Защита дисков от перезаписи с помощью UWF (Unified Write Filter) Windows 10
Виртуальные машины, несомненно, один из лучших способов избежать изменений на хост-системе. Использование, так называемых, снимков помогает восстановить предыдущую конфигурацию виртуальной машины, чтобы быстро отменить внесенные изменения.
Если вы не хотите использовать виртуальные машины или использовать новую «песочницу» Windows 10, полезно знать, что операционная система Microsoft предлагает «стандартную» функция под названием UWF (Унифицированный фильтр записи).
Это программный компонент, который активирует защиту от записи на жестких дисках и твердотельных накопителях: все попытки записи, сделанные, например, установленными приложениями пресекаются, но данные автоматически сохраняются в защищенной области. Когда машина перезагружается, вся информация, записанная на устройствах хранения при включенном UWF, автоматически удаляется.
UWF интегрирован не только в версии Windows 10 для предприятий и учебных заведений, но и в версию Pro операционной системы.
Перед использованием UWF, который следует понимать как программный компонент, предназначенный для профессионалов, разработчиков и тестировщиков, мы предлагаем провести тесты на тех компьютерах, которые не используются в рабочих целях.
Установите UWF, чтобы включить защиту от записи
Установить и настроить UWF на компьютере с Windows 10 довольно просто. Вы можете воспользоваться одним из трёх способов, предложенных ниже:
Затем введите команду dism /online /enable-feature /FeatureName:client-DeviceLockdown /FeatureName:client-UnifiedWriteFilter
Как защитить от записи диск, содержащий Windows 10
На этом этапе – после установки UWF на компьютере с Windows 10 – можно защитить блок операционной системы от записи (предположим, что это C: ), но также возможно защитить и другие блоки, помеченные разными идентификационными буквами.
Для этого просто откройте командную строку или PowerShell с правами администратора, как показано выше, затем выберите место, где будет создаваться так называемый оверлей, т.е. область, в которой будут записывать изменения от приложений и операционной системы. Вы можете выбрать оперативную память или жесткий диск:
uwfmgr overlay set-type RAM uwfmgr overlay set-type Disk
Чтобы использовать RAM, вам понадобится ПК с хорошим запасом энергозависимой памяти.
Следующая команда позволяет вам определить, сколько памяти (энергозависимой или энергонезависимой) выделить под оверлей:
uwfmgr overlay set-size 20480
Если вы выбрали диск, команда выделит 20 ГБ дискового пространства (или SSD) для временной записи изменений (значение 20480 получается из простого умножения 1024 МБ × 20).
Наконец, следующие команды позволяют вам получать предупреждение, когда пространство, предназначенное для оверлея начнёт переполняться:
uwfmgr overlay set-warningthreshold 512 uwfmgr overlay set-criticalthreshold 1024
Следует помнить, что когда весь оверлей заполнен, система он начнёт работать нестабильно или перезапустится.
Следующие команды являются необязательными и позволяют дополнительно активировать исключения или разрешить определенные операции записи в некоторых областях файловой системы и реестра (источник: документация Microsoft ):
Добавьте эти исключения в UWF:
На данный момент, для того, чтобы активировать защиту от записи на диске C: системы Windows 10, просто введите следующие команды:
uwfmgr volume protect C: uwfmgr filter enable
Чтобы прервать защиту от записи и применить «окончательные» изменения на компьютере, необходимо выполнить команду uwfmgr filter disable. После того, как требуемые действия были применены, вам придётся снова использовать команду uwfmgr filter enable из командной строки или окна PowerShell, открытого с правами администратора.
Конфигурация UWF проверяется в любое время с помощью команды get-config uwfmgr.
Наконец, стоит помнить, что в системах, защищенных UWF-защитой, для установки обновлений Microsoft через Центр обновления Windows необходимо использовать следующий синтаксис, а затем перезагрузить компьютер:
uwfmgr servicing enable
После перезагрузки обновления будут автоматически загружены и установлены, после чего система будет перезагружена снова.
Дополнительные сведения о параметрах, которые можно использовать с командой uwfmgr, доступны в этом документе поддержки Microsoft.
