что такое uwf фильтр
использование объединенного фильтра записи (UWF) на Windows 10 IoT Базовая
Объединенный фильтр записи (UWF) — это функция, которая защищает носители физического хранилища от операций записи данных. UWF перехватывает все попытки операций записи на защищенный том, и перенаправляет их на виртуальный слой. Это повышает надежность и стабильность устройства и снижает износ чувствительных к записи носителей, например носителей с флэш-памятью, таких как твердотельные накопители.
установка UWF на устройстве под Windows 10 IoT Базовая
если у вас еще нет текущей версии комплектов Windows 10 IoT Базовая, скачайте и установите Windows 10 IoT Базовая пакеты.
на основе архитектуры устройства скопируйте пакеты UWF ( Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab и Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab ) с компьютера ( C:\Program Files (x86)\Windows Kits\10\MSPackages\Retail\\fre\ ) на устройство (например, с Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab к файлам).
запустите SSH или PowerShell и получите доступ к устройству, на котором работает Windows 10 IoT Базовая.
С помощью SSH или PowerShell выполните следующие действия.
Устройство будет загружаться в ОС обновления, устанавливать компоненты UWF и перезагружаться в Маинос.
Когда устройство возвращается к Маинос, функция UWF готова и доступна для использования. Это можно проверить, введя uwfmgr.exe в окно PowerShell или SSH.
Как включить UWF в пользовательский ФФУ
Как использовать UWF
UWF можно настроить с помощью средства uwfmgr.exe через сеанс PowerShell или SSH. Средство чтения для доступных параметров с исключением некоторых перечисленных ниже команд, которые не поддерживаются в IOT Core. Проверьте параметры конфигурации наложения по умолчанию и адаптируйте их в соответствии с вашими требованиями.
Кроме того, UWF можно настроить через канал MDM с помощью Объединенного фильтра записи CSP.
Например, приведенные ниже сочетания команд позволяют увфмгр и настроить защиту диска C.
uwfmgr.exe filter enable Включает фильтр записи
uwfmgr.exe volume protect c: Защищает том C
shutdown /r /t 0 Перезапускает устройство, чтобы параметры фильтра записи были эффективными.
Защита тома данных
Объем данных в IoT Core можно защитить с помощью идентификатора GUID для тома. Идентификатор GUID доступных томов можно найти с помощью следующей команды:
dir /AL
uwfmgr.exe volume protect \\?\Volume
Рекомендуемые исключения
при защите тома данных рекомендуется добавлять исключения для папок обслуживания и ведения журнала, доступ к которым осуществляется Windows службах операционной системы.
Чтобы добавить исключения, сделайте следующее: uwfmgr.exe file Add-Exclusion
Обслуживание защищенных устройств UWF
запуск Windows 10 IoT Базовая выпуск 1709, версия 16299, основной том ос (C:) можно защищать с помощью UWF и обслуживать автоматически без каких бы то ни было особых действий.
Для обслуживания защищенных томов данных с защищаемыми томами необходимо выполнить следующие действия.
Неподдерживаемые команды uwfmgr.exe
Режим обслуживания UWF не поддерживается в IOT Core.
Функция объединенного фильтра записи (UWF)
объединенный фильтр записи (UWF) — это необязательная функция Windows 10, которая помогает защитить диски, перехватывая и перенаправляя любые записи на диск (установки приложений, изменения параметров, сохраненные данные) в виртуальную наложение. Виртуальный оверлей — это временное расположение, которое обычно удаляется во время перезагрузки или когда гостевой пользователь выходит из системы.
Преимущества
Обеспечивает чистую работу с тонкими клиентами и рабочими областями, которые имеют частые гости, такие как учебные, библиотеки или Гостиницы-компьютеры. Гости могут работать, изменять параметры и устанавливать программное обеспечение. После перезагрузки устройства Следующая гостевая ОС получит чистый интерфейс.
Повышает безопасность и надежность для киосков, устройств IoT-Embedded или других устройств, в которых новые приложения не должны добавляться часто.
