Using the Unified Write Filter (UWF) on Windows 10 IoT Core

The Unified Write Filter (UWF) is a feature that protects physical storage media from data writes. UWF intercepts all write attempts to a protected volume and redirects those write attempts to a virtual overlay. This improves the reliability and stability of your device and reduces the wear on write-sensitive media, such as flash memory media like solid-state drives.

Read our documentation on the Unified Write Filter for more information.

How to Install UWF on a device running Windows 10 IoT Core

If you do not have the current version of the Windows 10 IoT Core Kits yet, download and install the Windows 10 IoT Core Packages.

Based on your device architecture, copy UWF packages ( Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab and Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab ) from your PC ( C:\Program Files (x86)\Windows Kits\10\MSPackages\Retail\\fre\ ) to the device (for example, with Windows file sharing).

Launch SSH or PowerShell and access your device running Windows 10 IoT Core.

From SSH or PowerShell, do the following:

• change to the directory where you have copied your files
  • cd C:\
• Run these commands to install the packages to your IoT device system image:
  • applyupdate –stage .\Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab
  • applyupdate –stage .\Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab
  • applyupdate –commit

The device will boot to the Update OS, install UWF features, and reboot to the MainOS.

Once the device comes back to the MainOS, the UWF feature is ready and available to use. This can be verified by typing uwfmgr.exe into your PowerShell or SSH window.

How to include UWF in Your Custom FFU

• Add IOT_UNIFIED_WRITE_FILTER feature ID to the OEM Input file
• Create the image\FFU. Read Create a basic image for instructions.

How to Use UWF

UWF can be configured using the uwfmgr.exe tool via a PowerShell or SSH session. Read uwfmgr.exe tool for the available options with an exception of some commands listed below that are not supported in IoT Core. Review the default settings of the Overlay configurations and adapt them per your requirements.

UWF can also be configured via MDM channel using Unified Write Filter CSP.

For example, the following combinations of commands enable uwfmgr and configure to protect the C drive

uwfmgr.exe filter enable Enables the write filter
uwfmgr.exe volume protect c: Protects the Volume C
shutdown /r /t 0 Restarts the device to make the write filter settings effective

Reboot is required to make all the uwfmgr settings effective.

Protecting a Data Volume

Data volume in IoT Core can be protected using the GUID for the volume. The GUID for the available volumes can be found through the following command

dir /AL
uwfmgr.exe volume protect \\?\Volume

Recommended Exclusions

When protecting the data volume, we recommend that you add exceptions for the servicing and logging folders that are accessed by Windows OS Services.

To add the exclusions: uwfmgr.exe file Add-Exclusion

Servicing UWF protected devices

Starting Windows 10 IoT Core Release 1709, version 16299, the main OS volume (C:) can be protected with UWF and serviced automatically without any special steps.

The following steps are required to service UWF protected devices with protected data volumes.

• uwfmgr.exe filter disable Disable UWF
• shutdown /r /t 0 Reboot device to disable UWF
• Enable Servicing (using provisioning package or MDM to set Update policy)
  • Note that the device will automatically reboot to perform the servicing updates
• uwfmgr.exe filter enable Enable UWF
• shutdown /r /t 0 Reboot device to enable UWF

Unsupported uwfmgr.exe Commands

UWF Servicing Mode is not supported in IoT Core.

Защита дисков от перезаписи с помощью UWF (Unified Write Filter) Windows 10

Виртуальные машины, несомненно, один из лучших способов избежать изменений на хост-системе. Использование, так называемых, снимков помогает восстановить предыдущую конфигурацию виртуальной машины, чтобы быстро отменить внесенные изменения.

Если вы не хотите использовать виртуальные машины или использовать новую «песочницу» Windows 10, полезно знать, что операционная система Microsoft предлагает «стандартную» функция под названием UWF (Унифицированный фильтр записи).

Это программный компонент, который активирует защиту от записи на жестких дисках и твердотельных накопителях: все попытки записи, сделанные, например, установленными приложениями пресекаются, но данные автоматически сохраняются в защищенной области. Когда машина перезагружается, вся информация, записанная на устройствах хранения при включенном UWF, автоматически удаляется.

UWF интегрирован не только в версии Windows 10 для предприятий и учебных заведений, но и в версию Pro операционной системы.

Перед использованием UWF, который следует понимать как программный компонент, предназначенный для профессионалов, разработчиков и тестировщиков, мы предлагаем провести тесты на тех компьютерах, которые не используются в рабочих целях.

