собрал типовые исключения для некоторых подсистем Windows:

Исключения для BITS:

  • % ALLUSERSPROFILE%\Microsoftetwork\Downloader
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\BITS\StateIndex

Исключения для корректной работы в беспроводных сетях (данные исключения позволят подключаться к Wi-Fi сетям и сохранять WLAN профили):

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy
  • C:\Windows\wlansvc\Policies
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc
  • C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces\{}\{}.xml
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc

Исключения для корректной работы в проводных сетях:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy
  • C:\Windows\dot2svc\Policies
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc
  • C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces\{}\{}.xml
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc

Исключения для Windows Defender

  • C:\Program Files\Windows Defender
  • C:\ProgramData\Microsoft\Windows Defender
  • C:\Windows\WindowsUpdate.log
  • C:\Windows\Temp\MpCmdRun.log
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

Отключение фильтра UWF, сброс настроек

Вы можете сбросить настройки UWF фильтра к начальным (на момент включения фильтра):

uwfmgr filter reset-settings

Чтобы полностью отключить UWF фильтр (после перезагрузки все изменения на диске будут сохраняться):

uwfmgr.exe filter disable

Либо можно отключить защиту фильтра конкретного раздела:

uwfmgr.exe volume unprotect C:

Важно. Если ваша Windows не загружается из-за некоренной настройки UWF фильтра, вы можете отключить его, загрузив в свой компьютер с загрузочного диска и отредактировать реестр в офлайн режиме:

  • Отключить запуск UWF фильтра можно в ветке HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol, задав значение параметра start равное 4.
  • Затем отключите строку uwfvol в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower Filters

Режим Hibernate Once/Resume Many (HORM) в UWF

Начиная с Windows 10 1709 появился еще один режим работы фильтра UWF – Hibernate Once/Resume Many (HORM). Этот режим позволяет быстро получить состояние Windows с запущенными программами. При каждой загрузке компьютера Windows сразу возвращается к этому состоянию.

Ограничения режима HORM:

  • Фильтр UWF должен быть включен для всех локальных дисков;
  • Исключения фильтра UWF не поддерживаются
  • Оверлей работает в режиме RAM (disk-overlay не поддерживается);
  • Режим гибернации и быстрого запуска отключен.

Для включения HORM нужно выполнить команду:

uwfmgr filter enable-horm

Unified Write Filter enabled HORM. Please hibernate the system to use HORM functionality. The system must be hibernated at least once after run enable-horm command, or it may bring the system into corrupted state.

Настройте рабочее окружение пользователя (запустите необходимые приложения, откройте файлы и т.д.). Затем переведите компьютер в режим гибернации командой:

shutdown /h

Разбудите компьютер и перезагрузите его. При следующей перезагрузке Windows 10 сразу запустится в состоянии, хранящемся в файле гибернации.

Для отключения HORM выполните команду:

uwfmgr filter disable-horm

Из интересных сценариев, возможность реализации которых предоставляет фильтр UWF:

  1. Ускорение работы Windows (на диск ничего не пишется, а все операции записи на диск производятся в оперативной памяти, а-ля RAM диск);
  2. При запуске Windows на твердотельных накопителях (SSD/CompactFlash) можно уменьшить износ ячеек накопителя за счет уменьшения количества операций записи;
  3. Проведение различных экспериментов, тестирование стороннего ПО и изучение зловредов (для этих целей также можно использовать режим песочницы Windows).

Источник: https://winitpro.ru/index.php/2017/09/28/filtr-zapisi-unified-write-filter-uwf-v-windows-10/

Фильтр защиты от записи на диск – UWF (Unified Write Filter) в Windows 10

Uwf windows 10

Одной из полезных возможностей Windows 10 (и Windows 8) является наличие специального фильтра записи файловой системы – UWF (UnifiedWriteFilter). При включенном и настроенном фильтре все изменения с файлами и каталогами на дисках производятся в оперативной памяти и сбрасываются при перезагрузке компьютера.

Как работает фильтр UWF? Он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, в котором накапливаются все файловые изменения.

После перезагрузки системы, все изменения на защищаемых дисках не сохраняются, т.е. система всегда возвращается к исходному состоянию на момент включения фильтра UWF.

Примечание. В предыдущих версиях Windows фильтры записи были доступны только в редакциях для встроенных систем (Embedded), которая использовалась в банкоматах, POS-системах, терминалах самообслуживания, промышленных системах и т.д.

Теперь этот функционал доступен в редакциях Windows 10Enterprise (в том числе LTSB) и Windows 10Education, открывая дополнительные сценарии использования Windows на предприятиях и в учебных заведениях (информационные киоски, классы обучения, демонстрационные стенды и т.д.).

