Uwf фильтр что это
Фильтр защиты от записи на диск Unified Write Filter (UWF) в Windows 10
UWF (Unified Write Filter — объединенный фильтр записи) – это специальный фильтр записи файловой системы в Windows 10, который позволяет защитить системные файлы Windows и данные на диске от любых изменений. При включенном UWF фильтре любые операции записи на защищаемый диск или в системный реестр перехватываются драйвером UWF фильтра и помещаются в отдельное виртуально пространство (оверлей). После перезагрузки Windows все изменения на защищаемых дисках не сохраняются, т.е. Windows всегда возвращается к исходному состоянию на момент включения фильтра UWF.
Как работает фильтр UWF? Он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, который хранит все изменения.
Как включить и настроить Unified Write Filter в Windows 10
Также можно установить компонент UWF с помощью PowerShell:
DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter
Для управления настройками UWF используется консольная утилита uwfmgr.exe.
Чтобы включить UWF фильтр в Windows 10, выполните следующую команду и перезагрузите компьютер:
uwfmgr.exe filter enable 
При включении фильтра, Windows автоматически перенастраивается так, чтобы исключить лишние операций записи на диск (отключаются файл подкачки, точки восстановления, индексирование файлов, дефрагментация).
Чтобы включить защиту от записи для конкретного диска, выполните команду:
uwfmgr.exe volume protect c:
Теперь нужно перезагрузить компьютер. После его загрузки все, что пользователь запишет на диск за время сессии будет доступно только до момента следующей перезагрузки компьютера. Любые изменения будут сброшены.
Проверить состояние UWF фильтра можно командой:
В нашем примере видной, что системный диск находится в защищенном состоянии, UWF фильтр включен (Volume state: Protected).
Текущие настройки оверлея, в котором UWF хранит временные данные можно вывести с помощью команды:
uwfmgr overlay get-config
Вы можете настроить следующие параметры:
По умолчанию используется RAM оверлей с размером 1 Гб.
Можно изменить эти настройки (если у вас достаточно свободной RAM):
uwfmgr overlay set-size 8192
uwfmgr overlay set-criticalthreshold 8192
uwfmgr overlay set-warningthreshold 7168
Если нужно использовать оверлей на диске, выполните команду:
uwfmgr overlay set-type Disk
Текущий размер данных в оверлее можно вывести так:
uwfmgr overlay get-consumption
uwfmgr overlay get-availablespace
Обслуживание Windows 10 с включенным фильтром UWF
При выполнении обслуживания системы (установка обновлений, обновление антивирусных сигнатур, копирование новых файлов), нужно перевести компьютер в специальный сервисный режим UWF:
uwfmgr servicing enable
После перезагрузки Windows загрузится под локальной учетной записью UWF-Servicing и автоматически установит доступные обновления Windows (через Windows Update или одобренные обновления WSUS), обновит сигнатуры антивируса. При желании, вы сможете войти на компьютер под учетной записью UWF-Servicing (пароль этого пользователя неизвестен, но можно сменить его).
При автовходе пользователя запускается uwfservicingshell.exe и запускает скрипты обслуживания Windows 10. Что-то другое выполнить в сервисном режиме нельзя.
После завершения установки обновлений, компьютер автоматически перезагрузится в нормальном режиме с включенным фильтром UWF.
Вы можете установить обновления Windows и из обычного режима, без перехода в режим Servicing. Воспользуйтесь командой:
uwfmgr servicing update-windows
Добавление исключений в фильтр записи UWF
Если вам нужно принудительно сохранить на диск некий изменённый файл при включенном фильтре UWF, нужно выполнить команду:
uwfmgr file commit C:\Distr\TestFile.txt
Теперь файл не исчезнет, даже если вы перезагрузите Windows.
Чтобы удалить файл при включенном UWF, используйте команду:
uwfmgr file commit-delete C:\Distr\TestFile.txt
Вы можете добавить определенные файлы, каталоги или ветки реестра в исключения фильтра UWF. Любые изменения по таким объектам будут записывать напрямую на диск, а не в оверлей.
Чтобы добавить в исключения конкретный файл или папку, выполните команду:
Uwfmgr.exe file add-exclusion c:\student
Uwfmgr.exe file add-exclusion c:\student\report.docx
Чтобы разрешить запись изменений в ключ реестра:
Uwfmgr.exe registry add-exclusion “HKLM\Software\MyRegKey”
Для применения исключений нужно перезагрузить компьютер.
