Unified Write Filter (UWF) feature

Unified Write Filter (UWF) is an optional Windows 10 feature that helps to protect your drives by intercepting and redirecting any writes to the drive (app installations, settings changes, saved data) to a virtual overlay. The virtual overlay is a temporary location that is usually cleared during a reboot or when a guest user logs off.

Benefits

Provides a clean experience for thin clients and workspaces that have frequent guests, like school, library or hotel computers. Guests can work, change settings, and install software. After the device reboots, the next guest receives a clean experience.

Increases security and reliability for kiosks, IoT-embedded devices, or other devices where new apps are not expected to be frequently added.

Can be used to reduce wear on solid-state drives and other write-sensitive media.

UWF replaces the Windows 7 Enhanced Write Filter (EWF) and the File Based Write Filter (FBWF).

Features

UWF can protect most supported writable storage types, including physical hard disks, solid-state drives, internal USB devices, and external SATA devices. You cannot use UWF to protect external removable drives, USB devices or flash drives. Supports both master boot record (MBR) and GUID partition table (GPT) volumes.

You can use UWF to make read-only media appear to the OS as a writable volume.

You can manage UWF directly on a Windows 10 device using uwfmgr.exe, or remotely using MDM tools like Microsoft Intune using the UnifiedWriteFilter CSP or the UWF WMI.

You can update and service UWF-protected devices, either by using UWF servicing mode or by adding file and registry exclusions to specific system areas.

On Windows 10, version 1803, you can use a persistent overlay to allow data saved in the virtual overlay to remain even after a reboot.

On devices with a disk overlay, you can use freespace passthrough to access your drive’s additional free space.

UWF supports paging to increase virtual memory, if the page file exists on an unprotected volume. When paging is used together with a RAM-based overlay, the uptime of the system can be significantly increased.

Requirements

Windows 10 Enterprise, Windows 10 IoT Core, or Windows 10 IoT Enterprise.

Limitations

• FAT: fully supported.
• NTFS: fully supported. However, during device startup, NTFS file system journal files can write to a protected volume before UWF has started protecting the volume.
• Other file systems (example: exFAT): You can protect the volume, but cannot create file exclusions or do file commit operations on the volume. Writes to excluded files still influence the growth of the Overlay.

The overlay does not mirror the entire volume, but dynamically grows to keep track of redirected writes.

UWF supports up to 16 terabytes of protected volumes.

UWF does not support the use of fast startup when shutting down your device. If fast startup is turned on, shutting down the device does not clear the overlay. You can disable fast startup in Control Panel by navigating to Control Panel > All Control Panel Items > Power Options > System Settings and clearing the checkbox next to Turn on fast startup (recommended).

UWF does not support Storage Spaces.

On a computer on which UWF is enabled and used to protect drive C, you cannot permanently set the date and time to a past time. If you make such a change, the original date and time settings will be restored after the computer restarts.

To work around this issue, you must disable UWF before you change the date and time. To do this, run uwfmgr.exe filter disable.

Do not add the file that retains date and time settings («%windir%\bootstat.dat») to the write filter exclusions to work around this issue. Doing this causes Stop error 0x7E (SYSTEM_THREAD_EXCEPTION_NOT_HANDLED) to occur.

Turn on and configure UWF

UWF is an optional component and is not enabled by default in WindowsВ 10. You must turn on UWF before you can configure it.

UWF overlay

You can choose where the overlay is stored (RAM or disk), how much space is reserved, whether the overlay persists after a reboot.

To increase uptime, set up monitoring to check if your overlay is filling up. At certain levels, your device can warn users and/or reboot the device.

Volumes

A volume is a logical unit that represents an area of persistent storage to the file system that is used by the OS. A volume can correspond to a single physical storage device, such as a hard disk, but volumes can also correspond to a single partition on a physical storage device with multiple partitions, or can span across multiple physical storage devices. For example, a collection of hard disks in a RAID array can be represented as a single volume to the OS.

When you configure UWF to protect a volume, you can specify the volume by using either a drive letter or the volume device identifier. To determine the device identifier for a volume, query the DeviceID property in the Win32_Volume WMI class.

If you specify a volume using a drive letter, UWF uses loose binding to recognize the volume. By using loose binding, drive letters can be assigned to different volumes if the hardware or volume configuration changes. If you specify a volume using the volume device identifier, UWF uses tight binding to recognize the volume. By using tight binding, the device identifier is unique to the storage volume and is independent from the drive letter assigned to the volume by the file system.