Установите UWF, чтобы включить защиту от записи

Установить и настроить UWF на компьютере с Windows 10 довольно просто. Вы можете воспользоваться одним из трёх способов, предложенных ниже:

Нажмите комбинацию клавиш Win + R , затем введите optionalfeatures и нажмите Enter .

Разверните раздел «Блокировка устройства», затем активируйте «Объединенный фильтр записи». Для запуска автоматической установки UWF и нажмите кнопку ОК .

Затем введите команду dism /online /enable-feature /FeatureName:client-DeviceLockdown /FeatureName:client-UnifiedWriteFilter

Откройте Windows PowerShell с правами администратора ( Win + X , выберите Windows PowerShell (администратор)), затем введите Enable-WindowsOptionalFeature -Online -FeatureName «Client-UnifiedWriteFilter» -All.

Как защитить от записи диск, содержащий Windows 10

На этом этапе – после установки UWF на компьютере с Windows 10 – можно защитить блок операционной системы от записи (предположим, что это C: ), но также возможно защитить и другие блоки, помеченные разными идентификационными буквами.

Для этого просто откройте командную строку или PowerShell с правами администратора, как показано выше, затем выберите место, где будет создаваться так называемый оверлей, т.е. область, в которой будут записывать изменения от приложений и операционной системы. Вы можете выбрать оперативную память или жесткий диск:

Чтобы использовать RAM, вам понадобится ПК с хорошим запасом энергозависимой памяти.

Следующая команда позволяет вам определить, сколько памяти (энергозависимой или энергонезависимой) выделить под оверлей:

Если вы выбрали диск, команда выделит 20 ГБ дискового пространства (или SSD) для временной записи изменений (значение 20480 получается из простого умножения 1024 МБ × 20).

Наконец, следующие команды позволяют вам получать предупреждение, когда пространство, предназначенное для оверлея начнёт переполняться:

Следует помнить, что когда весь оверлей заполнен, система он начнёт работать нестабильно или перезапустится.

Следующие команды являются необязательными и позволяют дополнительно активировать исключения или разрешить определенные операции записи в некоторых областях файловой системы и реестра (источник: документация Microsoft ):

Добавьте эти исключения в UWF:

1. Исключения файлов
   • C:«Файлы программы»-Windows Defender
   • C:-ProgramData-Microsoft-Windows Defender
   • C:-WindowsUpdate.log
   • C: »Окна»Темп-MpCmdRun.log
2. Исключения из реестра
   • HKEY_LOCAL_MACHINE»-SOFTWARE-Microsoft-Windows Defender
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdBoot
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdFilter
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdNisSvc
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdNisDrv
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WinDefend

На данный момент, для того, чтобы активировать защиту от записи на диске C: системы Windows 10, просто введите следующие команды:

Чтобы прервать защиту от записи и применить «окончательные» изменения на компьютере, необходимо выполнить команду uwfmgr filter disable. После того, как требуемые действия были применены, вам придётся снова использовать команду uwfmgr filter enable из командной строки или окна PowerShell, открытого с правами администратора.

Конфигурация UWF проверяется в любое время с помощью команды get-config uwfmgr.

Наконец, стоит помнить, что в системах, защищенных UWF-защитой, для установки обновлений Microsoft через Центр обновления Windows необходимо использовать следующий синтаксис, а затем перезагрузить компьютер:

После перезагрузки обновления будут автоматически загружены и установлены, после чего система будет перезагружена снова.

Дополнительные сведения о параметрах, которые можно использовать с командой uwfmgr, доступны в этом документе поддержки Microsoft.

Unified Write Filter (UWF) feature

Unified Write Filter (UWF) is an optional Windows 10 feature that helps to protect your drives by intercepting and redirecting any writes to the drive (app installations, settings changes, saved data) to a virtual overlay. The virtual overlay is a temporary location that is usually cleared during a reboot or when a guest user logs off.

Benefits

Provides a clean experience for thin clients and workspaces that have frequent guests, like school, library or hotel computers. Guests can work, change settings, and install software. After the device reboots, the next guest receives a clean experience.

Increases security and reliability for kiosks, IoT-embedded devices, or other devices where new apps are not expected to be frequently added.

Can be used to reduce wear on solid-state drives and other write-sensitive media.

UWF replaces the Windows 7 Enhanced Write Filter (EWF) and the File Based Write Filter (FBWF).

