【Universal Write Filter(UWF)】
今天在Windows 10 底下進行了UWF安裝與測試,經過測試後得到了一些結論。
一、跟過往的FBWF不太一樣,簡單的說,UWF的原理雖然與FBWF一樣,都是將資料轉移到RAM上面進行執行與寫入(亦即RAM特性:斷電後即無法保存),但是,UWF會比FBWF更加的精準化。
也就是說,如果今天採用UWF進行防寫保護,不僅防寫更徹底,同時也因為UWF內建有GUI介面的控制台,使用者不會像在使用FBWF的過程之中,需要輸入、熟記指令,而可以透過簡單的GUI介面來進行修改。
二、缺點:UWF的缺點,也許該說是不相容造成的,FBWF具有將虛擬硬碟定址虛擬化的作用,亦即32MB的RAMDISK可以虛擬化到無限大,但UWF本身並沒有這樣子的作用,可以說是不支援這樣子的作法。
UWF本身應該算是EWF與FBWF的精簡強化版本,啟用後,將自動寫入RAMDISK,一切都隱藏在幕後,看不到,摸不到,但實際跑起來的效率更勝FBWF。
註:
若是想要使用UWF的使用者,可能要更改平常的使用習慣,多數使用者會習慣性將檔案放在桌面,或加入我的最愛之類的,如果啟用UWF,將會導致你在UWF啟用狀態下,全部的檔案都不會儲存寫入硬碟!也就是說,你要養成將檔案上傳至雲端或者存放在D槽。
註2:
如同網頁的我的最愛,建議可採用CHOME並綁定個人帳號,可同步雲端,這樣子就不會產生,你臨時性想要加入什麼網站,重新開機後,資料卻不見的結果。
總結:
以UWF而言,能夠將檔案寫入RAM而不進行存取,帶來的優點,是存取效能的倍增(這邊指的倍增可視RAM的讀寫效率,目前以DDR3-1333-4GB*2=8GB雙通道讀寫來說,效率增加至少10倍!)
但是若以一般辦公室文書系統的應用上,想要安裝UWF的使用者,對於UWF以及電腦系統最好具備有一定的了解程度再來使用,不然就會發生「悲劇」,導致工作上的資料遺失,從而造成公司的損失或工作上的遺憾。
檔案名稱:Universal Write Filter (UWF)
雲端載點:點我下載
軟體簡介:
一、UWF 基本任務是防止系統遭遇竄改 (防寫入). 因此附帶優點便是延長 MLC 級的 SSD (固態硬碟) 使用壽命.
二、UWF 作用時, 會把所有寫入受保護硬盤的資料導向 RAM 或其他實體空間. 例如非受保護硬盤. 藉此達到每次開機, 所有更改自動消失, 使系統得以還原成完好如初的目的.
安裝 (Windows 8.1 和 Server 2012 R2 皆適用):
安裝方式:
一、將 $OEM$\$$ 三文件夾, Setup/System32/SysWOW64, 拷進系統 Windows. 例如 C:\Windows. (這部份是 UWF)
二、將 $OEM$\$1 三文件夾, Program Files/ProgramData/Windows, 拷進系統根目錄. 例如 C:\. (這部份是 ELM.)
三、運行命令 regedit. 更改下列註冊值擁有者為 Administrators.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\InboxApp
以管理員身分運行 Windows\Setup\Scripts\SetupComplete.cmd. 電腦會自動重新開機.
(有關 SetupComplete.cmd 的設置, 請參見備註 2)
備註 1 (有關 ELM):
$OEM$\$$\Setup\Scripts\ELM.reg 是 UWF 圖形管理介面 ELM 的註冊表. 由於是移植的, 默認路徑指向 C 盤. 如果從 DVD 或 USB 啟動安裝 Windows, 還是用 dism /apply 把映像安裝到 VHD, 大致上沒問題, 系統盤符應該就是 C. 然而要是從硬盤安裝 Windows, 或許系統盤符會變更, D/E/F....都有可能.
因此, 在手動安裝 UWF/ELM 時, 必須注意, 當系統盤符不是 C 時, 一定要把下列二註冊值中的 C 改成正確的盤符. 例如 D/E/F.....
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MMC\SnapIns
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\InboxApp
備註 2 (有關 SetupComplete.cmd 的指令):
一、不使用 Windows Defender, 睡/休眠等功能. 因此 $OEM$\$$\Setup\Scripts\SetupComplete.cmd 有下列設置. 如有需要, 請自行刪除或在行首加入 ":" 號.
:Windows Defender Network Inspection
sc config WdNisSvc start=disabled
:Windows Defender
sc config windefend start=disabled
powercfg -h off
二、如果使用 Windows Defender, 請務必修改 SetupComplete.cmd, 在 regedit -s ELM.reg 和 :degragment 中間加入下列命令, 將 Windows Defender 相關文件加入保護排除 (豁免) 列表.
uwfmgr filter enable
uwfmgr volume protect %SystemDrive%
uwfmgr file add-exclusion "%SystemDrive%\Program Files\Windows Defender"
uwfmgr file add-exclusion "%SystemDrive%\Windows\WindowsUpdate.log"
uwfmgr file add-exclusion "%SystemDrive%\Windows\Temp\MpCmdRun.log"
uwfmgr file add-exclusion "%SystemDrive%\ProgramData\Microsoft\Windows Defender"
uwfmgr registry add-exclusion "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender"
uwfmgr volume unprotect %SystemDrive%
uwfmgr filter disable
備註 3:
UWF 默認禁用 PageFile/Restore/Prefetcher/Superfetch/Defragment (頁面內存/系統還原/預讀/碎片整理) 等. 因此 "磁碟管理" 失效是正常的.
備註 4:
UWF 圖形管理介面捷徑位於 控制台\系統及安全性\系統管理工具\Embedded Lockdown Manager