Descripción general de Microsoft UWF (filtro de escritura unificado)

El filtro de escritura unificado de Microsoft, es una función de Windows incluida en su sistema operativo, desactivada de forma predeterminada, pero le brinda la capacidad de evitar cambios en su sistema. Esta publicación está orientada a una descripción general y una demostración de la implementación de UWF. En el próxima publicación, Cubriré cómo el filtro de escritura unificado Recast hace todo esto más fácil, pero esta publicación es una funcionalidad nativa Microsoft.

Filtro de escritura unificado, antes de adelantarme, ¿qué es? El filtro de escritura unificado (UWF) es una función opcional Windows 10 que ayuda a proteger sus unidades interceptando y redireccionando cualquier escritura en la unidad (instalaciones de aplicaciones, cambios de configuración, datos guardados) a una superposición virtual. La superposición virtual es una ubicación temporal que generalmente se borra durante un reinicio o cuando un usuario invitado cierra la sesión.

Eso aclara las cosas, ¿verdad? Básicamente, UWF le brinda la capacidad de bloquear una máquina, lanzando cualquier cambio que le suceda a una máquina cada vez que se reinicia. Empieza a limpiar cada vez, sin dejar de ofrecerle la posibilidad de realizar actualizaciones y mantenimiento. Configuration Manager es compatible con UWF y facilita el parcheo y el mantenimiento.

La resolución de problemas de UWF se siente un poco irregular, en realidad UWF en general se siente así. UWF utiliza una herramienta de línea de comandos uwfmgr.exe para administrar UWF. uwfmgr es para UWF como manage-bde es para bitlocker. Sin embargo, bitlocker continúa evolucionando y tiene herramientas de administración actualizadas que abarcan esa tecnología, UWF no ha visto mucho amor por parte de Microsoft en el ámbito de la administración.

Importa documentos que querrás tener a mano:

Entonces, lo básico de cómo funciona ... instala la función UWF, habilita la protección y listo. Puede agregar exclusiones y suspender la protección para realizar el servicio.

En el símbolo del sistema:

Símbolo del sistema

Bien, como dije, es opcional, primero debemos instalar la función. Si sigue los documentos, en realidad no se instalará, ya que hay otras características que son dependencias, si agrega / all al comando, instalará lo que necesita. La función requiere reiniciar.

Instale la función primero
dism / online / enable-feature / featureName: Client-UnifiedWriteFilter / all

Después de reiniciar, ahora puede ejecutar uwfmgr, vamos a obtener la información de configuración para UWF

Después de reiniciar, ahora puede ejecutar uwfmgr,
uwfmgr.exe get-config

Descripción general rápida de lo que está viendo aquí. Ajustes de configuración actuales \ Ajustes de configuración de la próxima sesión (después de reiniciar)

  • Configuración de filtro (activar / desactivar)
  • Estado de servicio (encendido / apagado)
  • Configuración de superposición (Tipo: RAM / Disco y tamaño)
  • Exclusiones de volumen
  • Exclusiones de registro

En la máquina de prueba, creemos dos carpetas y luego agreguemos TestPersist a la lista de exclusión de archivos

  • C: \ TestPersist
  • C: \ TestNonPersist
Cree dos carpetas, luego agregue TestPersist a la lista de exclusión de archivos
Agregar-exclusión de archivo uwfmgr c: \ testpersist

El retorno de la línea de comando también nos recordó que UWF no está habilitado, mientras que está instalado, no está habilitado, por lo que todos los cambios aún se están guardando. Así que sigamos adelante y habilítelo.

habilitar filtro uwfmgr
habilitar filtro uwfmgr
uwfmgr volume protect c:
uwfmgr volume protect c:

Una vez habilitado, debe proteger la unidad. Entonces reinicia

Después del reinicio, confirmo la configuración y creo dos archivos de texto, uno en cada carpeta.

Después del reinicio, confirme la configuración

Podemos ver que el filtro está activado, la unidad C está protegida y tenemos una carpeta que se excluye del "restablecimiento" al reiniciar.