Exclusions

If you want to protect a volume with UWF while excluding specific files, folders, or registry keys from being filtered by UWF, you can add them to a write filter exclusion list.

UWF servicing mode

When a device is protected with UWF, you must use UWF servicing mode commands to service the device and apply updates to an image. You can use UWF servicing mode to apply Windows updates, antimalware signature file updates, and custom software or third-party software updates.

For more information about how to use UWF servicing mode to apply software updates to your device, see Service UWF-protected devices.

Troubleshooting UWF

UWF uses Windows Event Log to log events, errors and messages related to overlay consumption, configuration changes, and servicing.

For more information about how to find event log information for troubleshooting problems with Unified Write Filter (UWF), see Troubleshooting Unified Write Filter (UWF).

Защита дисков от перезаписи с помощью UWF (Unified Write Filter) Windows 10

Виртуальные машины, несомненно, один из лучших способов избежать изменений на хост-системе. Использование, так называемых, снимков помогает восстановить предыдущую конфигурацию виртуальной машины, чтобы быстро отменить внесенные изменения.

Если вы не хотите использовать виртуальные машины или использовать новую «песочницу» Windows 10, полезно знать, что операционная система Microsoft предлагает «стандартную» функция под названием UWF (Унифицированный фильтр записи).

Это программный компонент, который активирует защиту от записи на жестких дисках и твердотельных накопителях: все попытки записи, сделанные, например, установленными приложениями пресекаются, но данные автоматически сохраняются в защищенной области. Когда машина перезагружается, вся информация, записанная на устройствах хранения при включенном UWF, автоматически удаляется.

UWF интегрирован не только в версии Windows 10 для предприятий и учебных заведений, но и в версию Pro операционной системы.

Перед использованием UWF, который следует понимать как программный компонент, предназначенный для профессионалов, разработчиков и тестировщиков, мы предлагаем провести тесты на тех компьютерах, которые не используются в рабочих целях.

Установите UWF, чтобы включить защиту от записи

Установить и настроить UWF на компьютере с Windows 10 довольно просто. Вы можете воспользоваться одним из трёх способов, предложенных ниже:

Нажмите комбинацию клавиш Win + R , затем введите optionalfeatures и нажмите Enter .

Разверните раздел «Блокировка устройства», затем активируйте «Объединенный фильтр записи». Для запуска автоматической установки UWF и нажмите кнопку ОК .

Затем введите команду dism /online /enable-feature /FeatureName:client-DeviceLockdown /FeatureName:client-UnifiedWriteFilter

Откройте Windows PowerShell с правами администратора ( Win + X , выберите Windows PowerShell (администратор)), затем введите Enable-WindowsOptionalFeature -Online -FeatureName «Client-UnifiedWriteFilter» -All.

Как защитить от записи диск, содержащий Windows 10

На этом этапе – после установки UWF на компьютере с Windows 10 – можно защитить блок операционной системы от записи (предположим, что это C: ), но также возможно защитить и другие блоки, помеченные разными идентификационными буквами.

Для этого просто откройте командную строку или PowerShell с правами администратора, как показано выше, затем выберите место, где будет создаваться так называемый оверлей, т.е. область, в которой будут записывать изменения от приложений и операционной системы. Вы можете выбрать оперативную память или жесткий диск:

Чтобы использовать RAM, вам понадобится ПК с хорошим запасом энергозависимой памяти.

Следующая команда позволяет вам определить, сколько памяти (энергозависимой или энергонезависимой) выделить под оверлей:

Если вы выбрали диск, команда выделит 20 ГБ дискового пространства (или SSD) для временной записи изменений (значение 20480 получается из простого умножения 1024 МБ × 20).

Наконец, следующие команды позволяют вам получать предупреждение, когда пространство, предназначенное для оверлея начнёт переполняться:

Следует помнить, что когда весь оверлей заполнен, система он начнёт работать нестабильно или перезапустится.

