在 Windows 10 上使用统一写入筛选器 (UWF)

UWF（统一写入过滤器）是 Windows 10 中的特殊文件系统写入过滤器，可让您保护本地驱动器上的 Windows 系统和用户文件免受任何更改。启用 UWF 筛选器后，对受保护磁盘或系统注册表的任何写入操作都会被 UWF 筛选器驱动程序拦截，并放置在单独的虚拟空间（覆盖）中。重新启动 Windows 后，受保护驱动器上的所有更改都不会保存，即 Windows 始终恢复到启用 UWF 过滤器时的原始状态。

UWF 过滤器如何工作？它通过透明地将所有文件系统写入操作重定向到存储所有更改的虚拟覆盖，从而保护本地磁盘上选定分区的文件系统免受更改。

注意。在以前的Windows版本中，写入过滤器仅在嵌入式版本中可用，用于ATM、POS系统、自助服务终端、自助服务终端、工业系统等。现在，此功能在Windows 10 Enterprise（包括LTSB/LTSC）和Windows 10 Education中可用。这为在企业和教育机构（信息亭、学习室、演示台等）中使用 Windows 开辟了更多场景。

如何在 Windows 10 上启用和配置统一写入过滤器？

UWF 筛选器是一项单独的 Windows 功能，可通过控制面板 -> 程序和功能 -> 打开或关闭 Windows 功能 -> 设备锁定 -> 统一写入筛选器 启用。

还可以使用 PowerShell 安装 UWF 功能：

Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" -All

或DISM：

DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter

uwfmgr.exe 控制台工具用于管理 UWF 设置。

要在 Windows 10 上启用 UWF 过滤器，请运行以下命令并重新启动计算机：

uwfmgr.exe filter enable

启用 UWF 过滤器后，它会自动重新配置系统以排除不必要的磁盘写入操作（禁用分页文件、还原点、文件索引、碎片整理）。

要启用特定驱动器的写保护，请运行以下命令：

uwfmgr.exe volume protect c:

现在重新启动您的计算机。重新启动后，用户在会话期间在磁盘上写入的所有内容都将仅在下一次计算机重新启动之前可用。任何更改都将被丢弃。

您可以使用以下命令检查 UWF 状态：

uwfmgr.exe get-config

在此示例中您可以看到系统磁盘受到保护，UWF 过滤器已启用（

Volume state: Protected

）。

可以使用以下命令显示 UWF 存储临时数据的当前覆盖设置：

uwfmgr overlay get-config

您可以配置以下 UWF 覆盖参数：

• 类型 - 叠加类型。可以将数据存储在磁盘（DISK）或RAM中；

• 最大尺寸 - 最大叠加尺寸；

• 警告阈值 - 叠加大小，如果超过，应显示警告；

• 临界阈值 - 叠加层的大小，如果超过，会出现UWF错误；

• 自由空间直通 - 仅用于磁盘覆盖模式。允许您将数据写入磁盘上的任何可用空间，而不是特殊文件。

默认为 1 GB RAM 覆盖。

您可以更改覆盖设置（如果您有足够的可用 RAM）：

uwfmgr overlay set-size 8192
uwfmgr overlay set-criticalthreshold 8192
uwfmgr overlay set-warningthreshold 7168

如果需要使用DISK覆盖，请运行命令：

uwfmgr overlay set-type Disk

覆盖中数据的当前大小可以显示如下：

uwfmgr overlay get-consumption

剩余可用空间：

uwfmgr overlay get-availablespace

Windows 10 上的统一写入筛选器服务

执行系统维护任务（安装更新、更新防病毒签名）时，您需要将 Windows 设备置于特殊的 UWF 服务模式：

uwfmgr servicing enable

重新启动后，Windows 将在本地 UWF-Servicing 帐户下启动，并自动安装可用的 Windows 更新（通过 Windows 更新或批准的 WSUS 更新）、更新防病毒签名。如果您愿意，您可以使用 UWF-Servicing 帐户登录计算机（该用户的密码未知，但您可以重置它）。

UWF-Servicing用户自动登录后，

uwfservicingshell.exe

工具启动，运行 Windows 10 服务脚本。在服务模式下您无法执行任何其他操作。

安装更新后，计算机将自动以正常模式重新启动，并启用 UWF 过滤器。

您还可以在不进入服务模式的情况下安装 Windows 更新。使用命令：

uwfmgr servicing update-windows

Unified Write Filter updated Windows result: REBOOT REQUIRED.

在 Windows 10 上添加统一写入过滤器排除

如果在启用 UWF 过滤器时需要强制将修改后的文件保存到磁盘，则需要运行以下命令：

uwfmgr file commit C:\Labs\MyApp.exe

现在，即使重新启动 Windows，该文件也不会被删除。

要完全删除启用了 UWF 的文件，请使用以下命令：

uwfmgr file commit-delete C:\Labs\MyApp.exe

用于注册表的类似 UWF 命令：

uwfmgr registry commit ...
uwfmgr registry commit-delete ...

