Инструменты пользователя

Инструменты сайта


Боковая панель

Главная страница


Часто задаваемые вопросы


Общие вопросы по Windows


Windows 10 IoT Enterprise


Windows 10 IoT Core


Windows Embedded Standard 8


Windows Embedded Standard 7


Windows Embedded POSReady


Windows Embedded Standard 2009


Windows XP Embedded


Windows Embedded Compact

uwf_win_10_iot_enterprise

Фильтр записи

Информация в данном разделе актуальна для Windows 10: 1809.

Фильтр записи необходимо включать только после активации системы

В нашем наборе скриптов есть скрипт для упрощения настройки фильтра записи.

С помощью фильтра записи можно:

  • Защитить данные от изменений на накопителе устройства
  • Всегда загружать систему из файла гибернации - режим HORM (Hibernate Once/Resume Many)

О фильтре записи

Основные возможности фильтра записи

  • Защищать данные на томах несъемных носителей
  • Исключать из защиты конкретные файлы, каталоги, пути реестра
      • Размер оверлея (по умолчанию 1024 МВ)
      • Расположение оверлея – HDD/RAM (по умолчанию RAM)
        • RAM – возможен только оверлей с временным хранением данных, который очищается только после перезагрузки системы
        • HDD – возможен оверлей с временным хранением данных и постоянный оверлей. Для очистки постоянного оверлея с помощью перезагрузки, необходимо дать оверлею команду на очистку.
      • Настройка порогов уведомления заполнения оверлея (уведомления записываются в журнал)
        • Порог предупреждения (по умолчанию 512 МВ)
        • Критический порог (по умолчанию 1024 МВ)
  • Принудительное изменение защищенных данных, в реестре или в файловой системе. Принудительное изменение невозможно в режиме HORM.

Особенности работы фильтра записи

  • Включать фильтр записи необходимо непосредственно на конечном устройстве после активации системы.
  • При включении фильтра записи изменяются некоторые настройки системы, но при выключении фильтра записи измененные настройки не возвращаются в исходное состояние. Изменяемые настройки можно посмотреть здесь
  • Оверлей заполняется при записи на защищенный том, в том числе и при записи в места исключения
  • Для очистки оверлея требуется перезагрузка системы
  • При расположении оверлея на диске по умолчанию включена возможность сквозной записи, т.е. записываемые данные будут располагаться не в оверлее, а на всем свободном месте жесткого диска. При этом в оверлей будут записываться технологическая информация системы. Чтобы данные записывались только в оверлей необходимо отключить сквозную запись, параметр - «Freespace passthrough».
  • Некоторые настройки фильтра записи вступают в силу после перезагрузки системы с включенным фильтром записи. Для таких настроек отображаются параметры для текущего и следующего сеанса.
  • Фильтр записи делает записи в журнал о достижении уровня предупреждения и критического уровня

Запись о событиях производится в журнал системы «Журналы Windows > Система»

Overlay usage Source Level Event ID
Warning threshold uwfvol Warning 1
Critical threshold uwfvol Error 2
Back to normal uwfvol Information 3

Для автоматической перезагрузки системы при достижении критического порога можно создать задачу. Для создания задачи выполните нижеуказанную команду в среде с повышенными привилегиями.

Schtasks /Create /F /RU SYSTEM /TN ClearOverlay /TR "Shutdown -r -f -t 00" /SC ONEVENT /EC SYSTEM /MO "*[System[Provider[@Name='uwfvol'] and EventID=2]]"

Для автоматического включения фильтра записи после активации системы можно создать задачу

$local:Trigger = New-ScheduledTaskTrigger -AtLogon
$local:Settings = New-ScheduledTaskSettingsSet -DontStopIfGoingOnBatteries -AllowStartIfOnBatteries -ExecutionTimeLimit 0
$local:Action = New-ScheduledTaskAction -Execute 'powershell' -Argument '-command "Do {Start-Sleep 1; $LicenseStatus = (Get-WmiObject SoftwareLicensingProduct | Where {($_.ApplicationID -eq ''55c92734-d682-4d71-983e-d6ec3f16059f'') -and ($_.PartialProductKey -ne $null)}).LicenseStatus} Until ($LicenseStatus -eq 1); uwfmgr filter enable | Out-Null; Schtasks /Delete /F /TN UWFEnableOnSystemActivate | Out-Null; Restart-Computer -Force"'
Register-ScheduledTask -TaskName 'UWFEnableOnSystemActivate' -Trigger $Trigger -User 'SYSTEM' -Action $Action -Settings $Settings -RunLevel 'Highest' –Force

При создании задач учтите, что задачи в планировщике задач не работают в режиме аудита.