Следующие команды являются необязательными и позволяют дополнительно активировать исключения или разрешить определенные операции записи в некоторых областях файловой системы и реестра (источник: документация Microsoft ):

Добавьте эти исключения в UWF:

1. Исключения файлов
   • C:«Файлы программы»-Windows Defender
   • C:-ProgramData-Microsoft-Windows Defender
   • C:-WindowsUpdate.log
   • C: »Окна»Темп-MpCmdRun.log
2. Исключения из реестра
   • HKEY_LOCAL_MACHINE»-SOFTWARE-Microsoft-Windows Defender
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdBoot
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdFilter
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdNisSvc
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WdNisDrv
   • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-WinDefend

На данный момент, для того, чтобы активировать защиту от записи на диске C: системы Windows 10, просто введите следующие команды:

Чтобы прервать защиту от записи и применить «окончательные» изменения на компьютере, необходимо выполнить команду uwfmgr filter disable. После того, как требуемые действия были применены, вам придётся снова использовать команду uwfmgr filter enable из командной строки или окна PowerShell, открытого с правами администратора.

Конфигурация UWF проверяется в любое время с помощью команды get-config uwfmgr.

Наконец, стоит помнить, что в системах, защищенных UWF-защитой, для установки обновлений Microsoft через Центр обновления Windows необходимо использовать следующий синтаксис, а затем перезагрузить компьютер:

После перезагрузки обновления будут автоматически загружены и установлены, после чего система будет перезагружена снова.

Дополнительные сведения о параметрах, которые можно использовать с командой uwfmgr, доступны в этом документе поддержки Microsoft.

Использование Объединенного фильтра записи (UWF) в Windows 10 IoT базовая Using the Unified Write Filter (UWF) on Windows 10 IoT Core

Объединенный фильтр записи (UWF) — это функция, которая защищает носители физического хранилища от операций записи данных. The Unified Write Filter (UWF) is a feature that protects physical storage media from data writes. UWF перехватывает все попытки операций записи на защищенный том, и перенаправляет их на виртуальный слой. UWF intercepts all write attempts to a protected volume and redirects those write attempts to a virtual overlay. Это повышает надежность и стабильность устройства и снижает износ чувствительных к записи носителей, например носителей с флэш-памятью, таких как твердотельные накопители. This improves the reliability and stability of your device and reduces the wear on write-sensitive media, such as flash memory media like solid-state drives.

Дополнительные сведения см. в документации по Объединенному фильтру записи . Read our documentation on the Unified Write Filter for more information.

Установка UWF на устройстве под Windows 10 IoT базовая How to Install UWF on a device running Windows 10 IoT Core

Если у вас еще нет текущей версии комплектов Windows 10 IoT Core, скачайте и установите пакеты Windows 10 для центра Интернета вещей. If you do not have the current version of the Windows 10 IoT Core Kits yet, download and install the Windows 10 IoT Core Packages.

На основе архитектуры устройства Скопируйте пакеты UWF ( Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab и Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab ) с компьютера ( C:\Program Files (x86)\Windows Kits\10\MSPackages\Retail\\fre\ ) на устройство (например, с общим доступом к файлам Windows). Based on your device architecture, copy UWF packages ( Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab and Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab ) from your PC ( C:\Program Files (x86)\Windows Kits\10\MSPackages\Retail\\fre\ ) to the device (for example, with Windows file sharing).

Запустите SSH или PowerShell и получите доступ к устройству под Windows 10 IOT базовая. Launch SSH or PowerShell and access your device running Windows 10 IoT Core.

С помощью SSH или PowerShell выполните следующие действия. From SSH or PowerShell, do the following:

• Перейдите в каталог, в который были скопированы файлы. change to the directory where you have copied your files
  • cd C:\
• Выполните следующие команды, чтобы установить пакеты в образ системы для устройств IoT: Run these commands to install the packages to your IoT device system image:
  • applyupdate –stage .\Microsoft-IoTUAP-UnifiedWriteFilter-Package.cab
  • applyupdate –stage .\Microsoft-IoTUAP-UnifiedWriteFilter-Package_Lang_en-us.cab
  • applyupdate –commit

Устройство будет загружаться в ОС обновления, устанавливать компоненты UWF и перезагружаться в Маинос. The device will boot to the Update OS, install UWF features, and reboot to the MainOS.

Когда устройство возвращается к Маинос, функция UWF готова и доступна для использования. Once the device comes back to the MainOS, the UWF feature is ready and available to use. Это можно проверить, введя uwfmgr.exe в окно PowerShell или SSH. This can be verified by typing uwfmgr.exe into your PowerShell or SSH window.