Использование функции Объединенного фильтра записи (UWF)
объединенный фильтр записи (UWF) является Windows 10 дополнительным компонентом.
Чтобы использовать UWF, сначала необходимо установить компонент.
Далее вы включите (и при необходимости настроите) функцию. При первом включении UWF на устройстве UWF вносит следующие изменения в систему для повышения производительности UWF:
После включения UWF можно в конечном итоге выбрать диск для защиты и начать использовать UWF.
вы можете установить UWF для запуска компьютеров и устройств, подготовить его для настраиваемых образов Windows или управлять им удаленно с помощью CSP или WMI.
Включение UWF на работающем компьютере
нажмите кнопку пуск, введите включение или отключение компонентов Windows.
в окне Windows функции разверните узел блокировка устройства и проверьте объединенный фильтр записи ок.
в окне Windows функции отображается Windows поиск необходимых файлов и отображение индикатора выполнения. после того как окно будет найдено, оно покажет, Windows применяет изменения. По завершении окно указывает, что запрошенные изменения завершены.
После выполнения этой команды перезагрузите компьютер и выйдите из режима обслуживания, после чего отключаются следующие действия.
После выполнения uwfmgr filter disable перезагрузки компьютера и входа в режим обслуживания изменения будут отменены.
Включить защиту от записи для диска:
Убедитесь, что служба UWF запущена:
установка UWF на настроенном образе Windows
Откройте окно командной строки с правами администратора.
Скопируйте install. wim во временную папку на жестком диске (в следующих шагах предполагается, что он называется К:\вим).
Создайте новый каталог.
Чтобы активировать UWF, можно использовать скрипт командной строки, CSP или WMI.
установка функции UWF с помощью Windows конструктора конфигураций
создайте пакет подготовки в конструкторе конфигураций Windows, следуя инструкциям в разделе создание пакета подготовки.
Чтобы активировать UWF, можно использовать скрипт командной строки, CSP или WMI.
установка функции UWF с помощью инструментарий управления Windows (WMI) (WMI)
После включения или выключения UWF необходимо перезагрузить устройство, прежде чем изменение вступит в силу.
Вы можете изменить эти параметры после включения UWF, если хотите. Например, вы можете переместить расположение файла подкачки на незащищенный том и повторно включить файлы разбиения по страницам.
Если вы добавите UWF в образ с помощью параметров SMI в unattend.xml файле, то при включении UWF задаются только параметры BCD бутстатусполици и отключается служба дефрагментации. В этом случае необходимо вручную отключить другие функции и службы, если требуется повысить производительность UWF.
Все параметры конфигурации для UWF хранятся в реестре. UWF автоматически исключает эти записи реестра из фильтрации.
UWF сохраняет параметры конфигурации в реестре для текущего сеанса и для следующего сеанса после перезапуска устройства. Изменения статической конфигурации вступают в силу только после перезагрузки устройства, и эти изменения сохраняются в записях реестра для следующего сеанса. Динамические изменения конфигурации происходят немедленно и сохраняются после перезапуска устройства.
использование объединенного фильтра записи (UWF) на Windows 10 IoT Базовая
Объединенный фильтр записи (UWF) — это функция, которая защищает носители физического хранилища от операций записи данных. UWF перехватывает все попытки операций записи на защищенный том, и перенаправляет их на виртуальный слой. Это повышает надежность и стабильность устройства и снижает износ чувствительных к записи носителей, например носителей с флэш-памятью, таких как твердотельные накопители.
установка UWF на устройстве под Windows 10 IoT Базовая
если у вас еще нет текущей версии комплектов Windows 10 IoT Базовая, скачайте и установите Windows 10 IoT Базовая пакеты.
на основе архитектуры устройства скопируйте пакеты UWF ( Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab и Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab ) с компьютера ( C:\Program Files (x86)\Windows Kits\10\MSPackages\Retail\\fre\ ) на устройство (например, с Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab к файлам).
запустите SSH или PowerShell и получите доступ к устройству, на котором работает Windows 10 IoT Базовая.
С помощью SSH или PowerShell выполните следующие действия.
Устройство будет загружаться в ОС обновления, устанавливать компоненты UWF и перезагружаться в Маинос.
