Объединенный фильтр записи (UFW - Unified Write Filter)
Объединенный фильтр записи (UFW - Unified Write Filter) - необязательный компонент Windows 10 и более поздних, предназначенный для обеспечения целостности файловой системы Windows путем отката изменений файловой системы на ранее сохраненное состояние при каждой перезагрузке ОС. Все, что было удалено, изменено или добавлено пользователем на защищаемом фильтром диске действительно только до перезагрузки ОС.
Первоначально UWF использовался только для встроенных систем Windows (Embedded для банкоматов, терминалов самообслуживания и т.п.), но, начиная с 2018г, его можно использовать в среде Windows 10/11 для образовательных учреждений и Корпоративная (Enterprise). Основная область использования объединенного фильтра записи – компьютерные классы учебных заведений. Как правило, в них разворачивается заранее подготовленный набор программного обеспечения (ПО) под конкретные учебные программы. Используемый в учебном процессе набор ПО должен быть постоянно работоспособным и неизменным на весь период обучения (четверть, семестр, учебный год), а организация работы пользователей компьютерного класса должна быть простой и понятной – минимум ограничений в работе при надежном сохранении исходного состояния рабочих мест. Использование объединенного фильтра записи решает многие проблемы, характерные для совместного использования компьютеров множеством пользователей:
- Защита от вирусов и других вредоносных программ.
- Удаление неавторизованных установок программного обеспечения.
- Устранение проблем, возникающих в результате непреднамеренных ошибок пользователя, нежелательных обновлений программ или проблем совместимости с Windows.
- Тестирование новых непроверенных приложений, прежде чем устанавливать их в действующую систему и потенциально подвергать ее любым нежелательным изменениям.
- Защита от утечки персональных данных, клавиатурных шпионов и т.п.
И стоит отметить, что использование фильтра UWF значительно упрощает техническое обслуживание групп компьютеров, находящихся в коллективном доступе.
Включение UWF и работа с менеджером uwfmgr.exe.
Принцип работы UFW заключается в том, что все операции по изменению файловой системы перенаправляются фильтром в специальную область - оверлей (overlay), которая может быть реализована либо в оперативной памяти, либо в неиспользуемой части дискового пространства. С точки зрения пользователя, он выполняет обычную работу за компьютером, например, удаляя или создавая файлы и каталоги, однако все эти операции выполняются в оверлее, который будет сброшен при перезагрузке системы.
Для включения объединенного фильтра записи можно воспользоваться панелью управления - Программы и компоненты - компоненты Windows - Блокировка устройства - поставить галочку - Объединенный фильтр записи.
Для включения компонентов Windows можно также воспользоваться PowerShell:
powershell.exe –command Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" –All
Или с помощью утилиты для обслуживания образов dism.exe:
DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter
Нужно отметить, что включить компонент UnifiedWriteFilter можно включить и для Windows Pro, однако работать в ней он не будет.
Для управления Объединенным фильтром записи UFW используется утилита командной строки ufwmgr.exe. Для получения подсказки по использованию введите команду:
uwfmgr -?
Формат командной строки:
uwfmgr[.exe] параметр [команды] [аргументы]
Параметры командной строки:BR>
filter - Настраивает и отображает параметры UWF, например состояние фильтрации.
overlay - Настраивает и отображает параметры оверлея.
volume - Настраивает и отображает параметры фильтрации тома.
file - Настраивает и отображает параметры исключения файлов.
registry - Настраивает и отображает параметры исключения разделов реестра; применяет изменения реестра.
servicing - Настраивает и отображает параметры режима обслуживания.
get-config - Отображает всю информацию о конфигурации для текущего
и будущего сеансов.
help или ? - Отображает справку по основным параметрам.
Примеры:
uwfmgr.exe get-config
uwfmgr.exe filter enable
uwfmgr.exe volume protect c:
Для получения более подробной информации об этих параметрах UWFMGR и их аргументах указывайте их имена непосредственно перед словом help (например, uwfmgr.exe filter help).
