Это старая версия документа!
Информация в данном разделе актуальна для Windows 10: 1809.
Фильтр записи необходимо включать только после активации системы
В нашем наборе скриптов есть скрипт для упрощения настройки фильтра записи.
С помощью фильтра записи можно:
Запись о событиях производится в журнал системы «Журналы Windows > Система»
Overlay usage | Source | Level | Event ID |
---|---|---|---|
Warning threshold | uwfvol | Warning | 1 |
Critical threshold | uwfvol | Error | 2 |
Back to normal | uwfvol | Information | 3 |
Для автоматической перезагрузки системы при достижении критического порога можно создать задачу. Для создания задачи выполните нижеуказанную команду в среде с повышенными привилегиями.
Schtasks /Create /F /RU SYSTEM /TN ClearOverlay /TR "Shutdown -r -f -t 00" /SC ONEVENT /EC SYSTEM /MO "*[System[Provider[@Name='uwfvol'] and EventID=2]]"
Для автоматического включения фильтра записи после активации системы можно создать задачу
$local:Trigger = New-ScheduledTaskTrigger -AtLogon $local:Settings = New-ScheduledTaskSettingsSet -DontStopIfGoingOnBatteries -AllowStartIfOnBatteries -ExecutionTimeLimit 0 $local:Action = New-ScheduledTaskAction -Execute 'powershell' -Argument '-command "Do {Start-Sleep 1; $LicenseStatus = (Get-WmiObject SoftwareLicensingProduct | Where {($_.ApplicationID -eq ''55c92734-d682-4d71-983e-d6ec3f16059f'') -and ($_.PartialProductKey -ne $null)}).LicenseStatus} Until ($LicenseStatus -eq 1); uwfmgr filter enable | Out-Null; Schtasks /Delete /F /TN UWFEnableOnSystemActivate | Out-Null; Restart-Computer -Force"' Register-ScheduledTask -TaskName 'UWFEnableOnSystemActivate' -Trigger $Trigger -User 'SYSTEM' -Action $Action -Settings $Settings -RunLevel 'Highest' –Force
При создании задач учтите, что задачи в планировщике задач не работают в режиме аудита.
Для включения фильтра записи необходимо добавить компонент фильтра записи в систему. Добавить компонент можно с помощью выполнения нижеуказанной команды, выполненной в среде с повышенными привилегиями.
DISM /online /Enable-Feature /all /FeatureName:Client-UnifiedWriteFilter
После добавления компонента необходимо воспользоваться командами фильтра записи, которые можно посмотреть выполнив команду в среде с повышенными привилегиями
uwfmgr /?
Чтобы фильтр записи начал защищать том необходимо: Указать защищаемый том, например
uwfmgr volume protect c:
И включить фильтр записи
uwfmgr filter enable
Фильтр записи будет включен после перезагрузки
Настройки параметров фильтра записи можно найти в реестре «HKLM\SYSTEM\CurrentControlSet\Services\uwfvol\Parameters». Ниже указаны подразделы вышеуказанного раздела:
В каком из номеров раздела «Copy» находятся настройки для текущего сеанса, а в каком для следующего зависит от значений параметров «CurrentSettings» и «UpdatedSettings», которые находятся в разделе «Static». Т.е. если у параметра «CurrentSettings» значение «0», то настройки текущей сессии будут в разделе «Copy0», а если у параметра «CurrentSettings2 значение «1», то настройки текущей сессии будут в разделе «Copy1».
Описание настроек фильтра записи с помощью WMI можно найти здесь
Для перевода фильтра записи в сервисный режим необходимо выполнить команду «uwfmgr servicing enable». После успешного выполнения команды необходимо перезагрузить систему, после перезагрузки появится учетная запись «UWF-Servicing». Дождитесь автоматической установки обновлений и перезагрузки системы.
Перед включением режима HORM необходимо отключить все возможности перехода системы в режим гибернации и оставить возможность перехода только по консольной команде. Это нужно сделать для сохранения файла гибернации в неизменном виде, при следующем введении системы в гибернацию файл гибернации будет перезаписан.
Чтобы включить режим HORM необходимо соблюсти следующие требования:
Т.к. режим HORM подразумевает возврат из состояния гибернации при каждой загрузке, то при стандартных настройках системы, система будет запрашивать пароль для входа в учетную запись. Для отключения требования ввода учетных данных необходимо отключить запрос пароля при выходе из спящего режима или отключить блокировку системы.
Отключить запрос пароля при выходе из спящего режима можно с помощью команд:
powercfg /setacvalueindex scheme_current SUB_NONE CONSOLELOCK 0 powercfg /setdcvalueindex scheme_current SUB_NONE CONSOLELOCK 0
Нужно выполнить обе команды т.к. одна отключает запрос пароля при питании от сети, а другая от источника постоянного тока
Для включения режима HORM необходимо выполнить команду
uwfmgr filter enable-HORM
После включения режима HORM приведите систему в то состояние, в котором она должна загружаться все время и переведите систему в режим гибернации.
Чтобы система ушла в режим гибернации без открытого консольного окна, где была выполнена команда перехода в режим гибернации, создайте задачу для перехода в режим гибернации через определенное время
Do {Try {[int]$local:Minute = Read-Host -Prompt 'Через сколько минут перевести систему в гибернацию?'} Catch {continue}} While ($Minute -isnot [int]) Schtasks /Create /F /RU System /TN Hibernate /TR "Shutdown /h" /SC ONCE /SD ((Get-Date).ToString('dd/MM/yyyy') -replace '\.', '/') /ST (Get-Date).AddMinutes($Minute).ToString('HH:mm') /RL HIGHEST
При создании задач учтите, что задачи в планировщике задач не работают в режиме аудита.