Можно использовать для сокращения износа твердотельных накопителей и других чувствительных к записи носителей.
UWF заменяет расширенный фильтр записи Windows 7 (EWF) и фильтр записи на основе файлов (FBWF).
Компоненты
UWF может защищать большинство поддерживаемых для записи типов хранилищ, включая физические жесткие диски, твердотельные накопители, внутренние USB-устройства и внешние устройства SATA. Нельзя использовать UWF для защиты внешних съемных носителей, USB-устройств или флэш-накопителей. Поддерживает тома основной загрузочной записи (MBR) и таблицы разделов GPT.
Вы можете использовать UWF, чтобы носитель, доступный только для чтения, отображался в ОС в качестве тома с возможностью записи.
вы можете управлять службой UWF непосредственно на Windows 10 устройстве с помощью uwfmgr.exeили удаленно с помощью средств MDM с использованием унифиедвритефилтер CSP или службыWMI UWF.
Вы можете обновлять и обслуживать устройства, защищенныес помощью UWF, либо путем использования режима обслуживания UWF, либо путем добавления исключений файлов и реестра в определенные системные области.
На устройствах с наложением дисков можно использовать Транзитный диск Freespace для доступа к дополнительному свободному пространству на диске.
UWF поддерживает разбиение по страницам для увеличения виртуальной памяти, если файл подкачки существует на незащищенном томе. Если подкачка используется вместе с наложенным на ОЗУ наложением, время бесперебойной работы системы может значительно увеличиться.
Требования
Windows 10 Корпоративная, Windows 10 IoT Базовая или Windows 10 IoT Корпоративная.
Ограничения
Накладываемый слой не служит зеркалом всего тома, но динамически увеличивается для отслеживания перенаправленных операций записи.
UWF поддерживает до 16 терабайт защищенных томов.
UWF не поддерживает использование быстрого запуска при завершении работы устройства. Если включен быстрый запуск, выключение устройства не приводит к снятию наложения. вы можете отключить быстрый запуск на панели управления, перейдя в панельуправления все элементы панелиуправления параметры электропитания система Параметры и сняв флажок включить быстрый запуск (рекомендуется).
На компьютере, где UWF включен и используется для защиты диска C, нельзя навсегда установить дату и время в прошлом. Если внести такое изменение, исходные параметры даты и времени будут восстановлены после перезагрузки компьютера.
Чтобы обойти эту ошибку, перед изменением даты и времени необходимо отключить UWF. Для этого запустите фильтр uwfmgr.exe отключить.
Включение и настройка UWF
Наложение UWF
Можно выбрать место хранения оверлея (ОЗУ или диск), объем зарезервированного пространства, а также необходимость сохранения оверлея после перезагрузки.
Чтобы увеличить время бесперебойной работы, настройте мониторинг, чтобы проверить, заполнен ли оверлей. На определенных уровнях устройство может предупредить пользователей и (или) перезагружать устройство.
Дополнительные сведения см. в разделе расположение и размер оверлея UWF.
Том — это логическая единица, которая представляет область постоянного хранения в файловой системе, используемой операционной системой. Том может соответствовать одному физическому устройству хранения, например жесткому диску, но тома также могут соответствовать одному разделу на физическом устройстве хранения с несколькими разделами или могут охватывать несколько физических запоминающих устройств. Например, набор жестких дисков в массиве RAID может быть представлен как один том в ОС.
Исключения
Режим обслуживания UWF
Если устройство защищено с помощью UWF, необходимо использовать команды режима обслуживания UWF для обслуживания устройства и применения обновлений к образу. режим обслуживания UWF можно использовать для применения Windows обновлений, обновлений файлов сигнатур вредоносных программ, а также для пользовательских или сторонних обновлений программного обеспечения.
Дополнительные сведения об использовании режима обслуживания UWF для применения обновлений программного обеспечения к устройству см. в разделе Service UWF — защищенные устройства.
Устранение неполадок UWF
UWF использует Windows журнал событий для регистрации событий, ошибок и сообщений, связанных с использованием оверлея, изменениями конфигурации и обслуживанием.