Когда устройство возвращается к Маинос, функция UWF готова и доступна для использования. Это можно проверить, введя uwfmgr.exe в окно PowerShell или SSH.
Как включить UWF в пользовательский ФФУ
Как использовать UWF
UWF можно настроить с помощью средства uwfmgr.exe через сеанс PowerShell или SSH. Средство чтения для доступных параметров с исключением некоторых перечисленных ниже команд, которые не поддерживаются в IOT Core. Проверьте параметры конфигурации наложения по умолчанию и адаптируйте их в соответствии с вашими требованиями.
Кроме того, UWF можно настроить через канал MDM с помощью Объединенного фильтра записи CSP.
Например, приведенные ниже сочетания команд позволяют увфмгр и настроить защиту диска C.
uwfmgr.exe filter enable Включает фильтр записи
uwfmgr.exe volume protect c: Защищает том C
shutdown /r /t 0 Перезапускает устройство, чтобы параметры фильтра записи были эффективными.
Защита тома данных
Объем данных в IoT Core можно защитить с помощью идентификатора GUID для тома. Идентификатор GUID доступных томов можно найти с помощью следующей команды:
dir /AL
uwfmgr.exe volume protect \\?\Volume
Рекомендуемые исключения
при защите тома данных рекомендуется добавлять исключения для папок обслуживания и ведения журнала, доступ к которым осуществляется Windows службах операционной системы.
Чтобы добавить исключения, сделайте следующее: uwfmgr.exe file Add-Exclusion
Обслуживание защищенных устройств UWF
запуск Windows 10 IoT Базовая выпуск 1709, версия 16299, основной том ос (C:) можно защищать с помощью UWF и обслуживать автоматически без каких бы то ни было особых действий.
Для обслуживания защищенных томов данных с защищаемыми томами необходимо выполнить следующие действия.
Неподдерживаемые команды uwfmgr.exe
Режим обслуживания UWF не поддерживается в IOT Core.
Расположение и размер наложения Объединенного фильтра записи (UWF)
Объединенный фильтр записи (UWF) защищает содержимое тома, перехватывая попытки записи в защищенный том и перенаправляет эти попытки записи в виртуальный оверлей.
Можно выбрать место хранения оверлея (ОЗУ или диск), объем зарезервированного пространства и то, что происходит при заполнении оверлея.
Чтобы увеличить время бесперебойной работы, настройте мониторинг, чтобы проверить, заполнен ли оверлей. На определенных уровнях устройство может предупредить пользователей и (или) перезагружать устройство.
Наложение ОЗУ и наложение дисков
Наложение ОЗУ (по умолчанию): виртуальный оверлей ХРАНИТСЯ в ОЗУ и удаляется после перезагрузки.
Наложение диска. виртуальный оверлей хранится во временном расположении на диске. По умолчанию наложение удаляется при перезагрузке.
Размер оверлея
При планировании развертывания устройств рекомендуется оптимизировать размер оверлея в соответствии с вашими потребностями.
Для наложения ОЗУ необходимо запланировать некоторый объем ОЗУ для системы. Например, если для операционной системы требуется 2 ГБ ОЗУ, а на устройстве установлено 4 ГБ ОЗУ, установите максимальный размер оверлея равным 2048 МБ (2 ГБ) или меньше.
Мы рекомендуем включить UWF на тестовом устройстве, установить необходимые приложения и разместить устройство с помощью моделирования использования. С помощью этого сценария PowerShell можно узнать, какие файлы потребляют место:
Количество используемых наложения будет зависеть от следующих элементов:
Предупреждения и критические события
Когда наложение диска заполняет доступное пространство, можно предупредить пользователей о нехватке места на диске и запросить перезагрузку устройства или запустить сценарий для очистки наложения.
Установите уровни предупреждений и критические уровни (необязательно). когда наложение заполняет это значение, UWF записывает трассировку событий для Windows (ETW).
Обратите внимание, что эти параметры вступят в силу после следующей перезагрузки.
Используйте планировщик задач, чтобы обнаружить сообщение ETW и предупредить пользователей о том, что их работа на устройстве не потеряет их содержимое, прежде чем наложение будет очищено. Можно также указать ссылку на скрипт, чтобы очистить содержимое наложенного слоя.