Включение Объединенного фильтра записи приводит систему в состояние, необходимое для выполнения операций записи в оверлее – отключается защита системы, файл подкачки, точки восстановления, задачи планировщика, связанные с обслуживанием системы и т.п. А конфигурация фильтра UWF по умолчанию позволяет сразу воспользоваться защитой от изменений при следующей загрузке Windows.
Для того, чтобы включить защиту от изменений, например, системного диска C:, достаточно включить фильтр uwf командой:
uwfmgr.exe filter enable
и указать диск, который будет защищен от записи:
uwfmgr.exe volume protect c:
Для того, чтобы изменения вступили в силу, потребуется перезагрузка.
Получить текущую конфигурацию фильтра UWF можно с помощью команды:
uwfmgr.exe get-config
Отображается текущая конфигурация Объединенного фильтра записи (Параметры для текущего сеанса) и конфигурация, которая будет применена после следующей загрузке Windows (Параметры для следующего сеанса). Конфигурация по умолчанию предполагает, что оверлей реализован в оперативной памяти объемом 1Гб. Пример:
Параметры оверлея для текущего сеанса
тип: RAM
Максимальный размер: 1024 МБ
Порог предупреждения: 512 МБ
Критическое пороговое значение: 1024 МБ
Носитель только для чтения: ВЫКЛ.
Сквозная передача свободного пространства: ВЫКЛ.
Постоянный: ВЫКЛ.
Режим сброса: Н/Д
Сброс сохраненного режима: Н/Д
Параметры оверлея влияют на быстродействие системы в целом, и желательно создать сбалансированную конфигурацию, оптимально распределяющую память между оверлеем и потребностями Windows. Для настройки оверлея используется команда set overlay
uwfmgr overlay set-size 8192 - установить размер оверлея в 8Гб
uwfmgr overlay set-criticalthreshold 8192 - критический объем оверлея, при котором выдается соответствующее сообщение пользователю.
uwfmgr overlay set-warningthreshold 7168 - объем оверлея, при достижении которого будет выдано предупреждение.
При малом объеме оперативной памяти и /или при высокой потребности в ней со стороны приложений, может оказаться, что лучшая производительность системы будет достигнута при размещении оверлея на диске ( желательно SSD). Чтобы изменить тип оверлея, сначала необходимо отключить фильтр и перезагрузить систему:
uwfmgr filter disable
Для перевода оверлея на диск используется команда:
uwfmgr overlay set-type disk
После чего нужно включить фильтр:
uwfmgr filter enable
и снова выполнить перезагрузку Windows.
Необходимо также задать размер и границы предупреждения для нового размещения оверлея, иначе будут применены настройки предыдущего сеанса.
Для изменения некоторых параметров UWF (в том числе и максимального размера оверлея) потребуется отключение фильтра и перезагрузка. Утилита uwfmgr.exe, как правило, отображает соответствующее сообщение пользователю.
Для получения сведений о свободной части пространства оверлея используется команда:
uwfmgr overlay get-availablespace
Пример результата выполнения команды:
Программа конфигурации объединенного фильтра записи, версия 10.0.22000
(c) Корпорация Майкрософт (Microsoft Corporation). Все права защищены.
Доступно 966 МБ пространства оверлея.
Для получения сведений о занятой части оверлея используется команда:
uwfmgr overlay get-consumption
Пример результата выполнения команды:
Программа конфигурации объединенного фильтра записи, версия 10.0.22000
(c) Корпорация Майкрософт (Microsoft Corporation). Все права защищены.
Использовано 61 МБ пространства оверлея.
Выполнение изменений для защищенного диска
При необходимости установки или удаления программного обеспечения на защищаемом диске, нужно отключить его защиту:
uwfmgr.exe volume unprotect c:
После чего установить или удалить ПО или внести другие изменения в файловую систему и снова включить защиту. Обновленная файловая система станет защищенной от каких-либо изменений.