Reiniciemos de nuevo y veamos qué pasa ... mira, la carpeta en la que hicimos un archivo que no agregamos a la lista de exclusión, el archivo se ha ido, mientras que el otro archivo en la carpeta excluida sobrevivió al reinicio.

El archivo se eliminó automáticamente durante el reinicio de la carpeta que no estaba en la lista de exclusión.
El archivo se eliminó automáticamente durante el reinicio de la carpeta que no estaba en la lista de exclusión.

Así que esa es una demostración rápida del filtro de escritura unificado, el registro funciona de la misma manera, excluya las claves que desea tener permitido actualizar.

Puede ver cómo esto sería genial en un laboratorio de computación, en una señalización digital, en un quiosco o incluso en una imagen de “cliente ligero”. Si el malware de alguna manera se activa, desaparece cuando reinicia. Asegúrese de probar sus aplicaciones importantes, algunas aplicaciones no funcionan bien y se revierten cada vez. Es posible que deba configurar carpetas de exclusión especiales para cada uno.

Las exclusiones comunes incluyen:

  • Archivos de sistema de Windows (solo algunos seleccionados)
  • Archivos de software de seguridad (Defender / McAfee / Symantec, etc.)
  • Archivos de cliente ConfigMgr, incluidos archivos de caché
  • Herramientas de administración \ Cachés de software

Su personalización completa y Microsoft proporciona una lista de los más comunes. ¿Por qué agregar exclusiones? Cada vez que reinicia, todos los archivos AV Def están desactualizados, las actualizaciones que aplicó desaparecen, los archivos en caché desaparecen,

Ahora digamos que desea actualizar una aplicación de software o instalar una nueva, puede usar el modo de servicio.

habilitar el servicio de uwfmgr
habilitar el servicio de uwfmgr

Una vez habilitado y reiniciado, verá un protector de pantalla especial y una cuenta especial iniciada:

El protector de pantalla predeterminado para el modo de servicio UWF
El protector de pantalla predeterminado para el modo de servicio UWF
La cuenta que se está ejecutando para el modo de servicio
La cuenta que se está ejecutando para el modo de servicio

Desde mi máquina de administración, usé PowerShell remoto para crear un archivo y deshabilitar el servicio, luego reiniciar.

PowerShell remoto a la máquina UWF
PowerShell remoto a la máquina UWF

Puede ver que creé el archivo en la carpeta TestNonPersist, que no está excluida. Si el servicio no estaba habilitado, se descartaría automáticamente en el reinicio, veamos qué sucede

El reinicio se activa a través de la consola remota de PowerShell
El reinicio se activa a través de la consola remota de PowerShell
El testfile.txt creado en PowerShell
el testfile.txt creado en PowerShell

Puede ver que el archivo se creó y sobrevivió al reinicio.

Así que hemos aprendido a instalar y habilitar UWF. Cubrimos el proceso para comenzar a reparar y detener el servicio. En este punto, ha visto los conceptos básicos para comenzar.

Otras cosas que probablemente cambiaría serían el tipo, cámbielo de RAM a DISCO, a menos que tenga una gran cantidad de RAM.  

Si planea aprovechar UWF, asegúrese de hacer muchas pruebas y planificar antes de avanzar mucho, cosas a considerar:

  • Objetivo de aprovechar UWF
  • Plan de servicio, ventanas de mantenimiento, automatización
  • Exclusiones
  • Qué aplicaciones se ejecutarán
  • Especificaciones de hardware

En el próxima publicación, Explicaré cómo el conjunto de herramientas Recast simplifica enormemente esto y le permite habilitar e implementar "perfiles" UWF en las máquinas mediante una acción de clic derecho.

Vea cómo Right Click Tools está cambiando la forma en que se administran los sistemas.

Aumente la productividad de inmediato con nuestra versión limitada y gratuita de la edición Community.

Comience con Right Click Tools hoy:

Ayuda

  • Este campo es para fines de validación y no debe modificarse.

Contacto

  • Este campo es para fines de validación y no debe modificarse.

Al enviar este formulario, comprende que Recast Software puede procesar sus datos como se describe en el Recast Software Política de privacidad.

es_MXSpanish