Visão geral de Microsoft UWF (filtro de gravação unificada)

O filtro de gravação unificado do Microsoft, é um recurso do Windows incluído em seu sistema operacional, desativado por padrão, mas oferece a capacidade de evitar alterações em seu sistema. Esta postagem é voltada para uma visão geral e uma demonstração da implementação do UWF. No próxima postagem, Irei abordar como o Filtro de Gravação Unificado Recast torna tudo isso mais fácil, mas esta postagem é a funcionalidade nativa do Microsoft.

Filtro de gravação unificado, antes de me precipitar, o que é? O filtro de gravação unificado (UWF) é um recurso Windows 10 opcional que ajuda a proteger suas unidades, interceptando e redirecionando qualquer gravação na unidade (instalações de aplicativos, alterações de configurações, dados salvos) para uma sobreposição virtual. A sobreposição virtual é um local temporário que geralmente é limpo durante uma reinicialização ou quando um usuário convidado faz logoff.

Isso esclarece as coisas, certo? Basicamente, o UWF oferece a capacidade de bloquear uma máquina, descartando quaisquer alterações que ocorram em uma máquina sempre que ela for reinicializada. Você começa limpo a cada vez, mas ainda oferece a capacidade de realizar atualizações e manutenção. Configuration Manager é compatível com UWF e facilita a correção e manutenção.

A solução de problemas do UWF parece um pouco difícil nas bordas; na verdade, o UWF em geral é assim. O UWF usa uma ferramenta de linha de comando uwfmgr.exe para fazer o gerenciamento do UWF. uwfmgr está para UWF assim como manage-bde está para bitlocker. No entanto, o bitlocker continua a evoluir e tem ferramentas de gerenciamento atualizadas englobando essa tecnologia, o UWF não viu muito o amor do Microsoft na área de gerenciamento.

Importe documentos que você deseja manter à mão:

Portanto, noções básicas de como funciona ... você instala o recurso UWF, habilita a proteção e está pronto. Você pode adicionar exclusões e suspender a proteção para fazer manutenção.

No prompt de comando:

Prompt de comando

Ok, então como eu disse, é opcional, precisamos instalar o recurso primeiro. Se você seguir a documentação, ele não será instalado de fato, pois há outros recursos que são dependências, se você adicionar / all ao comando, ele instalará o que você precisa. O recurso requer uma reinicialização.

Instale o recurso primeiro
dism / online / enable-feature / featureName: Client-UnifiedWriteFilter / all

Depois de reiniciar, você pode agora executar uwfmgr, vamos obter as informações de configuração para UWF

Depois de reiniciar o', agora você pode executar o uwfmgr,
uwfmgr.exe get-config

Visão geral rápida do que você está vendo aqui. Definições de configuração atuais \ Definições de configuração da próxima sessão (após a reinicialização)

  • Configurações de filtro (ligado / desligado)
  • Estado de manutenção (ligado / desligado)
  • Configurações de sobreposição (tipo: RAM / disco e tamanho)
  • Exclusões de volume
  • Exclusões de registro

Na máquina de teste, vamos criar duas pastas e, em seguida, adicionar TestPersist à lista de exclusão de arquivos

  • C: \ TestPersist
  • C: \ TestNonPersist
Crie duas pastas e, em seguida, adicione TestPersist à lista de exclusão de arquivos
uwfmgr arquivo adicionar-exclusão c: \ testpersist

O retorno da linha de comando também nos lembrou que o UWF não está habilitado, enquanto instalado, não está habilitado, portanto, todas as alterações ainda estão sendo salvas. Então, vamos ativá-lo.

habilitar filtro uwfmgr
habilitar filtro uwfmgr
volume uwfmgr proteger c:
volume uwfmgr proteger c:

Depois de habilitado, você precisa proteger a unidade. Em seguida, reinicie

Após a reinicialização, confirmo as configurações e crio dois arquivos de texto, um em cada pasta.

Após a reinicialização, confirme as configurações

Podemos ver que o Filtro está LIGADO, o Drive C está protegido e temos uma pasta que é excluída do “reset” na reinicialização.