Features

UWF can protect most supported writable storage types, including physical hard disks, solid-state drives, internal USB devices, and external SATA devices. You cannot use UWF to protect external removable drives, USB devices or flash drives. Supports both master boot record (MBR) and GUID partition table (GPT) volumes.

You can use UWF to make read-only media appear to the OS as a writable volume.

You can manage UWF directly on a Windows 10 device using uwfmgr.exe, or remotely using MDM tools like Microsoft Intune using the UnifiedWriteFilter CSP or the UWF WMI.

You can update and service UWF-protected devices, either by using UWF servicing mode or by adding file and registry exclusions to specific system areas.

On Windows 10, version 1803, you can use a persistent overlay to allow data saved in the virtual overlay to remain even after a reboot.

On devices with a disk overlay, you can use freespace passthrough to access your drive’s additional free space.

UWF supports paging to increase virtual memory, if the page file exists on an unprotected volume. When paging is used together with a RAM-based overlay, the uptime of the system can be significantly increased.

Requirements

Windows 10 Enterprise, Windows 10 IoT Core, or Windows 10 IoT Enterprise.

Limitations

• FAT: fully supported.
• NTFS: fully supported. However, during device startup, NTFS file system journal files can write to a protected volume before UWF has started protecting the volume.
• Other file systems (example: exFAT): You can protect the volume, but cannot create file exclusions or do file commit operations on the volume. Writes to excluded files still influence the growth of the Overlay.

The overlay does not mirror the entire volume, but dynamically grows to keep track of redirected writes.

UWF supports up to 16 terabytes of protected volumes.

UWF does not support the use of fast startup when shutting down your device. If fast startup is turned on, shutting down the device does not clear the overlay. You can disable fast startup in Control Panel by navigating to Control Panel > All Control Panel Items > Power Options > System Settings and clearing the checkbox next to Turn on fast startup (recommended).

UWF does not support Storage Spaces.

On a computer on which UWF is enabled and used to protect drive C, you cannot permanently set the date and time to a past time. If you make such a change, the original date and time settings will be restored after the computer restarts.

To work around this issue, you must disable UWF before you change the date and time. To do this, run uwfmgr.exe filter disable.

Do not add the file that retains date and time settings («%windir%\bootstat.dat») to the write filter exclusions to work around this issue. Doing this causes Stop error 0x7E (SYSTEM_THREAD_EXCEPTION_NOT_HANDLED) to occur.

Turn on and configure UWF

UWF is an optional component and is not enabled by default in WindowsВ 10. You must turn on UWF before you can configure it.

UWF overlay

You can choose where the overlay is stored (RAM or disk), how much space is reserved, whether the overlay persists after a reboot.

To increase uptime, set up monitoring to check if your overlay is filling up. At certain levels, your device can warn users and/or reboot the device.

Volumes

A volume is a logical unit that represents an area of persistent storage to the file system that is used by the OS. A volume can correspond to a single physical storage device, such as a hard disk, but volumes can also correspond to a single partition on a physical storage device with multiple partitions, or can span across multiple physical storage devices. For example, a collection of hard disks in a RAID array can be represented as a single volume to the OS.

When you configure UWF to protect a volume, you can specify the volume by using either a drive letter or the volume device identifier. To determine the device identifier for a volume, query the DeviceID property in the Win32_Volume WMI class.

If you specify a volume using a drive letter, UWF uses loose binding to recognize the volume. By using loose binding, drive letters can be assigned to different volumes if the hardware or volume configuration changes. If you specify a volume using the volume device identifier, UWF uses tight binding to recognize the volume. By using tight binding, the device identifier is unique to the storage volume and is independent from the drive letter assigned to the volume by the file system.

Exclusions

If you want to protect a volume with UWF while excluding specific files, folders, or registry keys from being filtered by UWF, you can add them to a write filter exclusion list.

UWF servicing mode

When a device is protected with UWF, you must use UWF servicing mode commands to service the device and apply updates to an image. You can use UWF servicing mode to apply Windows updates, antimalware signature file updates, and custom software or third-party software updates.

For more information about how to use UWF servicing mode to apply software updates to your device, see Service UWF-protected devices.

Troubleshooting UWF

UWF uses Windows Event Log to log events, errors and messages related to overlay consumption, configuration changes, and servicing.

For more information about how to find event log information for troubleshooting problems with Unified Write Filter (UWF), see Troubleshooting Unified Write Filter (UWF).