Дополнительные сведения о поиске сведений в журнале событий для устранения неполадок с Объединенным фильтром записи (UWF) см. в разделе Устранение неполадок Объединенного фильтра записи (UWF).
Защита дисков от перезаписи с помощью UWF (Unified Write Filter) Windows 10
Виртуальные машины, несомненно, один из лучших способов избежать изменений на хост-системе. Использование, так называемых, снимков помогает восстановить предыдущую конфигурацию виртуальной машины, чтобы быстро отменить внесенные изменения.
Если вы не хотите использовать виртуальные машины или использовать новую «песочницу» Windows 10, полезно знать, что операционная система Microsoft предлагает «стандартную» функция под названием UWF (Унифицированный фильтр записи).
Это программный компонент, который активирует защиту от записи на жестких дисках и твердотельных накопителях: все попытки записи, сделанные, например, установленными приложениями пресекаются, но данные автоматически сохраняются в защищенной области. Когда машина перезагружается, вся информация, записанная на устройствах хранения при включенном UWF, автоматически удаляется.
UWF интегрирован не только в версии Windows 10 для предприятий и учебных заведений, но и в версию Pro операционной системы.
Перед использованием UWF, который следует понимать как программный компонент, предназначенный для профессионалов, разработчиков и тестировщиков, мы предлагаем провести тесты на тех компьютерах, которые не используются в рабочих целях.
Установите UWF, чтобы включить защиту от записи
Установить и настроить UWF на компьютере с Windows 10 довольно просто. Вы можете воспользоваться одним из трёх способов, предложенных ниже:
Затем введите команду dism /online /enable-feature /FeatureName:client-DeviceLockdown /FeatureName:client-UnifiedWriteFilter
Как защитить от записи диск, содержащий Windows 10
На этом этапе – после установки UWF на компьютере с Windows 10 – можно защитить блок операционной системы от записи (предположим, что это C: ), но также возможно защитить и другие блоки, помеченные разными идентификационными буквами.
Для этого просто откройте командную строку или PowerShell с правами администратора, как показано выше, затем выберите место, где будет создаваться так называемый оверлей, т.е. область, в которой будут записывать изменения от приложений и операционной системы. Вы можете выбрать оперативную память или жесткий диск:
uwfmgr overlay set-type RAM uwfmgr overlay set-type Disk
Чтобы использовать RAM, вам понадобится ПК с хорошим запасом энергозависимой памяти.
Следующая команда позволяет вам определить, сколько памяти (энергозависимой или энергонезависимой) выделить под оверлей:
uwfmgr overlay set-size 20480
Если вы выбрали диск, команда выделит 20 ГБ дискового пространства (или SSD) для временной записи изменений (значение 20480 получается из простого умножения 1024 МБ × 20).
Наконец, следующие команды позволяют вам получать предупреждение, когда пространство, предназначенное для оверлея начнёт переполняться:
uwfmgr overlay set-warningthreshold 512 uwfmgr overlay set-criticalthreshold 1024
Следует помнить, что когда весь оверлей заполнен, система он начнёт работать нестабильно или перезапустится.
Следующие команды являются необязательными и позволяют дополнительно активировать исключения или разрешить определенные операции записи в некоторых областях файловой системы и реестра (источник: документация Microsoft ):
Добавьте эти исключения в UWF:
На данный момент, для того, чтобы активировать защиту от записи на диске C: системы Windows 10, просто введите следующие команды:
uwfmgr volume protect C: uwfmgr filter enable
Чтобы прервать защиту от записи и применить «окончательные» изменения на компьютере, необходимо выполнить команду uwfmgr filter disable. После того, как требуемые действия были применены, вам придётся снова использовать команду uwfmgr filter enable из командной строки или окна PowerShell, открытого с правами администратора.
Конфигурация UWF проверяется в любое время с помощью команды get-config uwfmgr.
Наконец, стоит помнить, что в системах, защищенных UWF-защитой, для установки обновлений Microsoft через Центр обновления Windows необходимо использовать следующий синтаксис, а затем перезагрузить компьютер:
uwfmgr servicing enable
После перезагрузки обновления будут автоматически загружены и установлены, после чего система будет перезагружена снова.
