Salah satu fitur berguna dari Windows 10 (dan Windows 8) adalah adanya filter tulis sistem file khusus - Uwf (Terpadu Menulis Saring) Dengan filter dihidupkan dan dikonfigurasikan, semua perubahan pada file dan direktori pada disk dibuat dalam RAM dan direset ketika komputer dihidupkan ulang.
Bagaimana cara kerja filter UWF? Ini melindungi sistem file dari partisi tertentu dari disk lokal dari perubahan dengan secara transparan mengarahkan semua operasi penulisan ke sistem file menjadi overlay virtual dalam memori, di mana semua perubahan file diakumulasi.
Setelah mem-boot ulang sistem, semua perubahan pada disk yang dilindungi tidak disimpan, mis. sistem selalu kembali ke keadaan semula pada saat filter UWF dihidupkan.
Catatan. Dalam versi Windows sebelumnya, filter rekaman hanya tersedia dalam edisi untuk sistem tertanam (Tertanam), yang digunakan di ATM, sistem POS, terminal swalayan, sistem industri, dll. Sekarang fungsi ini tersedia dalam edisi. Windows 10 Enterprise (termasuk LTSB) dan Windows 10 Pendidikan, membuka skenario tambahan untuk menggunakan Windows di perusahaan dan lembaga pendidikan (kios informasi, kelas pelatihan, tempat demonstrasi, dll.).Filter rekaman UWF adalah komponen terpisah dari sistem dan diaktifkan melalui panel kontrol: Panel Kontrol -> Program dan Fitur -> Aktifkan atau Matikan Fitur Windows -> Penguncian Perangkat -> Terpadu Menulis Saring.
Komponen UWF juga dapat diinstal menggunakan PowerShell:
Aktifkan-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" -Semua
Atau Dism:
DISM.exe / Online / enable-Feature / FeatureName: client-UnifiedWriteFilter
Setelah komponen diinstal, Anda dapat mengelola pengaturan filter menggunakan utilitas uwfmgr.exe.
Untuk mengaktifkan filter UWF, jalankan perintah berikut dan restart komputer:
filter uwfmgr.exe diaktifkan
Ketika Anda mengaktifkan filter, maka secara otomatis mengkonfigurasi ulang sistem untuk menghilangkan operasi penulisan yang tidak perlu ke disk (file swap, restore point, pengindeksan file, defragmentasi dinonaktifkan).
Untuk mengaktifkan proteksi tulis untuk drive sistem tertentu, jalankan perintah:
volume uwfmgr.exe melindungi c:
Sekarang Anda perlu me-restart komputer Anda. Setelah mengunduhnya, semua yang ditulis pengguna ke disk selama sesi akan tersedia baginya hanya sampai komputer di-boot ulang.
Anda dapat memeriksa status filter UWF dengan perintah:
uwfmgr.exe get-config
Dalam contoh kami, terlihat bahwa disk sistem dalam keadaan terlindungi (Volume state: Protected).
File, direktori, atau cabang registri tertentu dapat ditambahkan ke daftar pengecualian filter UWF. Perubahan yang dilakukan pada objek-objek ini akan ditulis langsung ke disk, dan bukan ke overlay. Beberapa direktori dan file tidak dapat ditambahkan ke pengecualian, misalnya:
- File registri di direktori \ Windows \ System32 \ config \
- Drive root
- Direktori \ Windows, \ Windows \ System32, \ Windows \ System32 \ Drivers
- Dll.
Untuk menambahkan file atau folder tertentu ke pengecualian, jalankan perintah:
Tambah-pengecualian file Uwfmgr.exe c: \ student
Atau
Uwfmgr.exe menambahkan-pengecualian file c: \ student \ report.docx
Untuk mengizinkan penulisan perubahan pada kunci registri:
Pengaya tambahan registri Uwfmgr.exe “HKLM \ Software \ MyRegKey”
Anda harus me-restart komputer Anda untuk menerapkan pengecualian..
Saat melakukan pemeliharaan sistem (menginstal pembaruan, memperbarui antivirus, menyalin file baru), Anda harus meletakkan komputer dalam mode layanan khusus:
Servis Uwfmgr.exe memungkinkan
Komputer melakukan booting dengan akun Servis UWF setempat dan Anda dapat menginstal pembaruan yang diperlukan. Setelah itu, komputer akan secara otomatis restart dalam mode normal dengan filter UWF dihidupkan.
Transisi sistem ke mode pemeliharaan dapat diotomatisasi menggunakan penjadwal tugas.
Catatan. Filter UWF tidak dapat digunakan untuk melindungi data pada flash drive dan perangkat USB eksternal. Kemungkinan besar, dimasukkannya perlindungan penulisan untuk disk seperti Removable dilarang di tingkat perangkat lunak. Namun, keterbatasan ini dapat diatasi dengan bantuan trik semacam itu..Untuk operasi yang benar dari beberapa layanan, Anda harus menambahkan jalur ke direktori, file, dan cabang registri mereka ke daftar pengecualian filter. Dalam daftar berikut, saya telah mengumpulkan pengecualian khas untuk beberapa subsistem:
Pengecualian untuk Bits:
- % ALLUSERSPROFILE% \ Microsoft \ Network \ Downloader
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ BITS \ StateIndex
Pengecualian untuk operasi yang benar di jaringan nirkabel:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Wireless \ GPTWirelessPolicy
- C: \ Windows \ wlansvc \ Kebijakan
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ wlansvc
- C: \ ProgramData \ Microsoft \ wlansvc \ Profiles \ Antarmuka \ \ . Xml
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Wlansvc
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ WwanSvc
Pengecualian untuk operasi yang benar dalam jaringan kabel:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WiredL2 \ GP_Policy
- C: \ Windows \ dot2svc \ Kebijakan
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ dot3svc
- C: \ ProgramData \ Microsoft \ dot3svc \ Profiles \ Interfaces \ \ . Xml
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ dot3svc
Pengecualian untuk Windows Defender
- C: \ Program Files \ Windows Defender
- C: \ ProgramData \ Microsoft \ Windows Defender
- C: \ Windows \ WindowsUpdate.log
- C: \ Windows \ Temp \ MpCmdRun.log
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender
Untuk benar-benar mematikan filter UWF (setelah reboot, semua perubahan pada disk akan disimpan secara permanen)
filter uwfmgr.exe dinonaktifkan
Atau Anda dapat menonaktifkan perlindungan filter untuk bagian tertentu:
volume uwfmgr.exe tidak dilindungi C:
Itu penting. Jika, karena operasi filter non-root, sistem tidak bisa boot, Anda dapat menonaktifkan filter dengan mem-boot dari disk boot dan mengedit registri offline:
- Anda dapat menonaktifkan awal filter di cabang HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ uwfvol dengan menetapkan nilai parameter mulai pada 4.
- Hapus baris uwfvol pada kunci HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ Class \ 71a27cdd-812a-11d0-bec7-08002be2092f \ Filter Lebih Rendah
Dari skenario menarik yang filter UWF menyediakan kemampuan untuk mengimplementasikan:
- Akselerasi Windows (tidak ada yang ditulis ke disk, dan semua operasi penulisan ke disk dilakukan dalam RAM)
- Saat Anda menjalankan Windows pada media SSD / CompactFlash, Anda bisa mendapatkan pengurangan yang signifikan pada keausan drive karena berkurangnya operasi penulisan
- Melakukan berbagai percobaan, menguji perangkat lunak pihak ketiga dan mempelajari malware