Как включить фильтр записи

Для включения фильтра записи необходимо добавить компонент фильтра записи в систему. Добавить компонент можно с помощью выполнения нижеуказанной команды, выполненной в среде с повышенными привилегиями.

DISM /online /Enable-Feature /all /FeatureName:Client-UnifiedWriteFilter

После добавления компонента необходимо воспользоваться командами фильтра записи, которые можно посмотреть выполнив команду в среде с повышенными привилегиями

uwfmgr /?

Чтобы фильтр записи начал защищать том необходимо: Указать защищаемый том, например

uwfmgr volume protect c:

И включить фильтр записи

uwfmgr filter enable

Фильтр записи будет включен после перезагрузки

Сведения о настройках фильтра записи в реестре

Настройки параметров фильтра записи можно найти в реестре «HKLM\SYSTEM\CurrentControlSet\Services\uwfvol\Parameters». Ниже указаны подразделы вышеуказанного раздела:

  • «Dynamic» - настройки, которые применяются сразу после их изменения
  • «Static» - настройки, для применения которых требуется перезагрузка
    • «Copy (с указанием номера)» - настройки текущей и следующей сессии

В каком из номеров раздела «Copy» находятся настройки для текущего сеанса, а в каком для следующего зависит от значений параметров «CurrentSettings» и «UpdatedSettings», которые находятся в разделе «Static». Т.е. если у параметра «CurrentSettings» значение «0», то настройки текущей сессии будут в разделе «Copy0», а если у параметра «CurrentSettings2 значение «1», то настройки текущей сессии будут в разделе «Copy1».

Работа с фильтром записи через WMI

Описание настроек фильтра записи с помощью WMI можно найти здесь

Особенность работы сервисного режима (установка обновлений)

Для перевода фильтра записи в сервисный режим необходимо выполнить команду «uwfmgr servicing enable». После успешного выполнения команды необходимо перезагрузить систему, после перезагрузки появится учетная запись «UWF-Servicing». Дождитесь автоматической установки обновлений и перезагрузки системы.

Режим HORM

Перед включением режима HORM необходимо отключить все возможности перехода системы в режим гибернации и оставить возможность перехода только по консольной команде. Это нужно сделать для сохранения файла гибернации в неизменном виде, при следующем введении системы в гибернацию файл гибернации будет перезаписан.
Чтобы включить режим HORM необходимо соблюсти следующие требования:

  1. Все тома несъемных носителей должны быть защищены
  2. Не должно быть никаких исключений в реестре и файловой системе
  3. Оверлей должен быть в оперативной памяти.

Т.к. режим HORM подразумевает возврат из состояния гибернации при каждой загрузке, то при стандартных настройках системы, система будет запрашивать пароль для входа в учетную запись. Для отключения требования ввода учетных данных необходимо отключить запрос пароля при выходе из спящего режима или отключить блокировку системы.
Включить режим HORM можно только при работающем фильтре записи, для включения HORM’а необходимо выполнить команду

uwfmgr filter enable-HORM

После включения режима HORM приведите систему в то состояние, в котором она должна загружаться все время и переведите систему в режим гибернации.

Чтобы система ушла в режим гибернации без открытого консольного окна, где была выполнена команда перехода в режим гибернации, создайте задачу для перехода в режим гибернации через определенное время

Do {Try {[int]$local:Minute = Read-Host -Prompt 'Через сколько минут перевести систему в гибернацию?'} Catch {continue}} While ($Minute -isnot [int])
Schtasks /Create /F /RU System /TN Hibernate /TR "Shutdown /h" /SC ONCE /SD ((Get-Date).ToString('dd/MM/yyyy') -replace '\.', '/') /ST (Get-Date).AddMinutes($Minute).ToString('HH:mm') /RL HIGHEST

При создании задач учтите, что задачи в планировщике задач не работают в режиме аудита.

Особенности работы

  • Windows 10 1507 – HORM не поддерживается
  • Windows 10 1607 – поддержка HORM заявлена, но фактически не работает
  • Windows 10 1703 – HORM работает только в режиме загрузки «Legacy»
  • В Windows 10 начиная с версии 1709 HORM поддерживает UEFI режим, см. раздел "Note". Для работы в UEFI режиме необходимо установить обновление KB4501835

Официальная документация

uwf_win_10_iot_enterprise.txt · Последние изменения: 2020/09/22 12:56 — vladimir