您可以将某些文件、目录或注册表项添加到 UWF 排除列表中。您对这些项目所做的更改将直接写入磁盘，而不是覆盖。

要将特定文件或文件夹添加到排除项，请运行以下命令：

Uwfmgr.exe file add-exclusion c:\labs

或者 ：

Uwfmgr.exe file add-exclusion c:\labs\report.docx

要添加注册表项的排除项：

Uwfmgr.exe registry add-exclusion “HKLM\Software\My_RegKey”

您必须重新启动计算机才能应用新的排除列表。

要列出 UWF 筛选器的排除项，请运行以下命令：

uwfmgr file get-exclusions

要从排除中删除文件：

uwfmgr file remove-exclusion c:\student\report.docx

您无法添加某些系统文件或文件夹的排除项，例如：

• \Windows\System3 中的注册表文件

• 卷的根；

• \Windows、\Windows\System32、\Windows\System32\Drivers；

• 页面文件.sys、交换文件.sys；

• ETC。

注意。 UWF 不能用于保护闪存驱动器和外部 USB 设备上的数据。软件级别似乎不支持为可移动磁盘类型启用写入过滤器。但是，您可以使用文章“可移动 USB 驱动器作为 Windows 中的固定磁盘”中的技巧来绕过此限制。

为了使某些服务正常工作，您必须将其目录、文件和注册表项的路径添加到排除列表中。我收集了以下一些 Windows 子系统的典型排除：

BITS 的排除：

• % ALLUSERSPROFILE%\Microsoft\Network\Downloader

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\BITS\StateIndex

在无线网络中正常工作的排除情况（这些例外情况将允许您连接到 Wi-Fi 网络并保存 WLAN 配置文件）：

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy

• C:\Windows\wlansvc\策略

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc

• C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces\{}\{}.xml

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc

有线网络中正确工作的排除情况：

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy

• C:\Windows\dot2svc\策略

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc

• C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces\{}\{}.xml

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc

Windows Defender 的排除

• C:\Program Files\Windows Defender

• C:\ProgramData\Microsoft\Windows Defender

• C:\Windows\WindowsUpdate.log

• C:\Windows\Temp\MpCmdRun.log

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

如何重置或禁用 UWF 过滤器？

您可以将 UWF 滤镜设置重置为初始设置（滤镜打开时）：

uwfmgr filter reset-settings

要完全禁用 UWF（重新启动后，磁盘上的所有更改都将被保存）：

uwfmgr.exe filter disable

或者您可以禁用特定卷的过滤器：

uwfmgr.exe volume unprotect E:

重要。如果 Windows 由于 UWF 过滤器设置不正确而无法启动，您可以通过从安装/启动媒体启动并离线编辑注册表来禁用过滤器：

• 通过将注册表项 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol 中的 Start 参数值更改为 4 来禁用 UWF 驱动程序自动启动；

• 删除 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower Filters 中的 uwfvol 字符串

Windows 10 上带有 HORM（休眠一次/恢复多次）的 UWF

从Windows 10 1709开始，出现了另一种UWF过滤模式——Hibernate Once/Resume Many (HORM)。此模式允许您快速获取 Windows 正在运行的应用程序和打开的文件的状态。每次计算机启动时，Windows 都会立即返回到此状态。

Windows 10 上 HORM 模式的限制：

• 必须为所有本地（固定）驱动器启用 UWF 过滤器；

• 不支持UWF过滤器例外；

• Overlay工作在RAM模式（不支持disk-overlay）；

• 休眠和快速启动被禁用。

要启用 HORM，您需要运行以下命令：

uwfmgr filter enable-horm

Unified Write Filter enabled HORM. Please hibernate the system to use HORM functionality. The system must be hibernated at least once after run enable-horm command, or it may bring the system into corrupted state.

配置用户的工作环境（运行所需的应用程序、打开文件等）。然后使用以下命令将计算机置于休眠模式：

shutdown /h

唤醒您的计算机并重新启动它。下次重新启动时，Windows 10 将立即以休眠文件中存储的状态启动。

要禁用 HORM 模式，请运行以下命令：

uwfmgr filter disable-horm

UWF 提供了一些有趣的场景：

1. 提高 Windows 性能（不会在磁盘上写入任何内容，所有写入操作都在内存中执行，就像在 RAM 磁盘上一样）；

2. 由于写入操作较少，您可以减少固态硬盘（SSD/CompactFlash）的磨损；

3. 实验、测试第三方软件并研究恶意软件（为此目的，您还可以使用 Windows 10 沙盒）。