Чтобы вывести список исключений UWF фильтра, выполните команду:
uwfmgr file get-exclusions
Для удаления файла из исключений, выполните команду:
uwfmgr file remove-exclusion c:\student\report.docx
Некоторые системные каталоги и файлы нельзя добавить в исключения, например:
Для корректной работы некоторых служб необходимо добавить в список исключений фильтра записи пути к их каталогам, файлам и веткам реестра. В следующем списке я собрал типовые исключения для некоторых подсистем Windows:
Исключения для BITS:
Исключения для корректной работы в беспроводных сетях (данные исключения позволят подключаться к Wi-Fi сетям и сохранять WLAN профили):
Исключения для корректной работы в проводных сетях:
Исключения для Windows Defender
Отключение фильтра UWF, сброс настроек
Вы можете сбросить настройки UWF фильтра к начальным (на момент включения фильтра):
uwfmgr filter reset-settings
Чтобы полностью отключить UWF фильтр (после перезагрузки все изменения на диске будут сохраняться):
uwfmgr.exe filter disable
Либо можно отключить защиту фильтра конкретного раздела:
uwfmgr.exe volume unprotect C:
Режим Hibernate Once/Resume Many (HORM) в UWF
Начиная с Windows 10 1709 появился еще один режим работы фильтра UWF – Hibernate Once/Resume Many (HORM). Этот режим позволяет быстро получить состояние Windows с запущенными программами. При каждой загрузке компьютера Windows сразу возвращается к этому состоянию.
Ограничения режима HORM:
Для включения HORM нужно выполнить команду:
uwfmgr filter enable-horm
Настройте рабочее окружение пользователя (запустите необходимые приложения, откройте файлы и т.д.). Затем переведите компьютер в режим гибернации командой:
Разбудите компьютер и перезагрузите его. При следующей перезагрузке Windows 10 сразу запустится в состоянии, хранящемся в файле гибернации.
Для отключения HORM выполните команду:
uwfmgr filter disable-horm
Из интересных сценариев, возможность реализации которых предоставляет фильтр UWF:
Что такое фильтр записей в Windows 10 и как им воспользоваться
Сохраните настройки, нажав «OK» и перезагрузите компьютер.
Включить фильтр можно также с помощью PowerShell или консольной утилиты Dism, выполнив в запущенной с повышенными привилегиями консоли CMD команду:
Защита вступает в силу после перезагрузки компьютера. В состоянии защиты будут отключены файл подкачки, автоматическая дефрагментация, индексирование и создание системных точек восстановления. Помимо включения самого фильтра, нужно указать защищаемый том, например, системный раздел C.
uwfmgr.exe volume protect C:
А теперь внимание. При использовании фильтр записей некоторые службы могут начать работать некорректно. Чтобы этого избежать, их нужно будет добавить в список исключений. Список исключаемых подсистем вы можете скачать по ссылке yadi.sk/i/0-X7WdAh3NX5GL. Чтобы добавить в исключения папку/файл или ключ реестра, необходимо выполнить такие команды:
Uwfmgr.exe file add-exclusion C:\Путь_к_папке\файлу
Uwfmgr.exe registry add-exclusion «ключ_реестра»
Использовать фильтр записей в Windows мы не советовали по той причине, что он может работать некорректно. Если вдруг после включения UWF у вас перестала загружаться система, необходимо будет загрузиться с установочного диска Windows и, получив доступ к реестру, отредактировать эти два ключа:
В первом ключе нужно изменить значение параметра start на 4, во втором удалить строку uwfvol. Также можно попробовать прибегнуть к откату с помощью системных точек восстановления.
Расположение и размер наложения Объединенного фильтра записи (UWF)
Объединенный фильтр записи (UWF) защищает содержимое тома, перехватывая попытки записи в защищенный том и перенаправляет эти попытки записи в виртуальный оверлей.
Можно выбрать место хранения оверлея (ОЗУ или диск), объем зарезервированного пространства и то, что происходит при заполнении оверлея.
Чтобы увеличить время бесперебойной работы, настройте мониторинг, чтобы проверить, заполнен ли оверлей. На определенных уровнях устройство может предупредить пользователей и (или) перезагружать устройство.
