Как работать с Unified Write Filter (объединенный фильтр записи)

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
24,596
Реакции
13,564
Что это и как работает:
UWF (Unified Write Filter) перехватывает все попытки записи защищенного тома и перенаправляет эти попытки записи на виртуальный оверлей. Это позволит повысить надежность и стабильность вашего ПК и уменьшает износ чувствительных к записи носителей, таких как флэш-память, например твердотельные накопители. Не стоит забывать, что UWF позволит значительно поднять уровень защищенности ПК

Все изменения обычно хранятся в оперативной памяти и очищаются при перезагрузке. Так же кеш можно перенаправить на физический том.

Требования:
Windows 10 Enterprise
(в том числе LTSB) и Windows 10 Education*

Исключения:
Unified Write Filter
нельзя использовать для защиты данных на съемных носителях. Скорее всего на программном уровне запрещено включение защиты от записи для дисков типа Removable.

Как установить:
Существует несколько способов установки UWF:

Установка через компоненты Windows:
  1. Нажмите Win+R, в открывшемся окне наберите appwiz.cpl и нажмите ОК
    upload_2017-11-12_15-21-50.png
  2. В открывшимся окне выберите слева "Включение или отключение компонентов Windows"
    upload_2017-11-12_15-23-25.png
  3. Выберите "Блокировка устройства" => "Объеденный фильтр записи" (в английской версии Windows "Device Lockdown" => "Unified Write Filter") и нажмите кнопку ОК для установки.
    upload_2017-11-12_15-29-47.png
Установка при помощи PowerShell:
Запустите (поиск=>PowerShell) PowerShell от имени администратора и используйте следующий командлет:
PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter"

upload_2017-11-12_16-12-40.png


Установка при помощи DISM:
Запустите поиск => CMD => Запустите консоль от имени администратора и наберите
CMD/BATCH:
DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter
upload_2017-11-12_16-53-3.png



Активация/деактивация фильтра записи.

После установки фильтр необходимо активировать. Для этого мы будем использовать утилиту uwfmgr.exe

PowerShell:
uwfmgr.exe filter enable

upload_2017-11-18_10-43-47.png


Утилита подготовит операционную систему к запуску фильтра, а именно:
  • Отключается служба индексирования файлов.
  • Отключается дефрагментация.
  • Удаляется файл подкачки.
  • Удаляются (и отключается служба) точки восстановления.
Для отключения фильтра и восстановления настроек воспользуйтесь
PowerShell:
uwfmgr.exe filter disable

Настройка защиты и исключения
Для включения защиты раздела необходимо использовать следующую конструкцию
PowerShell:
uwfmgr.exe volume protect x:
Где х буква защищаемого диска
upload_2017-11-18_11-42-8.png


Внесение исключений:
В случае если необходимо внести некоторые папки (где х: защищаемый диск)
PowerShell:
Uwfmgr.exe file add-exclusion  х:\путь_к_папке

файлу
PowerShell:
Uwfmgr.exe file add-exclusion  c:\путь_к_папке\имя_файла.txt

или ключу реестра
PowerShell:
Uwfmgr.exe registry add-exclusion “HKEY_LOCAL_MACHINE\SYSTEM\MyRegKey”

После внесения исключений изменения будут сохраняться на жесткий диск. Для более комфортной работы и исключения проблем с работой служб рекомендуется внести в исключения следующие параметры:

Для верной работы BITS
  • % ALLUSERSPROFILE%\Microsoft\Network\Downloader
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\BITS\StateIndex
Для нормальной работы в беспроводных сетях:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy
  • C:\Windows\wlansvc\Policies
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc
  • C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces\{<Interface GUID>}\{<Profile GUID>}.xml
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc
Для корректной работы в проводных сетях:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy
  • C:\Windows\dot2svc\Policies
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc
  • C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces\{<Interface GUID>}\{<Profile GUID>}.xml
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc
Для корректной работы Защитника Windows:
  • C:\Program Files\Windows Defender
  • C:\ProgramData\Microsoft\Windows Defender
  • C:\Windows\WindowsUpdate.log
  • C:\Windows\Temp\MpCmdRun.log
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
Режим обслуживания:
Режим защиты включили и настроили, но как внести изменения в настройки или обновить операционную систему, MS позаботились о том, чтоб внести изменения можно без "отключения защиты"

Для включения режима обслуживания необходимо воспользоваться командой:
PowerShell:
Uwfmgr.exe servicing enable

upload_2017-11-18_15-28-45.png

Для принудительного отключения режима обслуживания:
PowerShell:
Uwfmgr.exe servicing disable
upload_2017-11-18_15-30-22.png


Для установки обновлений ОС:
PowerShell:
Uwfmgr.exe servicing Update-Windows
upload_2017-11-18_15-26-54.png


Как проверить статус службы Unified Write Filter:
PowerShell:
uwfmgr.exe get-config

