UWF (ตัวกรองการเขียนแบบรวม) เป็นตัวกรองการเขียนระบบไฟล์พิเศษใน Windows 10 ที่ให้คุณปกป้องระบบ Windows และไฟล์ผู้ใช้บนไดรฟ์ในเครื่องจากการเปลี่ยนแปลงใดๆ เมื่อเปิดใช้งานตัวกรอง UWF การดำเนินการเขียนใดๆ ไปยังดิสก์ที่ได้รับการป้องกันหรือการลงทะเบียนระบบจะถูกสกัดกั้นโดยไดรเวอร์ตัวกรอง UWF และวางในพื้นที่เสมือนแยกต่างหาก (โอเวอร์เลย์) หลังจากรีสตาร์ท Windows การเปลี่ยนแปลงทั้งหมดบนไดรฟ์ที่ได้รับการป้องกันจะไม่ถูกบันทึก กล่าวคือ Windows จะแปลงกลับเป็นสถานะเดิมเสมอเมื่อเปิดใช้งานตัวกรอง UWF
ตัวกรอง UWF ทำงานอย่างไร ปกป้องระบบไฟล์ของพาร์ติชันที่เลือกบนดิสก์ภายในเครื่องจากการเปลี่ยนแปลงโดยการเปลี่ยนเส้นทางการดำเนินการเขียนระบบไฟล์ทั้งหมดไปยังโอเวอร์เลย์เสมือนซึ่งการเปลี่ยนแปลงทั้งหมดจะถูกเก็บไว้
หมายเหตุ . ใน Windows เวอร์ชันก่อนหน้า ตัวกรองการเขียนมีเฉพาะใน Embedded รุ่นที่ใช้ใน ATM, ระบบ POS, คีออสก์, เทอร์มินัลแบบบริการตนเอง, ระบบอุตสาหกรรม ฯลฯ ตอนนี้ฟีเจอร์นี้พร้อมใช้งานใน Windows 10 Enterprise (รวมถึง LTSB/LTSC) และ Windows 10 Education . ซึ่งเป็นการเปิดสถานการณ์เพิ่มเติมสำหรับการใช้ Windows ในองค์กรและสถาบันการศึกษา (ตู้ข้อมูล ห้องศึกษา แท่นสาธิต ฯลฯ)จะเปิดใช้งานและกำหนดค่า Unified Write Filter บน Windows 10 ได้อย่างไร
ตัวกรอง UWF เป็นคุณลักษณะ Windows แยกต่างหากที่เปิดใช้งานผ่านแผงควบคุม -> โปรแกรมและคุณลักษณะ -> เปิดหรือปิดคุณลักษณะของ Windows -> การล็อกอุปกรณ์ -> Unified Write Filter .
คุณติดตั้งฟีเจอร์ UWF ได้โดยใช้ PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" –All
หรือ DISM:
DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter
uwfmgr.exe เครื่องมือคอนโซลใช้สำหรับจัดการการตั้งค่า UWF
หากต้องการเปิดใช้งานตัวกรอง UWF ใน Windows 10 ให้เรียกใช้คำสั่งต่อไปนี้และรีสตาร์ทคอมพิวเตอร์:
uwfmgr.exe filter enable
หลังจากเปิดใช้งานตัวกรอง UWF แล้ว ระบบจะกำหนดค่าระบบใหม่โดยอัตโนมัติเพื่อแยกการดำเนินการเขียนดิสก์ที่ไม่จำเป็น (ไฟล์เพจ จุดคืนค่า การจัดทำดัชนีไฟล์ การจัดเรียงข้อมูลถูกปิดใช้งาน)
หากต้องการเปิดใช้งานการป้องกันการเขียนสำหรับไดรฟ์เฉพาะ ให้เรียกใช้คำสั่งนี้:
uwfmgr.exe volume protect c:
ตอนนี้รีสตาร์ทเครื่องคอมพิวเตอร์ของคุณ หลังจากการรีสตาร์ท ทุกอย่างที่ผู้ใช้เขียนบนดิสก์ระหว่างเซสชันจะใช้งานได้จนกว่าคอมพิวเตอร์เครื่องถัดไปจะรีบูต การเปลี่ยนแปลงใดๆ จะถูกยกเลิก
คุณสามารถตรวจสอบสถานะ UWF ได้โดยใช้คำสั่งนี้:
uwfmgr.exe get-config
ในตัวอย่างนี้ คุณจะเห็นว่าดิสก์ระบบได้รับการปกป้อง ตัวกรอง UWF ถูกเปิดใช้งาน (Volume state: Protected ).