Vamos reiniciar novamente e ver o que acontece ... olha, a pasta na qual criamos um arquivo que não adicionamos à lista de exclusão, o arquivo desapareceu, enquanto o outro arquivo na pasta excluída sobreviveu à reinicialização.

O arquivo foi removido automaticamente durante a reinicialização da pasta que não estava na lista de exclusão.
O arquivo foi removido automaticamente durante a reinicialização da pasta que não estava na lista de exclusão.

Portanto, esta é uma demonstração rápida do filtro de gravação unificado, o registro funciona da mesma maneira, exclua as chaves que você deseja ter permissão para atualizar.

Você pode ver como isso seria ótimo em um laboratório de informática, em uma sinalização digital, quiosque ou mesmo em uma imagem de “cliente fino”. Se o malware for ativado de alguma forma, ele desaparecerá quando você reiniciar. Certifique-se de testar seus aplicativos importantes, alguns aplicativos não funcionam bem sendo revertidos a cada vez. Pode ser necessário configurar pastas especiais de exclusão para cada um.

As exclusões comuns incluem:

  • Arquivos de sistema do Windows (apenas alguns selecionados)
  • Arquivos de software de segurança (Defender / McAfee / Symantec, etc)
  • Arquivos de cliente ConfigMgr, incluindo arquivos de cache
  • Ferramentas de gerenciamento \ Caches de software

É totalmente customizado, e Microsoft fornece uma lista dos mais comuns. Por que adicionar exclusões? Cada vez que você reinicializa, todos os arquivos AV Def ficam desatualizados, todas as atualizações aplicadas desaparecem, os arquivos em cache desaparecem,

Agora, digamos que você deseja atualizar um aplicativo de software ou instalar um novo, você pode usar o modo de serviço.

habilitar manutenção uwfmgr
habilitar manutenção uwfmgr

Uma vez ativado e reiniciado, você verá um protetor de tela especial e uma conta especial conectada:

O protetor de tela padrão para o modo de manutenção UWF
O protetor de tela padrão para o modo de manutenção UWF
A conta que está em execução no modo de manutenção
A conta que está em execução no modo de manutenção

Em minha máquina de administração, usei o PowerShell remoto para criar um arquivo e desabilitar a manutenção e, em seguida, reiniciei.

PowerShell remoto para a máquina UWF
PowerShell remoto para a máquina UWF

Você pode ver que criei o arquivo na pasta TestNonPersist, que não está excluída. Se o serviço não estava habilitado, ele seria automaticamente descartado na reinicialização, vamos ver o que acontece

Reinicie sendo acionado por meio do console PowerShell remoto
Reinicie sendo acionado por meio do console PowerShell remoto
O testfile.txt criado no PowerShell
o testfile.txt criado no PowerShell

Você pode ver que o arquivo foi criado e sobreviveu à reinicialização.

Então, aprendemos como instalar e habilitar o UWF. Cobrimos o processo para iniciar e interromper a manutenção. Neste ponto, você viu o básico para começar.

Outras coisas que você provavelmente mudaria seriam o tipo, altere-o de RAM para DISK, a menos que você tenha uma grande quantidade de RAM.  

Se você planeja alavancar o UWF, certifique-se de fazer muitos testes e planejamento antes de avançar muito, coisas a considerar:

  • Objetivo de alavancar UWF
  • Plano de manutenção, janelas de manutenção, automação
  • Exclusões
  • Quais aplicativos estarão em execução
  • Especificações de Hardware

No próxima postagem, Irei abordar como o conjunto de ferramentas Recast simplifica muito isso e permite que você habilite e implante “perfis” UWF em máquinas por meio de uma ação de clique com o botão direito.

Veja como Right Click Tools está mudando a forma como os sistemas são gerenciados.

Aumente imediatamente a produtividade com o nosso limitado e gratuito, Community Edition.

Comece com Right Click Tools hoje:

Compartilhar isso:

Suporte

  • Este campo é para fins de validação e não deve ser alterado.

Contato

  • Este campo é para fins de validação e não deve ser alterado.
pt_BRPortuguese