Фильтр записи UWF представляет собой отдельный компонент системы и включается через панель управления: Control Panel -> Programs and Features -> Turn Windows Features On or Off -> Device Lockdown ->UnifiedWriteFilter.

Компонент UWF также можно установить с помощью PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName “Client-UnifiedWriteFilter” –All

Или Dism:

DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter

После того, как компонент установлении, управлять параметрами фильтра можно с помощью утилиты uwfmgr.exe.

Чтобы включить UWF фильтр, выполните следующую команду и перезагрузите компьютер:

uwfmgr.exe filter enable

При включении фильтра, он автоматически перенастраивает систему для исключения лишних операций записи на диск (отключаются файл подкачки, точки восстановления, индексирование файлов, дефрагментация).

Чтобы включить защиту от записи для конкретного диска системы, выполните команду:

uwfmgr.exe volume protect c:

Теперь нужно перезагрузить компьютер. После его загрузки все, что пользователь запишет на диск за время сессии будет доступно ему только до момента перезагрузки компьютера.

Проверить состояние UWF фильтра можно командой:

uwfmgr.exe get-config

В нашем примере видной, что системный диск находится в защищенном состоянии (Volume state: Protected).

Определенные файлы, каталоги или ветки реестра можно добавить в список исключений фильтра UWF. Изменения, вносимые в эти объекты будут писаться непосредственно на диск, а не в оверлей. Некоторые каталоги и файлы нельзя добавить в исключения, например:

  • Файлы реестра в каталоге \Windows\System32\config\
  • Корень дисков
  • Каталоги \Windows, \Windows\System32, \Windows\System32\Drivers
  • И т.д.

Чтобы добавить в исключения конкретный файл или папку, выполните команду:

Uwfmgr.exe file add-exclusion  c:\student

Или

Uwfmgr.exe file add-exclusion  c:\student\report.docx

Чтобы разрешить запись изменений в ключ реестра:

Uwfmgr.exe registry add-exclusion “HKLM\Software\MyRegKey”

Для применения исключений нужно перезагрузить компьютер.

При выполнении обслуживания системы (установке обновлений, обновлении антивируса, копирование новых файлов), необходимо перевести компьютер в специальный сервисный режим:

Uwfmgr.exe servicing enable

Компьютер загрузится с локальной учетной записью UWF-Servicing и можно установить необходимые обновления. После этого компьютер автоматически перезагрузится в нормальном режиме с включенным фильтром UWF.

Переход системы в режим обслуживания можно автоматизировать с помощью планировщика задач.

Примечание. Фильтр UWF нельзя использовать для защиты данных на флешках и внешних USB устройствах. Скорее всего на программном уровне запрещено включение защиты от записи для дисков типа Removable. Впрочем, это ограничение можно обойти с помощью такого трюка.

Для корректной работы некоторых служб необходимо добавить пути к их каталогам, файлам и веткам реестра в список исключений фильтра. В следующем списке я собрал типовые исключения для некоторых подсистем:

ИсключениядляBITS:

  • % ALLUSERSPROFILE%\Microsoftetwork\Downloader
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\BITS\StateIndex

Исключения для корректной работы в беспроводных сетях:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy
  • C:\Windows\wlansvc\Policies
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc
  • C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces\{}\{}.xml
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc

Исключения для корректной работы в проводных  сетях:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy
  • C:\Windows\dot2svc\Policies
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc
  • C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces\{}\{}.xml
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc

Исключения для Windows Defender

  • C:\Program Files\Windows Defender
  • C:\ProgramData\Microsoft\Windows Defender
  • C:\Windows\WindowsUpdate.log
  • C:\Windows\Temp\MpCmdRun.log
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

Чтобы полностью выключить UWF фильтр (после перезагрузки все изменения на диске будут хранится постоянно)

uwfmgr.exe filter disable

Либо можно отключить защиту фильтром конкретного раздела:

uwfmgr.exe volume unprotect C:

Важно. В том случае, если из-за некоренной работы фильтра, система не загружается, отключить фильтр можно, загрузившись с загрузочного диска и отредактировать реестр в офлайн режиме:

  • Отключить запуск фильтра можно в ветке HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol, задав значение параметра start на 4.
  • Удалить строку uwfvol в ключе HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower Filters

Из интересных сценариев, возможность реализации которых предоставляет фильтр UWF:

  • Ускорение работы Windows (на диск ничего не пишется, а все операции записи на диск производятся в оперативной памяти)
  • При запуске Windows на носителях SSD / CompactFlash можно получить существенное уменьшение износа накопителей за счет сокращения операций записи
  • Проведение различных экспериментов, тестирование стороннего ПО и изучение зловредов

Источник

Источник: https://zen.yandex.ru/media/winitpro.ru/filtr-zascity-ot-zapisi-na-disk-uwf-unified-write-filter-v-windows-10-5b14cb8cbcf1bcfca3f84121

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.