การตั้งค่าโอเวอร์เลย์ปัจจุบันซึ่ง UWF จัดเก็บข้อมูลชั่วคราวสามารถแสดงได้โดยใช้คำสั่ง:
uwfmgr overlay get-config
คุณสามารถกำหนดค่าพารามิเตอร์โอเวอร์เลย์ UWF ต่อไปนี้ได้:
- พิมพ์ - ประเภทโอเวอร์เลย์ คุณสามารถจัดเก็บข้อมูลบนดิสก์ (DISK) หรือใน RAM ได้
- ขนาดสูงสุด – ขนาดโอเวอร์เลย์สูงสุด
- เกณฑ์คำเตือน – ขนาดโอเวอร์เลย์ หากเกิน ควรแสดงคำเตือน
- เกณฑ์วิกฤต – ขนาดของโอเวอร์เลย์ หากเกิน ข้อผิดพลาด UWF จะปรากฏขึ้น
- ทะลุผ่านช่องฟรีสเปซ – ใช้สำหรับโหมดโอเวอร์เลย์ดิสก์เท่านั้น ให้คุณเขียนข้อมูลลงในพื้นที่ว่างบนดิสก์ได้ ไม่ใช่ไฟล์พิเศษ
ค่าเริ่มต้นคือโอเวอร์เลย์ RAM 1 GB
คุณสามารถเปลี่ยนการตั้งค่าโอเวอร์เลย์ได้ (หากคุณมี RAM ว่างเพียงพอ):
uwfmgr overlay set-size 8192
uwfmgr overlay set-criticalthreshold 8192
uwfmgr overlay set-warningthreshold 7168
หากคุณต้องการใช้การซ้อนทับ DISK ให้รันคำสั่ง:
uwfmgr overlay set-type Disk
ขนาดปัจจุบันของข้อมูลในโอเวอร์เลย์สามารถแสดงได้ดังนี้:
uwfmgr overlay get-consumption
พื้นที่ว่างที่เหลืออยู่:
uwfmgr overlay get-availablespace
บริการตัวกรองการเขียนแบบรวมบน Windows 10
เมื่อดำเนินการบำรุงรักษาระบบ (ติดตั้งการอัปเดต อัปเดตลายเซ็นป้องกันไวรัส) คุณต้องกำหนดให้อุปกรณ์ Windows ของคุณอยู่ในโหมดการให้บริการ UWF พิเศษ:
uwfmgr servicing enable
หลังจากรีสตาร์ท Windows จะบู๊ตภายใต้ UWF-Servicing บัญชีและติดตั้งการอัปเดต Windows ที่มีอยู่โดยอัตโนมัติ (ผ่าน Windows Update หรือการอัปเดต WSUS ที่ได้รับอนุมัติ) อัปเดตลายเซ็นป้องกันไวรัส หากต้องการ คุณสามารถเข้าสู่ระบบคอมพิวเตอร์โดยใช้บัญชี UWF-Servicing (ไม่ทราบรหัสผ่านสำหรับผู้ใช้รายนี้ แต่คุณสามารถรีเซ็ตได้)
หลังจากที่ผู้ใช้บริการ UWF เข้าสู่ระบบโดยอัตโนมัติแล้ว uwfservicingshell.exe เครื่องมือเริ่มทำงาน ซึ่งรันสคริปต์การบริการของ Windows 10 คุณไม่สามารถทำอย่างอื่นในโหมดบริการได้
หลังจากติดตั้งการอัปเดตแล้ว คอมพิวเตอร์จะรีสตาร์ทโดยอัตโนมัติในโหมดปกติโดยเปิดใช้งานตัวกรอง UWF
คุณยังสามารถติดตั้งการอัปเดต Windows โดยไม่ต้องเข้าสู่โหมดการให้บริการ ใช้คำสั่ง:
uwfmgr servicing update-windows
Unified Write Filter updated Windows result: REBOOT REQUIRED.
