Gary Blok

4 aprile 2020

Panoramica di Microsoft UWF (filtro di scrittura unificato)

Il filtro di scrittura unificato di Microsoft, è una funzionalità di Windows inclusa nel tuo sistema operativo, disattivata per impostazione predefinita, ma ti dà la possibilità di impedire modifiche al tuo sistema. Questo post è orientato verso una panoramica generale e una demo dell'implementazione di UWF. Nel prossimo post, tratterò il modo in cui il filtro di scrittura unificato Recast rende tutto questo più semplice, ma questo post è direttamente sulla funzionalità nativa Microsoft.

Filtro di scrittura unificato, prima di superare me stesso, che cos'è? Unified Write Filter (UWF) è una funzione Windows 10 opzionale che aiuta a proteggere le unità intercettando e reindirizzando qualsiasi scrittura sull'unità (installazioni di app, modifiche alle impostazioni, dati salvati) a una sovrapposizione virtuale. L'overlay virtuale è una posizione temporanea che di solito viene cancellata durante un riavvio o quando un utente guest si disconnette.

Questo chiarisce le cose giusto? Fondamentalmente UWF ti dà la possibilità di bloccare una macchina, annullando tutte le modifiche che si verificano a una macchina ogni volta che si riavvia. Inizi a pulire ogni volta, pur offrendoti la possibilità di eseguire aggiornamenti e manutenzione. Configuration Manager è a conoscenza dell'UWF e rende più facile la riparazione e la manutenzione.

La risoluzione dei problemi di UWF sembra un po' ruvida, in realtà UWF in generale si sente così. UWF utilizza uno strumento da riga di comando uwfmgr.exe per eseguire la gestione di UWF. uwfmgr sta a UWF come manage-bde sta a bitlocker. Tuttavia, bitlocker continua ad evolversi e gli strumenti di gestione aggiornati comprendono quella tecnologia, UWF non ha visto molto amore da Microsoft nell'arena di gestione.

Importa documenti che vorrai tenere a portata di mano:

Quindi le basi su come funziona... installi la funzione UWF, abiliti la protezione e sei pronto. Puoi aggiungere esclusioni e sospendere la protezione per eseguire la manutenzione.
?

Al prompt dei comandi:

Ok, come ho detto, è facoltativo, dobbiamo prima installare la funzionalità. Se segui i documenti, in realtà non verrà installato, poiché ci sono altre funzionalità che sono dipendenze, se aggiungi / all al comando, installerà ciò di cui hai bisogno. La funzione richiede un riavvio.

Installa prima la funzione — dism /online /enable-feature /featureName:Client-UnifiedWriteFilter /all

Dopo aver riavviato, ora puoi eseguire uwfmgr, otterremo le informazioni di configurazione per UWF

Dopo aver riavviato'è ora possibile eseguire uwfmgr, — uwfmgr.exe get-config

Panoramica rapida di ciò che stai vedendo qui. Impostazioni di configurazione correnti \ Impostazioni di configurazione della sessione successiva (dopo il riavvio)

Impostazioni filtro (On/Off)
Stato di manutenzione (On/Off)
Impostazioni overlay (Tipo: RAM/Disco e dimensioni)
Esclusioni di volume
Esclusioni dal registro

Sulla macchina di prova, creiamo due cartelle, quindi aggiungiamo TestPersist all'elenco di esclusione dei file

C:\TestPersistere
C:\TestNonPersist

Crea due cartelle, quindi aggiungi TestPersist all'elenco di esclusione dei file — uwfmgr file add-exclusion c:\testpersist

Il ritorno della riga di comando ci ha anche ricordato che UWF non è abilitato, mentre installato, non è abilitato, quindi tutte le modifiche vengono ancora salvate. Quindi andiamo avanti e abilitiamolo.

Dopo che è stato abilitato, è necessario proteggere l'unità. Quindi riavvia

Dopo il riavvio, confermo le impostazioni e creo due file di testo, uno in ogni cartella.

Dopo il riavvio, conferma le impostazioni

Possiamo vedere che il filtro è ON, l'unità C è protetta e abbiamo una cartella che è esclusa dal "reset" al riavvio.

Riavviamo di nuovo e vediamo cosa succede... guarda, la cartella in cui abbiamo creato un file che non abbiamo aggiunto all'elenco di esclusione, il file è sparito, mentre l'altro file nella cartella esclusa è sopravvissuto al riavvio.

Il file è stato rimosso automaticamente durante il riavvio dalla cartella non nell'elenco di esclusione.

Quindi questa è una rapida demo del filtro di scrittura unificato, il registro funziona allo stesso modo, escludi le chiavi che vuoi che siano autorizzate ad aggiornare.

Puoi vedere come sarebbe fantastico in un laboratorio informatico, su un digital signage, un chiosco o persino un'immagine "thin client". Se il malware in qualche modo si attiva, scompare al riavvio. Assicurati di testare le tue applicazioni importanti, alcune app non vengono ripristinate ogni volta. Potrebbe essere necessario impostare cartelle di esclusione speciali per ciascuno.

Le esclusioni comuni includono:

File di sistema di Windows (solo alcuni selezionati)
File del software di sicurezza (Defender/Mcafee/Symantec, ecc.)
File client ConfigMgr, inclusi i file cache
Strumenti di gestione \ Cache software

È completamente personalizzabile e Microsoft fornisce un elenco di quelli comuni. Perché aggiungere esclusioni? Ogni volta che si riavvia tutti i file AV Def non sono aggiornati, tutti gli aggiornamenti applicati sono spariti, i file memorizzati nella cache sono spariti,

Ora diciamo che vuoi aggiornare un'applicazione software o installarne una nuova, puoi utilizzare la modalità di manutenzione.

Una volta abilitato e riavviato, vedrai uno speciale salvaschermo e un account speciale connesso:

Il salvaschermo predefinito per la modalità di manutenzione UWF

L'account in esecuzione per la modalità di manutenzione

Dal mio computer di amministrazione, ho utilizzato PowerShell remoto per creare un file e disabilitare la manutenzione, quindi riavviare.

Puoi vedere che ho creato il file nella cartella TestNonPersist, che non è esclusa. Se la manutenzione non fosse abilitata, verrebbe automaticamente scartata al riavvio, vediamo cosa succede

Il riavvio viene attivato tramite la console PowerShell remota

Il file test.txt creato in PowerShell — il file test.txt creato in PowerShell

Puoi vedere che il file è stato creato ed è sopravvissuto al riavvio.

Quindi abbiamo imparato come installare e abilitare UWF. Abbiamo coperto il processo per avviare e interrompere la manutenzione. A questo punto hai visto le basi per iniziare.

Altre cose che probabilmente cambieresti sarebbero il tipo, cambialo da RAM a DISK, a meno che tu non abbia grandi quantità di RAM.

Se hai intenzione di sfruttare UWF, assicurati di fare molti test e di pianificare prima di andare molto avanti, cose da considerare:

Obiettivo di sfruttare UWF
Piano di manutenzione, finestre di manutenzione, automazione
Esclusioni
Quali app saranno in esecuzione
Specifiche hardware

Nel prossimo post, esaminerò come il set di strumenti Recast semplifica notevolmente questo e consente di abilitare e distribuire "profili" UWF alle macchine tramite un'azione del clic destro.