Команда| Параметр| Описание
Get-Config| | Отображение параметров конфигурации UWF для текущего и следующего сеанса.
Filter| |Настройка основных параметров UWF
| Help или ?|Отображение параметров конфигурации UWF для текущего и следующего сеанса
| Enable| Включает защиту UWF в следующей сессии после перезагрузки системы.
| Disable| Отключение защиты UWF в следующей сессии после перезагрузки системы.
| Enable-HORM| Включение режима HORM
| Disable-HORM| Выключение режима HORM
| Reset-Settings| Сброс всех настроек в UWF в исходное состояние
Volume|| Задание параметров для томов, защищенных UWF
| Help или ?| Вывод в командной строке справки для uwfmgr.exe команд для работы с томом.
| Get-Config {<volume> или all} |Показывает параметры конфигурации и исключения файлов для указанного тома, или все тома. Отображение информации как для текущей и следующей сессии.
| Protect {<volume> или all}| Добавляет указанный том к списку томов, защищенных UWF. UWF начинает защиту после следующего перезапуска системы, когда фильтр UWF включен.
| Unprotect <volume> |Удаляет указанный том из списка томов, защищенных UWF. UWF перестает защищать том после следующего перезапуска системы.
File|| Задание параметров исключаемых файлов для UWF.
| Help или ? |Вывод в командной строке справки для uwfmgr.exe команд для работы с файлами.
|Get-Exclusions {<volume> или all}| Отображает все файлы и каталоги в списке исключений для указанного тома, или все тома, если все указано. Отображение информации как для текущей, так и для следующей сессии.
| Add-Exclusion <file> |Добавляет указанный файл в список исключений файла тома защищенного UWF. UWF начинает исключать файл из фильтрации после перезапуска системы.
|Remove-Exclusion <file> |Удаляет указанный файл из списка исключений файла тома защищенного UWF. UWF перестает исключать файл из фильтрации после перезапуска системы.
| Commit <file>| Подтверждает изменения в указанном файле для UWF-защищенного тома (нужны права администратора).
Registry|| Настройка параметров реестра параметры исключения для UWF.
|Help или ? |Вывод в командной строке справки для uwfmgr.exe команд для работы с реестром.
| Get-Exclusions |Отображает все ключи реестра в списке реестра исключений. Отображение информации как для текущей, так и для следующей сессии.
| Add-Exclusion <key> |Добавляет указанный ключ реестра в списке исключений реестра для UWF. UWF начинает исключать раздел реестра из фильтрации после перезапуска системы.
| Remove-Exclusion <key> |Удаляет указанный ключ реестра из списка исключений реестра для UWF. UWF перестает исключать раздел реестра из фильтрации после перезапуска системы.
|Commit <key> <value>| Фиксирует изменения в указанный ключом и значением (нужны права администратора)
Overlay|| Задание параметров для оверлея UWF.
| Help или ? |Вывод в командной строке справки для uwfmgr.exe команд для оверлея.
| Get-Config |Параметры конфигурации экрана для оверлея UWF. Отображение информации как для текущей, так и для следующей сессии.
| Get-AvailableSpace| Отображает объем пространства, который доступен для оверлея UWF
| Get-Consumption |Отображает объем пространства, используемого в настоящем оверлее UWF
|Get-Files {<drive> или <volume>}| Показывает список файлов тома, которые в кэше в UWF оверлея. Том может быть определен либо как буква диска, либо имя тома. Эта команда предназначена для использования в качестве диагностического инструмента
|Set-Size <size>| Устанавливает максимальный размер оверлея UWF, в МБ в следующей сессии после перезагрузки системы.
|Set-Type {RAM или DISK} |Устанавливает способ хранения оверлея (оперативная память или жесткий диск). Чтобы установить оверлей на диск UWF должен быть отключен в текущей сессии.
|Set-WarningThreshold <size> |Устанавливает размер оверлея в МБ, при которой выдается предупреждающее уведомление для текущей сессии.
| Set-CriticalThreshold <size>| Устанавливает размер оверлея, в МБ, при которой выдается критическое уведомление о текущей сессии.
Servicing|| Задание параметров для режима обслуживания UWF.
| Enable| Включает режим обслуживания в следующей сессии после перезапуска (нужны права администратора).
| Disable| Выключает режим обслуживания в следующей сессии после перезапуска (нужны права администратора).
| Update-Windows| Команда устройству для обновления Windows (нужны права администратора). Microsoft рекомендуем использовать эту команду для обслуживания UWF-защищенного устройства когда это возможно.
| Get-Config |Отображает UWF информацию о режиме обслуживания для текущей и следующей сессии.
| Help |Справка о режиме обслуживания UWF.

В случае если после включения защиты не удается запустить Windows (из-за ошибок UWF), то необходимо внести следующие изменения в реестре проблемной машины (инструкция: Как работать с реестром неактивной системы)
  1. Отключим запуск фильтра изменив значения параметра start на 4 в ветке
    Код:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol
  2. Удалим значение uwfvol в ветке
    Код:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower Filters
Источники
https://docs.microsoft.com/
http://winitpro.ru/
http://web-profi.by
 
Последнее редактирование:
Интересно. Если я правильно понял, это превращает ОС в песочницу. Подобно Shadow Defender.
 
Назад
Сверху Снизу