การเพิ่มการยกเว้นตัวกรอง Unified Write ใน Windows 10
หากคุณต้องการบังคับให้บันทึกไฟล์ที่แก้ไขลงในดิสก์ในขณะที่เปิดใช้งานตัวกรอง UWF คุณต้องเรียกใช้คำสั่ง:
uwfmgr file commit C:\Labs\MyApp.exe
ตอนนี้ไฟล์จะไม่ถูกลบแม้ว่าคุณจะรีสตาร์ท Windows
หากต้องการลบไฟล์ที่เปิดใช้งาน UWF อย่างสมบูรณ์ ให้ใช้คำสั่ง:
uwfmgr file commit-delete C:\Labs\MyApp.exe
uwfmgr registry commit ...
uwfmgr registry commit-delete ...
คุณสามารถเพิ่มไฟล์ ไดเร็กทอรี หรือรีจิสตรีคีย์บางรายการในรายการการยกเว้น UWF การเปลี่ยนแปลงที่คุณทำกับรายการเหล่านี้จะถูกเขียนโดยตรงไปยังดิสก์ ไม่ใช่ที่โอเวอร์เลย์
หากต้องการเพิ่มไฟล์หรือโฟลเดอร์เฉพาะในการยกเว้น ให้เรียกใช้คำสั่งต่อไปนี้:
Uwfmgr.exe file add-exclusion c:\labs
หรือ:
Uwfmgr.exe file add-exclusion c:\labs\report.docx
วิธีเพิ่มการยกเว้นสำหรับคีย์รีจิสทรี:
Uwfmgr.exe registry add-exclusion “HKLM\Software\My_RegKey”
คุณต้องรีสตาร์ทคอมพิวเตอร์เพื่อใช้รายการยกเว้นใหม่
หากต้องการแสดงรายการการยกเว้นของตัวกรอง UWF ให้เรียกใช้คำสั่ง:
uwfmgr file get-exclusions
วิธีลบไฟล์ออกจากข้อยกเว้น:
uwfmgr file remove-exclusion c:\student\report.docx
คุณไม่สามารถเพิ่มการยกเว้นสำหรับไฟล์ระบบหรือโฟลเดอร์บางรายการ เช่น:
- ไฟล์รีจิสทรีใน \Windows\System32\config\;
- รากของวอลุ่ม
- \Windows, \Windows\System32, \Windows\System32\Drivers;
- Pagefile.sys, swapfile.sys;
- เป็นต้น
เพื่อให้บริการบางอย่างทำงานได้อย่างถูกต้อง คุณต้องเพิ่มพาธไปยังไดเร็กทอรี ไฟล์ และรีจิสตรีคีย์ในรายการยกเว้น ฉันได้รวบรวมข้อยกเว้นทั่วไปสำหรับระบบย่อย Windows บางระบบไว้ด้านล่าง:
ข้อยกเว้นสำหรับ BITS:
- % ALLUSERSPROFILE%\Microsoft\Network\Downloader
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\BITS\StateIndex
ข้อยกเว้นสำหรับการทำงานที่ถูกต้องในเครือข่ายไร้สาย (ข้อยกเว้นเหล่านี้จะอนุญาตให้คุณเชื่อมต่อกับเครือข่าย Wi-Fi และบันทึกโปรไฟล์ WLAN):
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy
- C:\Windows\wlansvc\Policies
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc
- C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces\{
}\{ }.xml - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc
ข้อยกเว้นสำหรับการทำงานที่ถูกต้องในเครือข่ายแบบมีสาย:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy
- C:\Windows\dot2svc\Policies
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc
- C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces\{
}\{<โปรไฟล์ GUID>}.xml - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc
ข้อยกเว้นสำหรับ Windows Defender