Наложение ОЗУ и наложение дисков
Наложение ОЗУ (по умолчанию): виртуальный оверлей ХРАНИТСЯ в ОЗУ и удаляется после перезагрузки.
Наложение диска. виртуальный оверлей хранится во временном расположении на диске. По умолчанию наложение удаляется при перезагрузке.
Размер оверлея
При планировании развертывания устройств рекомендуется оптимизировать размер оверлея в соответствии с вашими потребностями.
Для наложения ОЗУ необходимо запланировать некоторый объем ОЗУ для системы. Например, если для операционной системы требуется 2 ГБ ОЗУ, а на устройстве установлено 4 ГБ ОЗУ, установите максимальный размер оверлея равным 2048 МБ (2 ГБ) или меньше.
Мы рекомендуем включить UWF на тестовом устройстве, установить необходимые приложения и разместить устройство с помощью моделирования использования. С помощью этого сценария PowerShell можно узнать, какие файлы потребляют место:
Количество используемых наложения будет зависеть от следующих элементов:
Предупреждения и критические события
Когда наложение диска заполняет доступное пространство, можно предупредить пользователей о нехватке места на диске и запросить перезагрузку устройства или запустить сценарий для очистки наложения.
Установите уровни предупреждений и критические уровни (необязательно). когда наложение заполняет это значение, UWF записывает трассировку событий для Windows (ETW).
Обратите внимание, что эти параметры вступят в силу после следующей перезагрузки.
Используйте планировщик задач, чтобы обнаружить сообщение ETW и предупредить пользователей о том, что их работа на устройстве не потеряет их содержимое, прежде чем наложение будет очищено. Можно также указать ссылку на скрипт, чтобы очистить содержимое наложенного слоя.
Создайте задачи, которые активируются в случае, если системный журнал получает идентификатор события из увфвол:
| Использование оверлея | Источник | Уровень | Идентификатор события |
|---|---|---|---|
| Пороговое значение предупреждения | uwfvol | Предупреждение | 1 |
| Критическое пороговое значение | uwfvol | Error | 2 |
| Вернуться к нормальному | uwfvol | Сведения | 3 |
Транзитный Freespace (рекомендуется)
На устройствах с наложением дисков можно использовать транзитный диск Freespace для доступа к дополнительному свободному пространству на диске.
Вам по-прежнему потребуется зарезервировать место на диске для наложения. Это пространство используется для управления наложением, а также для хранения перезаписанных данных, таких как обновления системы. Все остальные операции записи отправляются в свободное пространство на диске. Со временем зарезервированный оверлей будет увеличиваться медленнее и медленнее, поскольку перезапись будет просто заменять друг друга.
Постоянный оверлей
Этот режим экспериментальен и рекомендуется тщательно протестировать его перед развертыванием на нескольких устройствах. Этот параметр не используется по умолчанию.
На устройствах с наложением дисков можно продолжить работу с перекрытием данных даже после перезагрузки. Это может быть полезно в ситуациях, когда гостевым пользователям может потребоваться доступ в течение более длительных периодов, а также может потребоваться выключить устройство между использованием.
Этот параметр дает ИТ-отделу больший контроль над моментом сброса оверлея. Вы также можете предоставить пользователям скрипты, которые помогут им сбросить наложение по запросу.
Включение или отключение постоянного наложения:
Нехватка наложения
Если размер наложения близок к максимальному или равному значению максимального размера оверлея, все попытки записи будут завершаться ошибкой, и будет возвращена ошибка, указывающая на то, что недостаточно места для завершения операции. Если наложение на устройстве достигает этого состояния, устройство может перестать отвечать и зависнуть, и вам может потребоваться перезапустить устройство.
когда Windows завершает работу, он пытается записать на диск несколько файлов. если наложение заполнено, эти попытки записи завершаются ошибкой, что приводит к тому, что Windows попытаться повторно записать файлы, пока UWF не определит, что устройство пытается завершить работу и устранить проблему. Попытка завершить работу с помощью обычных методов, когда наложение заполнено или приближается к полной, может привести к длительному завершению работы устройства (в некоторых случаях до часа или больше).
Часто эту ошибку можно избежать, используя UWF для автоматического запуска выключения или перезапуска.
Использование функции Объединенного фильтра записи (UWF)
объединенный фильтр записи (UWF) является Windows 10 дополнительным компонентом.
Чтобы использовать UWF, сначала необходимо установить компонент.