Дополнительные сведения о параметрах, которые можно использовать с командой uwfmgr, доступны в этом документе поддержки Microsoft.
Использование функции Объединенного фильтра записи (UWF)
объединенный фильтр записи (UWF) является Windows 10 дополнительным компонентом.
Чтобы использовать UWF, сначала необходимо установить компонент.
Далее вы включите (и при необходимости настроите) функцию. При первом включении UWF на устройстве UWF вносит следующие изменения в систему для повышения производительности UWF:
После включения UWF можно в конечном итоге выбрать диск для защиты и начать использовать UWF.
вы можете установить UWF для запуска компьютеров и устройств, подготовить его для настраиваемых образов Windows или управлять им удаленно с помощью CSP или WMI.
Включение UWF на работающем компьютере
нажмите кнопку пуск, введите включение или отключение компонентов Windows.
в окне Windows функции разверните узел блокировка устройства и проверьте объединенный фильтр записи ок.
в окне Windows функции отображается Windows поиск необходимых файлов и отображение индикатора выполнения. после того как окно будет найдено, оно покажет, Windows применяет изменения. По завершении окно указывает, что запрошенные изменения завершены.
После выполнения этой команды перезагрузите компьютер и выйдите из режима обслуживания, после чего отключаются следующие действия.
После выполнения uwfmgr filter disable перезагрузки компьютера и входа в режим обслуживания изменения будут отменены.
Включить защиту от записи для диска:
Убедитесь, что служба UWF запущена:
установка UWF на настроенном образе Windows
Откройте окно командной строки с правами администратора.
Скопируйте install. wim во временную папку на жестком диске (в следующих шагах предполагается, что он называется К:\вим).
Создайте новый каталог.
Чтобы активировать UWF, можно использовать скрипт командной строки, CSP или WMI.
установка функции UWF с помощью Windows конструктора конфигураций
создайте пакет подготовки в конструкторе конфигураций Windows, следуя инструкциям в разделе создание пакета подготовки.
Чтобы активировать UWF, можно использовать скрипт командной строки, CSP или WMI.
установка функции UWF с помощью инструментарий управления Windows (WMI) (WMI)
После включения или выключения UWF необходимо перезагрузить устройство, прежде чем изменение вступит в силу.
Вы можете изменить эти параметры после включения UWF, если хотите. Например, вы можете переместить расположение файла подкачки на незащищенный том и повторно включить файлы разбиения по страницам.
Если вы добавите UWF в образ с помощью параметров SMI в unattend.xml файле, то при включении UWF задаются только параметры BCD бутстатусполици и отключается служба дефрагментации. В этом случае необходимо вручную отключить другие функции и службы, если требуется повысить производительность UWF.
Все параметры конфигурации для UWF хранятся в реестре. UWF автоматически исключает эти записи реестра из фильтрации.
UWF сохраняет параметры конфигурации в реестре для текущего сеанса и для следующего сеанса после перезапуска устройства. Изменения статической конфигурации вступают в силу только после перезагрузки устройства, и эти изменения сохраняются в записях реестра для следующего сеанса. Динамические изменения конфигурации происходят немедленно и сохраняются после перезапуска устройства.
Расположение и размер наложения Объединенного фильтра записи (UWF)
Объединенный фильтр записи (UWF) защищает содержимое тома, перехватывая попытки записи в защищенный том и перенаправляет эти попытки записи в виртуальный оверлей.
Можно выбрать место хранения оверлея (ОЗУ или диск), объем зарезервированного пространства и то, что происходит при заполнении оверлея.
Чтобы увеличить время бесперебойной работы, настройте мониторинг, чтобы проверить, заполнен ли оверлей. На определенных уровнях устройство может предупредить пользователей и (или) перезагружать устройство.
Наложение ОЗУ и наложение дисков
Наложение ОЗУ (по умолчанию): виртуальный оверлей ХРАНИТСЯ в ОЗУ и удаляется после перезагрузки.
