Windows 10(和Windows 8)的一个有用功能是特殊的文件系统写过滤器–UWF(统一写过滤器)。如果启用并配置了过滤器,则磁盘上的文件和目录的所有更改都将在RAM中进行,并在重新引导后重置。
UWF如何运作?它通过透明地将文件系统中的所有写入操作重定向到存储器中存储所有更改的内存中的虚拟覆盖,来保护本地磁盘上所选分区的文件系统不被更改。
重新引导系统后,不会保存受保护磁盘的更改,即系统在启用UWF时始终返回其原始状态。
注意。在以前的Windows版本中,写入过滤器仅适用于ATM,POS系统,支付信息亭,工业系统等中使用的嵌入式系统的版本。现在,此功能在Windows 10企业版(包括LTSB)和Windows 10教育版中可用,因此在公司和教育机构(信息亭,学习室,展示架等)中提供Windows使用的其他方案。
UWF是一个单独的系统组件,在控制面板 – >程序和功能 – >打开或关闭Windows功能 – >设备锁定 – > 统一写过滤器中启用。
也可以使用PowerShell安装UWF组件:
Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" –All
或者DISM:
DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter
安装组件后,您可以使用uwfmgr.exe实用程序管理筛选器设置。
要启用UWF,请运行此命令并重新启动计算机:
uwfmgr.exe filter enable
启用过滤器后,它会自动重新配置系统以消除任何写入操作(交换文件,还原点,文件索引,碎片整理被禁用)。
要为特定系统磁盘启用写保护,请运行以下命令:
uwfmgr.exe volume protect c:
现在重新启动计算机。重新启动后,用户在会话期间在磁盘上写入的所有内容将仅在下次重新启动时可用。
您可以使用以下命令检查UWF状态:
uwfmgr.exe get-config
在我们的示例中,您可以看到系统磁盘受到保护(卷状态:受保护)。
您可以将某些文件,目录或注册表项添加到UWF排除列表中。您对这些项目所做的更改将直接写入磁盘,而不是叠加。您无法为某些文件或文件夹添加排除项,例如:
- \ Windows \ System32 \ config \中的注册表文件
- 卷的根
- \ Windows,\ Windows \ System32,\ Windows \ System32 \ Drivers
- 等等。
要将特定文件或文件夹添加到排除项,请运行以下命令:
Uwfmgr.exe file add-exclusion c:\labs
要么
Uwfmgr.exe file add-exclusion c:\labs\report.docx
要为注册表项添加排除项:
Uwfmgr.exe registry add-exclusion “HKLM\Software\My_RegKey”
要应用排除项,请重新启动计算机。
在开始维护(更新安装,防病毒软件更新,复制新文件)之前,您必须切换到特殊服务模式:
Uwfmgr.exe servicing enable
计算机在本地帐户UWF-Servicing下启动,您可以安装所需的更新。完成后,计算机将在启用UWF的正常模式下自动重启。
您可以使用任务计划程序自动切换到服务模式。
注意。UWF不能用于保护闪存驱动器和外部USB设备上的数据。似乎在软件级别禁止为可移动磁盘类型启用写入过滤器。但是,您可以通过Windows中可移动USB驱动器作为固定磁盘的技巧来绕过此限制。
要使某些服务正常工作,您必须将其目录,文件和注册表分支的路径添加到排除列表中。我收集了以下某些子系统的典型排除:
BITS的例外情况:
- %ALLUSERSPROFILE%\ Microsoft \ Network \ Downloader
- HKEY_LOCAL_MACHINE \ SOFTWARE \微软\的Windows \ CurrentVersion \ BITS \ StateIndex
在wirelss网络中正确工作的例外情况:
- HKEY_LOCAL_MACHINE \ SOFTWARE \政策\微软\的Windows \无线\ GPTWirelessPolicy
- C:\ WINDOWS \ WLANSVC \政策
- HKEY_LOCAL_MACHINE \ SOFTWARE \微软\ WLANSVC
- C:\ ProgramData \ Microsoft \ wlansvc \ Profiles \ Interfaces \ {<Interface GUID>} \ {<Profile GUID>}。xml
- HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \服务\ WLANSVC
- HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \服务\ WwanSvc
有线网络中正确工作的排除:
- HKEY_LOCAL_MACHINE \ SOFTWARE \政策\微软\的Windows \ WiredL2 \ GP_Policy
- C:\ WINDOWS \ dot2svc \政策
- HKEY_LOCAL_MACHINE \ SOFTWARE \微软\ DOT3SVC
- C:\ ProgramData \ Microsoft \ dot3svc \ Profiles \ Interfaces \ {<Interface GUID>} \ {<Profile GUID>}。xml
- HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \服务\ DOT3SVC
Windows Defender的排除项
- C:\ Program Files \ Windows Defender
- C:\ ProgramData \ Microsoft \ Windows Defender
- C:\ WINDOWS \ windowsupdate.log处
- C:\ WINDOWS \ TEMP \ MpCmdRun.log
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender
要完全禁用UWF(重启后所有更改都将永久保存):
uwfmgr.exe filter disable
或者,您可以禁用特定卷的过滤器:
uwfmgr.exe volume unprotect C:
重要的。如果由于过滤器的错误工作而导致系统无法启动,则可以通过从安装磁盘启动并在脱机模式下编辑注册表来禁用过滤器:
- 通过将start参数的值更改为4,可以在HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ uwfvol中禁用过滤器启动。
- 删除uwfvol在HKEY_LOCAL_MACHINE \ SYSTEM串\ ControlSet001 \控制\类\ {71A27CDD-812A-11D0-BEC7-08002BE2092F} \下过滤器
B5pjGZnp
what?