Далее вы включите (и при необходимости настроите) функцию. При первом включении UWF на устройстве UWF вносит следующие изменения в систему для повышения производительности UWF:
После включения UWF можно в конечном итоге выбрать диск для защиты и начать использовать UWF.
вы можете установить UWF для запуска компьютеров и устройств, подготовить его для настраиваемых образов Windows или управлять им удаленно с помощью CSP или WMI.
Включение UWF на работающем компьютере
нажмите кнопку пуск, введите включение или отключение компонентов Windows.
в окне Windows функции разверните узел блокировка устройства и проверьте объединенный фильтр записи ок.
в окне Windows функции отображается Windows поиск необходимых файлов и отображение индикатора выполнения. после того как окно будет найдено, оно покажет, Windows применяет изменения. По завершении окно указывает, что запрошенные изменения завершены.
После выполнения этой команды перезагрузите компьютер и выйдите из режима обслуживания, после чего отключаются следующие действия.
После выполнения uwfmgr filter disable перезагрузки компьютера и входа в режим обслуживания изменения будут отменены.
Включить защиту от записи для диска:
Убедитесь, что служба UWF запущена:
установка UWF на настроенном образе Windows
Откройте окно командной строки с правами администратора.
Скопируйте install. wim во временную папку на жестком диске (в следующих шагах предполагается, что он называется К:\вим).
Создайте новый каталог.
Чтобы активировать UWF, можно использовать скрипт командной строки, CSP или WMI.
установка функции UWF с помощью Windows конструктора конфигураций
создайте пакет подготовки в конструкторе конфигураций Windows, следуя инструкциям в разделе создание пакета подготовки.
Чтобы активировать UWF, можно использовать скрипт командной строки, CSP или WMI.
установка функции UWF с помощью инструментарий управления Windows (WMI) (WMI)
После включения или выключения UWF необходимо перезагрузить устройство, прежде чем изменение вступит в силу.
Вы можете изменить эти параметры после включения UWF, если хотите. Например, вы можете переместить расположение файла подкачки на незащищенный том и повторно включить файлы разбиения по страницам.
Если вы добавите UWF в образ с помощью параметров SMI в unattend.xml файле, то при включении UWF задаются только параметры BCD бутстатусполици и отключается служба дефрагментации. В этом случае необходимо вручную отключить другие функции и службы, если требуется повысить производительность UWF.
Все параметры конфигурации для UWF хранятся в реестре. UWF автоматически исключает эти записи реестра из фильтрации.
UWF сохраняет параметры конфигурации в реестре для текущего сеанса и для следующего сеанса после перезапуска устройства. Изменения статической конфигурации вступают в силу только после перезагрузки устройства, и эти изменения сохраняются в записях реестра для следующего сеанса. Динамические изменения конфигурации происходят немедленно и сохраняются после перезапуска устройства.
UWF_Filter
Включает UWF при следующей перезагрузке.
Отключает UWF при следующей перезагрузке.
Восстанавливает параметры UWF в исходное состояние, которое было захвачено во время установки.
Безопасно завершает работу системы, защищенной UWF, даже если наложение заполнено.
Безопасно перезапускает систему, защищенную UWF, даже если наложение заполнено.
Свойства
Уникальный идентификатор. Всегда имеет значение UWF_Filter.
куррентенаблед
Указывает, включен ли UWF для текущего сеанса.
некстенаблед
Указывает, включена ли UWF после следующей перезагрузки.
Remarks
Для внесения изменений в параметры конфигурации UWF необходимо использовать учетную запись администратора. Пользователи с любым типом учетной записи могут читать текущие параметры конфигурации.
Пример
В следующем примере показано, как включить или отключить UWF с помощью поставщика WMI в сценарии PowerShell.
Скрипт PowerShell создает три функции, которые помогают включить или отключить UWF. Затем демонстрируется использование каждой функции.
Требования
| Выпуск для Windows | Поддерживается |
|---|---|
| Windows 10 Домашняя | нет |
| Windows 10 Pro | Нет |
| Windows 10 Корпоративная | Да |
| Windows 10 для образовательных учреждений | Да |
Связанные темы
Включает или отключает Объединенный фильтр записи (UWF), сбрасывает параметры конфигурации для UWF и завершает работу или перезапускает устройство.
Синтаксис
Члены
В следующих таблицах перечислены все методы и свойства, принадлежащие этому классу.