Наложение диска. виртуальный оверлей хранится во временном расположении на диске. По умолчанию наложение удаляется при перезагрузке.
Размер оверлея
При планировании развертывания устройств рекомендуется оптимизировать размер оверлея в соответствии с вашими потребностями.
Для наложения ОЗУ необходимо запланировать некоторый объем ОЗУ для системы. Например, если для операционной системы требуется 2 ГБ ОЗУ, а на устройстве установлено 4 ГБ ОЗУ, установите максимальный размер оверлея равным 2048 МБ (2 ГБ) или меньше.
Мы рекомендуем включить UWF на тестовом устройстве, установить необходимые приложения и разместить устройство с помощью моделирования использования. С помощью этого сценария PowerShell можно узнать, какие файлы потребляют место:
Количество используемых наложения будет зависеть от следующих элементов:
Предупреждения и критические события
Когда наложение диска заполняет доступное пространство, можно предупредить пользователей о нехватке места на диске и запросить перезагрузку устройства или запустить сценарий для очистки наложения.
Установите уровни предупреждений и критические уровни (необязательно). когда наложение заполняет это значение, UWF записывает трассировку событий для Windows (ETW).
Обратите внимание, что эти параметры вступят в силу после следующей перезагрузки.
Используйте планировщик задач, чтобы обнаружить сообщение ETW и предупредить пользователей о том, что их работа на устройстве не потеряет их содержимое, прежде чем наложение будет очищено. Можно также указать ссылку на скрипт, чтобы очистить содержимое наложенного слоя.
Создайте задачи, которые активируются в случае, если системный журнал получает идентификатор события из увфвол:
| Использование оверлея | Источник | Level | Идентификатор события |
|---|---|---|---|
| Пороговое значение предупреждения | uwfvol | Предупреждение | 1 |
| Критическое пороговое значение | uwfvol | Error | 2 |
| Вернуться к нормальному | uwfvol | Сведения | 3 |
Транзитный Freespace (рекомендуется)
На устройствах с наложением дисков можно использовать транзитный диск Freespace для доступа к дополнительному свободному пространству на диске.
Вам по-прежнему потребуется зарезервировать место на диске для наложения. Это пространство используется для управления наложением, а также для хранения перезаписанных данных, таких как обновления системы. Все остальные операции записи отправляются в свободное пространство на диске. Со временем зарезервированный оверлей будет увеличиваться медленнее и медленнее, поскольку перезапись будет просто заменять друг друга.
Постоянный оверлей
Этот режим экспериментальен и рекомендуется тщательно протестировать его перед развертыванием на нескольких устройствах. Этот параметр не используется по умолчанию.
На устройствах с наложением дисков можно продолжить работу с перекрытием данных даже после перезагрузки. Это может быть полезно в ситуациях, когда гостевым пользователям может потребоваться доступ в течение более длительных периодов, а также может потребоваться выключить устройство между использованием.
Этот параметр дает ИТ-отделу больший контроль над моментом сброса оверлея. Вы также можете предоставить пользователям скрипты, которые помогут им сбросить наложение по запросу.
Включение или отключение постоянного наложения:
Нехватка наложения
Если размер наложения близок к максимальному или равному значению максимального размера оверлея, все попытки записи будут завершаться ошибкой, и будет возвращена ошибка, указывающая на то, что недостаточно места для завершения операции. Если наложение на устройстве достигает этого состояния, устройство может перестать отвечать и зависнуть, и вам может потребоваться перезапустить устройство.
когда Windows завершает работу, он пытается записать на диск несколько файлов. если наложение заполнено, эти попытки записи завершаются ошибкой, что приводит к тому, что Windows попытаться повторно записать файлы, пока UWF не определит, что устройство пытается завершить работу и устранить проблему. Попытка завершить работу с помощью обычных методов, когда наложение заполнено или приближается к полной, может привести к длительному завершению работы устройства (в некоторых случаях до часа или больше).
Часто эту ошибку можно избежать, используя UWF для автоматического запуска выключения или перезапуска.