Для защищенного от записи диска можно задать исключения для файлов или реестра Windows. Обычно это требуется в тех случаях, когда используется ПО, для нормальной работы которого, требуется внесение изменений в файловую систему (работа с подгружаемыми базами данных, использование изменяемых ключей реестра и т.п).
Исключения для файлов и папок
uwfmgr.exe file add-exclusion c:\dir1\dir2.txt - задать исключение для файла.
uwfmgr.exe file remove-exclusion C:\dir1\dir2.txt - удалить исключение для файла.
uwfmgr.exe file get-exclusions all - отобразить список файловых исключений.
uwfmgr.exe file commit c:\dir1\dir2.txt - выполнить изменение файла.
uwfmgr.exe file commit-delete c:\dir1\dir2.txt - удалить файл.
Исключения для реестра:
uwfmgr.exe registry add-exclusion HKLM\Software\Microsoft\Windows\run - добавляет раздел реестра в список исключенных разделов реестра защищенной системы для следующего сеанса (после перезагрузки системы). Исключаемый раздел реестра должен существовать, до того как будет выполнена защита системного тома.
uwfmgr.exe registry remove-exclusion HKLM\Software\Microsoft\Windows\run - удаляет раздел из списка исключений реестра.
uwfmgr.exe registry get-exclusions - отображает список исключений реестра.
uwfmgr.exe registry commit HKLM\Software\Test TestValue - применяет изменения указанного исключения.
uwfmgr.exe registry commit-delete HKLM\Software\Test TestValue - удаляет указанное исключение.
Исключения файлов и реестра являются потенциально опасными возможностями и при неправильном применении могут привести к краху системы.
Для компьютерных классов удобно использовать конфигурацию системы с двумя логическими дисками – защищенного от записи системного диска C: и незащищенного D: . При такой конфигурации задача по изменению данных приложениями на защищенном диске решается созданием символьных ссылок для изменяемых файлов и каталогов. При создании защищенного тома, те файлы и каталоги, для которых нужно разрешить изменения, переносятся на незащищаемый диск D:, и заменяются символьными ссылками:
mklink /d "C:\Program Files\Google\Chrome" D:\Chrome - создать символьную ссылку для каталога C:\Program Files\Google\Chrome на каталог D:\Chrome.
Это означает, что все операции с каталогом C:\Program Files\Google\Chrome реально будут выполняться с каталогом D:\Chrome.
Режим обслуживания защищенного тома.
Для установки обновлений Windows предусмотрен специальный режим обслуживания ( или сервисный режим):uwfmgr.exe servicing enable
Режим обслуживания объединенного фильтра записи будет включен при следующей загрузке. Обслуживание выполняется в контексте учетной записи UWF-Servicing, для которой необходимо сменить пароль, который был задан автоматически при включении режима обслуживания. После авторизации UWF-Servicing автоматически запускается программа оболочки обслуживания и выполняется сценарий \Windows\system32\UwfServicingMasterScript.cmd.
По завершении обновлений, сценарий отключает режим обслуживания командой:
uwfmgr servicing disable
И выполняет перезагрузку Windows с задержкой в 5 секунд:
shutdown -r -t 5
Практика применения режима обслуживания показывает, что данный режим реализован довольно неудачно и его применение нередко заканчивается циклической перезагрузкой, либо зависанием системы с черным экраном. Поэтому проще воспользоваться снятием защиты, обновлением ПО стандартным образом, и включением защиты заново.
Для отключения компонент Объединенного фильтра записи UWF нужно снять соответствующую галочку в оснастке Панели управления – Программы и компоненты – Включение или отключение компонентов Windows – Блокировка устройства – Объединенный фильтр записи. Либо с использованием PowerShell:
powershell.exe –command Disable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" –All
Или с помощью утилиты для обслуживания образов dism.exe:
DISM.exe /Online /disable-Feature /FeatureName:client-UnifiedWriteFilter