Filter Unified Write (UWF) vo Windows 10

Jednou z užitočných funkcií systému Windows 10 (a systému Windows 8) je prítomnosť špeciálneho filtra na zápis do systému súborov - UWF (Unified write filter). Keď je filter zapnutý a nakonfigurovaný, všetky zmeny súborov a adresárov na diskoch sa vykonávajú v pamäti RAM a po reštartovaní počítača sa resetujú..

Ako funguje filter UWF? Chráni systém súborov vybraných oddielov miestnych diskov pred zmenami transparentným presmerovaním všetkých operácií zápisu do systému súborov do virtuálneho prekrytia v pamäti, v ktorom sa akumulujú všetky zmeny súborov..

Po reštarte systému sa všetky zmeny na chránených diskoch neuložia, t. systém sa vždy vráti do pôvodného stavu v čase, keď je filter UWF zapnutý.

poznámka. V predchádzajúcich verziách systému Windows boli nahrávacie filtre dostupné iba vo vydaniach pre vstavané systémy (Embedded), ktorý sa používal v bankomatoch, POS systémoch, samoobslužných termináloch, priemyselných systémoch atď. Táto funkcia je teraz k dispozícii vo vydaniach. Windows 10 podnik (vrátane LTSB) a Windows 10 vzdelanie, otváranie ďalších scenárov pre používanie systému Windows v podnikoch a vzdelávacích inštitúciách (informačné kiosky, školiace kurzy, demonštračné stánky atď.).

Zápisový filter UWF je samostatnou súčasťou systému a je povolený prostredníctvom ovládacieho panela: Ovládací panel -> Programy a funkcie -> Zapnutie alebo vypnutie funkcií systému Windows -> Uzamknutie zariadenia -> Unified write filter.

Komponent UWF možno nainštalovať aj pomocou PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" -All

Alebo Dism:

DISM.exe / Online / enable-Feature / FeatureName: client-UnifiedWriteFilter

Po nainštalovaní komponentu môžete pomocou tohto nástroja spravovať nastavenia filtra uwfmgr.exe.

Ak chcete povoliť filter UWF, spustite nasledujúci príkaz a reštartujte počítač:

povoliť filter uwfmgr.exe

Keď povolíte filter, automaticky prekonfiguruje systém tak, aby sa eliminovali nepotrebné operácie zápisu na disk (odkladací súbor, body obnovenia, indexovanie súborov, defragmentácia sú vypnuté).

Ak chcete povoliť ochranu proti zápisu pre konkrétnu systémovú jednotku, spustite príkaz:

Chráňte zväzok uwfmgr.exe c:

Teraz musíte reštartovať počítač. Po jeho stiahnutí bude mať všetko, čo používateľ zapíše na disk počas relácie, k dispozícii iba do reštartovania počítača.

Stav filtra UWF môžete skontrolovať príkazom:

uwfmgr.exe get-config

V našom príklade je vidieť, že systémový disk je v chránenom stave (stav zväzku: chránený).

Niektoré súbory, adresáre alebo vetvy registra môžu byť pridané do zoznamu vylúčených filtrov UWF. Zmeny vykonané na týchto objektoch sa zapíšu priamo na disk a nie na prekrytie. Niektoré adresáre a súbory nemožno pridať k výnimkám, napríklad:

  • Súbory registra v adresári \ Windows \ System32 \ config \
  • Drive root
  • Adresáre \ Windows, \ Windows \ System32, \ Windows \ System32 \ Drivers
  • etc.

Ak chcete do výnimiek pridať konkrétny súbor alebo priečinok, spustite príkaz:

Súbor s vylúčením súboru Uwfmgr.exe c: \ student

alebo

Odstránenie súboru Uwfmgr.exe c: \ student \ report.docx

Povolenie zápisu zmien do kľúča databázy Registry:

Vylúčenie registra Uwfmgr.exe „HKLM \ Software \ MyRegKey“

Ak chcete použiť výnimky, musíte reštartovať počítač..

Pri vykonávaní údržby systému (inštalácia aktualizácií, aktualizácia antivírusu, kopírovanie nových súborov) musíte počítač uviesť do špeciálneho servisného režimu:

Povoliť servis Uwfmgr.exe

Počítač sa zavedie s lokálnym účtom UWF-Service a môžete nainštalovať potrebné aktualizácie. Potom sa počítač automaticky reštartuje v normálnom režime so zapnutým filtrom UWF.

Prechod systému do režimu údržby sa dá automatizovať pomocou plánovača úloh.

poznámka. Filter UWF nemožno použiť na ochranu údajov na jednotkách Flash a externých zariadeniach USB. S najväčšou pravdepodobnosťou je zahrnutie ochrany proti zápisu na disky, ako je vymeniteľný, na softvérovej úrovni zakázané. Toto obmedzenie však možno obísť pomocou takéhoto triku..

Pre správnu činnosť niektorých služieb musíte do zoznamu vylúčených filtrov pridať cesty do ich adresárov, súborov a vetiev registra. V nasledujúcom zozname som zhromaždil typické výnimky pre niektoré subsystémy:

výnimky pre BITS:

  • % ALLUSERSPROFILE% \ Microsoft \ Network \ Downloader
  • HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ BITS \ StateIndex

Výnimky pre správnu prevádzku v bezdrôtových sieťach:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Wireless \ GPTWirelessPolicy
  • C: \ Windows \ wlansvc \ Policies
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ wlansvc
  • C: \ ProgramData \ Microsoft \ wlansvc \ Profiles \ Interfaces \ \ . Xml
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Wlansvc
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ WwanSvc

Výnimky pre správnu činnosť v káblových sieťach:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WiredL2 \ GP_Policy
  • C: \ Windows \ dot2svc \ Policies
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ dot3svc
  • C: \ ProgramData \ Microsoft \ dot3svc \ Profiles \ Interfaces \ \ . Xml
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ dot3svc

Výnimky pre program Windows Defender

  • C: \ Program Files \ Windows Defender
  • C: \ ProgramData \ Microsoft \ Windows Defender
  • C: \ Windows \ WindowsUpdate.log
  • C: \ Windows \ Temp \ MpCmdRun.log
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender

Ak chcete úplne vypnúť filter UWF (po reštarte sa všetky zmeny na disku uložia natrvalo)

Filter uwfmgr.exe je zakázaný

Alebo môžete vypnúť ochranu filtra pre konkrétnu sekciu:

Uwfmgr.exe zväzok nechránený C:

Je dôležité. V prípade, že sa systém nespustí z dôvodu operácie typu non-root, môžete filter vypnúť zavedením z bootovacieho disku a upraviť register offline:

  • Začiatok filtra môžete zakázať v vetve HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ uwfvol nastavením hodnoty parametra štart na 4.
  • Odstrániť riadok uwfvol v kľúči HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ Class \ 71a27cdd-812a-11d0-bec7-08002be2092f \ Dolné filtre

Zo zaujímavých scenárov, ktoré umožňuje UWF filter implementovať:

  1. Akcelerácia systému Windows (na disk sa nič nezapisuje a všetky operácie zápisu na disk sa vykonávajú v pamäti RAM)
  2. Keď spustíte Windows na médiu SSD / CompactFlash, môžete vďaka zníženým operáciám zápisu výrazne znížiť opotrebenie disku
  3. Vykonávanie rôznych experimentov, testovanie softvéru tretích strán a štúdium škodlivého softvéru
Kategórie