统一写入筛选器 (UWF)功能

  • 项目

统一写入筛选器 (UWF) 是一个可选的 Windows 10 功能,它通过拦截驱动器的所有写入(应用安装、设置更改、保存的数据)并将其重定向到虚拟覆盖层来帮助保护驱动器。 虚拟覆盖是在重新启动期间或来宾用户注销时清除的临时位置。

好处

  • 为经常有来宾用户使用的瘦客户端和工作区(例如学校、图书馆或酒店的计算机)提供干净的体验。 来宾用户可以在这些计算机上工作、更改设置和安装软件。 设备重启后,下一个来宾用户仍可以获得干净的体验。

  • 在不经常添加新应用的情况下提高安全性和可靠性。

  • 可用于减轻固态硬盘和其他写入敏感型媒体的磨损。

  • 优化启动时应用程序的加载时间 - 每次启动时从 HORM 文件恢复比重新加载系统更快

UWF 取代了 Windows 7 增强型写入筛选器 (EWF) 和基于文件的写入筛选器 (FBWF)。

功能

  • UWF 可以保护大多数受支持的可写存储类型,包括物理硬盘、固态硬盘、内部 USB 设备和外部 SATA 设备。 不能使用 UWF 来保护外部可移动驱动器、USB 设备或 U 盘。 支持主启动记录 (MBR) 和 GUID 分区表 (GPT) 卷。

  • 可以使用 UWF 使只读媒体作为可写卷显示给操作系统。

  • 可以使用 uwfmgr.exe 在 Windows 10 设备上直接管理 UWF,也可以使用包含 UnifiedWriteFilter CSPUWF WMI 的 MDM 工具远程管理 UWF。

  • 可以通过使用 UWF 维护模式或将文件和注册表排除项添加到特定系统区域来更新和维护由 UWF 保护的设备

  • 在 Windows 10 版本 1803 上,可以使用永久性覆盖层,使保存在虚拟覆盖层中的数据即使在重启后也仍会保留。

  • 在具有磁盘覆盖的设备上,可以使用可用空间直通来访问驱动器的可用空间。

  • 如果页面文件存在于不受保护的卷上,UWF 支持分页以增加虚拟内存。 当分页与基于 RAM 的覆盖一起使用时,可以增加系统的正常运行时间。

要求

Windows 版本 支持
Windows 家庭版
Windows 专业版
Windows 企业版
Windows 教育版
Windows IoT 企业版

限制

  • 文件系统:

    • FAT:完全支持。
    • NTFS:完全支持。 但是,在设备启动期间,NTFS 文件系统日记文件可以在 UWF 开始保护卷之前写入到受保护的卷。
    • 其他文件系统(例如 exFAT):可以保护卷,但无法在卷上创建文件排除项或执行文件提交操作。 写入到已排除的文件仍会影响覆盖层的增长。

  • 覆盖不会镜像整个卷,但会动态增长以跟踪重定向的写入。

  • UWF 支持最大 16 TB 的受保护卷。

  • UWF 不支持在关闭设备时使用快速启动。 如果启用了快速启动,则关闭设备不会清除覆盖。 可以在控制面板中禁用快速启动:导航到“控制面板”>“所有控制面板项”>“电源选项”>“系统设置”,并清除“打开快速启动(建议)”旁边的复选框

  • UWF 不支持存储空间

  • 启用了 UWF 并将其用于保护驱动器 C 的计算机上,无法将日期和时间永久设置为过去的时间。 如果进行此类更改,计算机重启后将还原原始日期和时间设置。

    要解决此问题,必须先禁用 UWF,然后才能使用以下命令更改日期和时间。

    uwfmgr.exe filter disable

    注意

    不要通过将保留日期和时间设置的文件(“%windir%\bootstat.dat”)添加到写入筛选器排除项来解决此问题。 这样做会导致发生“停止”错误 0x7E (SYSTEM_THREAD_EXCEPTION_NOT_HANDLED)。

打开和配置 UWF

UWF 是一个可选组件,在 Windows 10 中默认未启用。 必须先打开 UWF,然后才能对其进行配置。

UWF 覆盖层

可以在重新启动后选择覆盖、保留空间和持久化的类型。

若要增加正常运行时间,请设置监视以检查覆盖层是否已填满。 达到特定级别时,设备可以警告用户和/或重启设备。

有关详细信息,请参阅 UWF 覆盖层的位置和大小

卷是一个逻辑单元,用于标识操作系统使用的文件系统的永久性存储区域,例如:

  • 单个物理存储设备,例如硬盘
  • 包含多个分区的物理存储设备上的单个分区
  • 跨多个物理存储设备

例如,RAID 阵列中的硬盘集合可以代表操作系统的单个卷。

配置 UWF 来保护卷时,可以使用驱动器号或卷设备标识符来指定卷。 若要确定卷的设备标识符,请查询 Win32_Volume WMI 类中的 DeviceID 属性

如果你使用驱动器号指定卷,UWF 将使用松散绑定来识别卷。 使用松散绑定时,驱动器号会随着卷配置的更改而动态分配。

如果你使用卷设备标识符指定卷,UWF 将使用紧密绑定来识别卷。 使用紧密绑定时,设备标识符对于存储卷是唯一的,并且独立于文件系统分配给卷的驱动器号。

排除项

可以将特定文件、文件夹和注册表项添加到写入筛选器排除列表,以防止筛选它们。

UWF 维护模式

在使用 UWF 保护设备时,必须使用 UWF 维护模式命令来维护设备,并对映像应用更新。 可以使用 UWF 维护模式来应用 Windows 更新、反恶意软件签名文件更新,以及自定义软件或第三方软件更新。

有关如何使用 UWF 维护模式将软件更新应用于设备的详细信息,请参阅维护 UWF 保护的设备

排查 UWF 问题

UWF 使用 Windows 事件日志来记录与覆盖层使用、配置更改和维护相关的事件、错误与消息。

若要详细了解如何查找用于排查统一写入筛选器 (UWF) 问题的事件日志信息,请参阅排查统一写入筛选器 (UWF) 问题