Информация в данном разделе актуальна для Windows 10: 1809, 21H2.
Фильтр записи необходимо включать только после активации системы
В нашем наборе скриптов есть скрипт для упрощения настройки фильтра записи.
С помощью фильтра записи можно:
Запись о событиях производится в журнал системы «Журналы Windows > Система»
| Overlay usage | Source | Level | Event ID |
|---|---|---|---|
| Warning threshold | uwfvol | Warning | 1 |
| Critical threshold | uwfvol | Error | 2 |
| Back to normal | uwfvol | Information | 3 |
Для автоматической перезагрузки системы при достижении критического порога можно создать задачу. Для создания задачи выполните нижеуказанную команду в среде с повышенными привилегиями.
Начиная с Windows 21H2 данная задача не нужна т.к. при заполнении оверлея система будет перезагружена автоматически
Schtasks /Create /F /RU SYSTEM /TN ClearOverlay /TR "Shutdown -r -f -t 00" /SC ONEVENT /EC SYSTEM /MO "*[System[Provider[@Name='uwfvol'] and EventID=2]]"
Для автоматического включения фильтра записи после активации системы можно создать задачу
$local:Trigger = New-ScheduledTaskTrigger -AtLogon
$local:Settings = New-ScheduledTaskSettingsSet -DontStopIfGoingOnBatteries -AllowStartIfOnBatteries -ExecutionTimeLimit 0
$local:Action = New-ScheduledTaskAction -Execute 'powershell' -Argument '-command "Do {Start-Sleep 1; $LicenseStatus = (Get-WmiObject SoftwareLicensingProduct | Where {($_.ApplicationID -eq ''55c92734-d682-4d71-983e-d6ec3f16059f'') -and ($_.PartialProductKey -ne $null)}).LicenseStatus} Until ($LicenseStatus -eq 1); uwfmgr filter enable | Out-Null; Schtasks /Delete /F /TN UWFEnableOnSystemActivate | Out-Null; Restart-Computer -Force"'
Register-ScheduledTask -TaskName 'UWFEnableOnSystemActivate' -Trigger $Trigger -User 'SYSTEM' -Action $Action -Settings $Settings -RunLevel 'Highest' –Force
При создании задач учтите, что задачи в планировщике задач не работают в режиме аудита.
Для включения фильтра записи необходимо добавить компонент фильтра записи в систему. Добавить компонент можно с помощью выполнения нижеуказанной команды, выполненной в среде с повышенными привилегиями.
DISM /online /Enable-Feature /all /FeatureName:Client-UnifiedWriteFilter
После добавления компонента необходимо воспользоваться командами фильтра записи, которые можно посмотреть выполнив команду в среде с повышенными привилегиями
uwfmgr /?
Чтобы фильтр записи начал защищать том необходимо: Указать защищаемый том, например
uwfmgr volume protect c:
И включить фильтр записи
uwfmgr filter enable
Фильтр записи будет включен после перезагрузки
Информация в данном подразделе актуальна для Windows 10: 1809.
Настройки параметров фильтра записи можно найти в реестре «HKLM\SYSTEM\CurrentControlSet\Services\uwfvol\Parameters». Ниже указаны подразделы вышеуказанного раздела:
В каком из номеров раздела «Copy» находятся настройки для текущего сеанса, а в каком для следующего зависит от значений параметров «CurrentSettings» и «UpdatedSettings», которые находятся в разделе «Static». Т.е. если у параметра «CurrentSettings» значение «0», то настройки текущей сессии будут в разделе «Copy0», а если у параметра «CurrentSettings2 значение «1», то настройки текущей сессии будут в разделе «Copy1».
Описание настроек фильтра записи с помощью WMI можно найти здесь
Для перевода фильтра записи в сервисный режим необходимо выполнить команду «uwfmgr servicing enable». После успешного выполнения команды необходимо перезагрузить систему, после перезагрузки появится учетная запись «UWF-Servicing». Дождитесь автоматической установки обновлений и перезагрузки системы.
Перед включением режима HORM необходимо отключить все возможности перехода системы в режим гибернации и оставить возможность перехода только по консольной команде. Это нужно сделать для сохранения файла гибернации в неизменном виде, при следующем введении системы в гибернацию файл гибернации будет перезаписан.
Чтобы включить режим HORM необходимо соблюсти следующие требования:
Т.к. режим HORM подразумевает возврат из состояния гибернации при каждой загрузке, то при стандартных настройках системы, система будет запрашивать пароль для входа в учетную запись. Для отключения требования ввода учетных данных необходимо отключить запрос пароля при выходе из спящего режима или отключить блокировку системы.
Включить режим HORM можно только при работающем фильтре записи, для включения HORM’а необходимо выполнить команду
uwfmgr filter enable-HORM
После включения режима HORM приведите систему в то состояние, в котором она должна загружаться все время и переведите систему в режим гибернации.
Чтобы система ушла в режим гибернации без открытого консольного окна, где была выполнена команда перехода в режим гибернации, создайте задачу для перехода в режим гибернации через определенное время
Do {Try {[int]$local:Minute = Read-Host -Prompt 'Через сколько минут перевести систему в гибернацию?'} Catch {continue}} While ($Minute -isnot [int])
Schtasks /Create /F /RU System /TN Hibernate /TR "Shutdown /h" /SC ONCE /SD ((Get-Date).ToString('dd/MM/yyyy') -replace '\.', '/') /ST (Get-Date).AddMinutes($Minute).ToString('HH:mm') /RL HIGHEST
При создании задач учтите, что задачи в планировщике задач не работают в режиме аудита.
Только начиная с Windows10 21H2
Данный режим можно включить только если оверлей находится в оперативной памяти.
После включения данного режима все исключения будут игнорироваться, что упрощает перевод системы в режим HORM.
Если данный режим включен, то с помощью команды «commit» можно записать на защищенные тома все накопленные изменения с момента загрузки.
Подробнее в официальной документации