Создайте задачи, которые активируются в случае, если системный журнал получает идентификатор события из увфвол:
| Использование оверлея | Источник | Level | Идентификатор события |
|---|---|---|---|
| Пороговое значение предупреждения | uwfvol | Предупреждение | 1 |
| Критическое пороговое значение | uwfvol | Error | 2 |
| Вернуться к нормальному | uwfvol | Сведения | 3 |
Транзитный Freespace (рекомендуется)
На устройствах с наложением дисков можно использовать транзитный диск Freespace для доступа к дополнительному свободному пространству на диске.
Вам по-прежнему потребуется зарезервировать место на диске для наложения. Это пространство используется для управления наложением, а также для хранения перезаписанных данных, таких как обновления системы. Все остальные операции записи отправляются в свободное пространство на диске. Со временем зарезервированный оверлей будет увеличиваться медленнее и медленнее, поскольку перезапись будет просто заменять друг друга.
Постоянный оверлей
Этот режим экспериментальен и рекомендуется тщательно протестировать его перед развертыванием на нескольких устройствах. Этот параметр не используется по умолчанию.
На устройствах с наложением дисков можно продолжить работу с перекрытием данных даже после перезагрузки. Это может быть полезно в ситуациях, когда гостевым пользователям может потребоваться доступ в течение более длительных периодов, а также может потребоваться выключить устройство между использованием.
Этот параметр дает ИТ-отделу больший контроль над моментом сброса оверлея. Вы также можете предоставить пользователям скрипты, которые помогут им сбросить наложение по запросу.
Включение или отключение постоянного наложения:
Нехватка наложения
Если размер наложения близок к максимальному или равному значению максимального размера оверлея, все попытки записи будут завершаться ошибкой, и будет возвращена ошибка, указывающая на то, что недостаточно места для завершения операции. Если наложение на устройстве достигает этого состояния, устройство может перестать отвечать и зависнуть, и вам может потребоваться перезапустить устройство.
когда Windows завершает работу, он пытается записать на диск несколько файлов. если наложение заполнено, эти попытки записи завершаются ошибкой, что приводит к тому, что Windows попытаться повторно записать файлы, пока UWF не определит, что устройство пытается завершить работу и устранить проблему. Попытка завершить работу с помощью обычных методов, когда наложение заполнено или приближается к полной, может привести к длительному завершению работы устройства (в некоторых случаях до часа или больше).
Часто эту ошибку можно избежать, используя UWF для автоматического запуска выключения или перезапуска.
Что такое фильтр записей в Windows 10 и как им воспользоваться
Сохраните настройки, нажав «OK» и перезагрузите компьютер.
Включить фильтр можно также с помощью PowerShell или консольной утилиты Dism, выполнив в запущенной с повышенными привилегиями консоли CMD команду:
Защита вступает в силу после перезагрузки компьютера. В состоянии защиты будут отключены файл подкачки, автоматическая дефрагментация, индексирование и создание системных точек восстановления. Помимо включения самого фильтра, нужно указать защищаемый том, например, системный раздел C.
uwfmgr.exe volume protect C:
А теперь внимание. При использовании фильтр записей некоторые службы могут начать работать некорректно. Чтобы этого избежать, их нужно будет добавить в список исключений. Список исключаемых подсистем вы можете скачать по ссылке yadi.sk/i/0-X7WdAh3NX5GL. Чтобы добавить в исключения папку/файл или ключ реестра, необходимо выполнить такие команды:
Uwfmgr.exe file add-exclusion C:\Путь_к_папке\файлу
Uwfmgr.exe registry add-exclusion «ключ_реестра»
Использовать фильтр записей в Windows мы не советовали по той причине, что он может работать некорректно. Если вдруг после включения UWF у вас перестала загружаться система, необходимо будет загрузиться с установочного диска Windows и, получив доступ к реестру, отредактировать эти два ключа:
В первом ключе нужно изменить значение параметра start на 4, во втором удалить строку uwfvol. Также можно попробовать прибегнуть к откату с помощью системных точек восстановления.