- C:\Program Files\Windows Defender
- C:\ProgramData\Microsoft\Windows Defender
- C:\Windows\WindowsUpdate.log
- C:\Windows\Temp\MpCmdRun.log
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
จะรีเซ็ตหรือปิดใช้งานตัวกรอง UWF ได้อย่างไร
คุณสามารถรีเซ็ตการตั้งค่าตัวกรอง UWF เป็นค่าเริ่มต้นได้ (ในขณะที่เปิดตัวกรอง):
uwfmgr filter reset-settings
หากต้องการปิดใช้งาน UWF โดยสมบูรณ์ (หลังจากรีบูต การเปลี่ยนแปลงทั้งหมดบนดิสก์จะถูกบันทึกไว้):
uwfmgr.exe filter disable
หรือคุณสามารถปิดใช้งานตัวกรองสำหรับไดรฟ์ข้อมูลเฉพาะ:
uwfmgr.exe volume unprotect E:
- ปิดการใช้งานโปรแกรมควบคุมอัตโนมัติ UWF โดยการเปลี่ยนค่าของ เริ่ม พารามิเตอร์เป็น 4 ในคีย์ reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol;
- ลบ uwfvol สตริงใน HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower Filters
UWF พร้อม HORM (ไฮเบอร์เนตหนึ่งครั้ง/กลับมาทำงานต่อหลายครั้ง) บน Windows 10
เริ่มต้นด้วย Windows 10 1709 โหมดตัวกรอง UWF อื่นปรากฏขึ้น – ไฮเบอร์เนตครั้งเดียว/กลับมาทำงานต่อหลายครั้ง (HORM) . โหมดนี้ช่วยให้คุณรับสถานะของ Windows ได้อย่างรวดเร็วด้วยแอพที่รันอยู่และไฟล์ที่เปิดอยู่ ทุกครั้งที่คอมพิวเตอร์เริ่มทำงาน Windows จะกลับสู่สถานะนี้ทันที
ข้อจำกัดของโหมด HORM ใน Windows 10:
- ต้องเปิดใช้งานตัวกรอง UWF สำหรับไดรฟ์ในเครื่อง (คงที่) ทั้งหมด
- ไม่รองรับข้อยกเว้นตัวกรอง UWF
- โอเวอร์เลย์ทำงานในโหมด RAM (ไม่รองรับการซ้อนทับดิสก์)
- การไฮเบอร์เนตและการเริ่มต้นอย่างรวดเร็วถูกปิดใช้งาน
หากต้องการเปิดใช้งาน HORM คุณต้องเรียกใช้คำสั่ง:
uwfmgr filter enable-horm
Unified Write Filter enabled HORM. Please hibernate the system to use HORM functionality. The system must be hibernated at least once after run enable-horm command, or it may bring the system into corrupted state.
กำหนดค่าสภาพแวดล้อมการทำงานของผู้ใช้ (เรียกใช้แอปพลิเคชันที่จำเป็น เปิดไฟล์ ฯลฯ) จากนั้นให้คอมพิวเตอร์เข้าสู่โหมดไฮเบอร์เนตด้วยคำสั่ง:
shutdown /h
ปลุกคอมพิวเตอร์ของคุณแล้วรีสตาร์ท ในการรีบูตครั้งถัดไป Windows 10 จะเริ่มในสถานะที่จัดเก็บไว้ในไฟล์ไฮเบอร์เนตทันที
หากต้องการปิดใช้งานโหมด HORM ให้เรียกใช้คำสั่ง:
uwfmgr filter disable-horm
UWF นำเสนอสถานการณ์ที่น่าสนใจ:
- ปรับปรุงประสิทธิภาพของ Windows (ไม่มีอะไรเขียนบนดิสก์ การดำเนินการเขียนทั้งหมดจะดำเนินการในหน่วยความจำ เช่น บนดิสก์ RAM)
- คุณลดการสึกหรอของไดรฟ์โซลิดสเทต (SSD/CompactFlash) ได้เนื่องจากการเขียนน้อยลง
- ทดลอง ทดสอบซอฟต์แวร์ของบริษัทอื่น และศึกษามัลแวร์ (เพื่อจุดประสงค์เหล่านี้ คุณยังใช้ Windows 10 Sandbox ได้อีกด้วย)