Как включить UWF в пользовательский ФФУ How to include UWF in Your Custom FFU

• Добавление идентификатора компонента IOT_UNIFIED_WRITE_FILTER в входной файл изготовителя оборудования Add IOT_UNIFIED_WRITE_FILTER feature ID to the OEM Input file
• Создание Имаже\ффу. Create the image\FFU. Инструкции см. в статье Создание базового образа . Read Create a basic image for instructions.

Как использовать UWF How to Use UWF

UWF можно настроить с помощью средства uwfmgr.exe через сеанс PowerShell или SSH. UWF can be configured using the uwfmgr.exe tool via a PowerShell or SSH session. uwfmgr.exe Средство чтения для доступных параметров с исключением некоторых перечисленных ниже команд, которые не поддерживаются в IOT Core. Read uwfmgr.exe tool for the available options with an exception of some commands listed below that are not supported in IoT Core. Проверьте параметры конфигурации наложения по умолчанию и адаптируйте их в соответствии с вашими требованиями. Review the default settings of the Overlay configurations and adapt them per your requirements.

Кроме того, UWF можно настроить через канал MDM с помощью Объединенного фильтра записи CSP. UWF can also be configured via MDM channel using Unified Write Filter CSP.

Например, приведенные ниже сочетания команд позволяют увфмгр и настроить защиту диска C. For example, the following combinations of commands enable uwfmgr and configure to protect the C drive

uwfmgr.exe filter enable Включает фильтр записи uwfmgr.exe filter enable Enables the write filter
uwfmgr.exe volume protect c: Защищает том C uwfmgr.exe volume protect c: Protects the Volume C
shutdown /r /t 0 Перезапускает устройство, чтобы параметры фильтра записи были эффективными. shutdown /r /t 0 Restarts the device to make the write filter settings effective

Для вступления в силу всех параметров увфмгр требуется Перезагрузка . Reboot is required to make all the uwfmgr settings effective.

Защита тома данных Protecting a Data Volume

Объем данных в IoT Core можно защитить с помощью идентификатора GUID для тома. Data volume in IoT Core can be protected using the GUID for the volume. Идентификатор GUID доступных томов можно найти с помощью следующей команды: The GUID for the available volumes can be found through the following command

dir /AL
uwfmgr.exe volume protect \\?\Volume

Рекомендуемые исключения Recommended Exclusions

При защите тома данных рекомендуется добавлять исключения для папок обслуживания и ведения журнала, к которым обращаются службы Windows OS. When protecting the data volume, we recommend that you add exceptions for the servicing and logging folders that are accessed by Windows OS Services.

Чтобы добавить исключения, сделайте следующее: uwfmgr.exe file Add-Exclusion To add the exclusions: uwfmgr.exe file Add-Exclusion

Обслуживание защищенных устройств UWF Servicing UWF protected devices

Начиная с версии 16299 Windows 10 IoT базовая версия 1709, основной том ОС (C: ) может быть защищен с помощью UWF и обслуживается автоматически без каких-либо специальных действий. Starting Windows 10 IoT Core Release 1709, version 16299, the main OS volume (C:) can be protected with UWF and serviced automatically without any special steps.

Для обслуживания защищенных томов данных с защищаемыми томами необходимо выполнить следующие действия. The following steps are required to service UWF protected devices with protected data volumes.

• uwfmgr.exe filter disable Отключение UWF uwfmgr.exe filter disable Disable UWF
• shutdown /r /t 0 Перезагрузка устройства для отключения UWF shutdown /r /t 0 Reboot device to disable UWF
• Включение обслуживания (с помощью пакета подготовки или MDM для установки политики обновления) Enable Servicing (using provisioning package or MDM to set Update policy)
  • Обратите внимание, что устройство будет автоматически перезагружено для выполнения обновлений обслуживания. Note that the device will automatically reboot to perform the servicing updates
• uwfmgr.exe filter enable Включить UWF uwfmgr.exe filter enable Enable UWF
• shutdown /r /t 0 Перезагрузка устройства для включения UWF shutdown /r /t 0 Reboot device to enable UWF

Неподдерживаемые команды uwfmgr.exe Unsupported uwfmgr.exe Commands

Режим обслуживания UWF не поддерживается в IOT Core. UWF Servicing Mode is not supported in IoT Core.