Как удалить ewf в windows 7 embedded
Расширенный фильтр записи (Enhanced Write Filter, EWF) — это дополнительный компонент, использующийся в Windows Embedded. EWF делает дисковый том доступным только для чтения. При этом операции записи, которые выполняются с данными, хранящимися на этом дисковом томе, перенаправляются в его наложение, которое может находиться на другом диске или в памяти компьютера. Windows рассматривает наложение EWF и его дисковый том как единое устройство. При этом фактически на дисковом томе не происходит изменений. Все изменения сохраняются только в наложении EWF. Изменения можно сохранить на дисковый том в любой момент времени.
1. Скопируйте следующие файлы из хранилища для вашего целевого устройства.
Имя файла | Целевой_каталог + имя файла |
ewfdll.dll | Windows\system32\ewfdll.dll |
ewfinit.dll | Windows\system32\ewfinit.dll |
Ewfmgr.exe | Windows\system32\ewfmgr.exe |
Ewf.sys | Windows\system32/driver\ewf.sys |
ewf.inf | Windows\inf\ewf.inf |
ewfntldr | NTLDR |
2. Запустите regedit.exe
Щелкните правой кнопкой мыши на ключевом HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Enum\Root\ и выберите разрешения.
Измените разрешения для пользователей на полную и нажмите кнопку Применить.
4. Импорт сохраненного файла реестра.
EWF должен быть интегрирован теперь у вас в образ, но он по умолчанию отключен. Вы можете включить его, запустив в командной строке ewfmgr C: -enable
1. Найдите следующие файлы на целевом устройстве и удалить их
Имя файла |
Windows\system32\ewfdll.dll |
Windows\system32ewfinit.dll |
Windows\system32\ewfmgr.exe |
Windows\system32\drivers\ewf.sys |
Windows\infewf.inf |
NTLDR |
2. Скопируйте оригинальный NTLDR из хранилища в корневой каталог целевых устройств.
3. Запустите regedit.exe
4. Удалить EWF из следующего раздела
5. Удалить ключ в реестре
6. Перезагрузить компьютер.
EWF должен быть полностью удален из вашей системы. Пожалуйста, не забудьте скопировать NTLDR перед перезагрузкой!
В режиме Disk данные оверлея хранятся на диске, а том EWF - на неразмеченном пространстве диска.
В режиме RAM данные оверлея хранятся в оперативной памяти, а том EWF - на неразмеченном пространстве диска.
В режиме RAM Reg данные оверлея хранятся в оперативной памяти, а том EWF - в системном реестре.
Обновление образа среды выполнения, защищенного в режимах Disk или RAM
- Используйте средство EWF Manager и отключите оверлей следующей командой:
- Перезагрузите систему.
- Установите приложение или исправление.
- Заново включите оверлей EWF следующей командой:
- Перезагрузите систему, чтобы заново активировать оверлей EWF.
Обновление образа среды выполнения, защищенного фильтром EWF в режиме RAM Reg
- Перезагрузите устройство для очистки оверлея в ОЗУ.
- Произведите фиксацию оверлея на защищенный том и отключите оверлей EWF командой:
Поскольку при работе в режиме RAM Reg данные конфигурации EWF сохраняются в реестре, следует выполнить фиксацию команды отключения на защищенный образ среды выполнения. Дополнительные сведения см. в разделе Режим RAM Reg (фильтр EWF).
- Перезагрузите систему, чтобы отключить оверлей.
- Установите приложение или исправление.
- Активируйте оверлей EWF следующей командой:
- Перезагрузите систему, чтобы заново активировать оверлей EWF.
Cписок команд, с помощью которых можно управлять EWF:
ewfmgr c: -enable — включение EWF;
ewfmgr c: -commitanddisable — отключение EWF при следующей перезагрузке и сохранение всех изменений на диск при выключении/перезагрузке системы;
ewfmgr c: -commitanddisable -live — отключение EWF без перезагрузки системы (при этом информация на диск сохраняется непосредственно после выполнения команды);
ewfmgr c: -commit — сохранить все изменения на диск при перезагрузке или выключении ПК.
Последняя команда является очень важной при установке обновлений системы. Невыполнение этой команды ведет к безвозвратной потере всего, что вы сделали за сеанс работы Windows!
По соображениям безопасности и эксплуатации может оказаться нежелательным производить запись на накопители устройств Windows Embedded. Перенаправляя все запросы записи на отдельный раздел диска или в ОЗУ, фильтр записи позволяет образу среды выполнения поддерживать видимость образа среды выполнения с возможностью записи без внесения изменений на накопитель.
При запуске с пакетом Feature Pack 2007 для Windows XP Embedded с пакетом обновлений 2 доступны следующие фильтры записи:
-
файловый фильтр, работающий на файловом уровне;
Расширенный фильтр записи и файловый фильтр записи перенаправляют все операции записи на защищенных томах в ОЗУ или в дисковый кэш, называемый оверлеем. Оверлей сохраняет изменения, произведенные с операционной системой, но он удаляется при перезапуске устройства, возвращая устройство в исходное состояние.
Расширенный фильтр записи работает на уровне секторов на защищенных дисках. Он позволяет вносить изменения таким образом, что они сохраняются при перезапуске устройства. Расширенный фильтр записи полезен для "тонких" клиентов, которым не нужно сохранять кэшируемую информацию или получать частые обновления. Изменения, внесенные в систему, защищенную расширенным фильтром записи, сохраняются на одном или нескольких уровнях, представляющих собой моментальные снимки. Применение изменений к образу применяет все изменения, внесенные в операционную систему, за определенный период времени.
Файловый фильтр записи работает на уровне файлов, а не секторов на защищенных дисках. По умолчанию файловый фильтр записи защищает весь диск, но для отдельных файлов и папок может предоставляться возможность выборочной записи при помощи исключений. Записи в папки, которым было выделено исключение, будут сохраняться при перезапуске устройства.
Windows Embedded также поддерживает фильтр реестра, отслеживающий все операции записи в реестр и сохраняющий изменения на отдельном уровне, который удаляется при перезапуске устройства. Для записей в реестр фильтр реестра поддерживает сохранение определенных изменений реестра при перезапуске устройства при помощи мониторов реестра. Эта функция не зависит от расширенного и файлового фильтра и может использоваться независимо от конкретной конфигурации.
Общие процессы обновления программного обеспечения с расширенным или файловым фильтром
При использовании защиты на основе расширенного или файлового фильтра на диске для устройства Windows Embedded при его перезапуске теряются все незафиксированные записи на устройство. Это касается любого установленного программного обеспечения или обновления программного обеспечения. Чтобы изменения сохранялись при перезапуске устройства необходимо отключить расширенный или файловый фильтр записи перед выполнением изменений либо изменения должны быть внесены на диск явно при помощи команды commit. Это требование не зависит от метода, использовавшегося для установки программного обеспечения или обновлений программного обеспечения.
Чтобы изменения сохранились при перезапуске устройства, нужно предпринять следующие действия.
Отключить, а затем включить фильтр записи
Отключите расширенный или файловый фильтр записи. Отключение фильтра вступает в действие после следующего перезапуска устройства. Все изменения системы, совершенные до перезапуска устройства, удаляются прежде, чем фильтр записи будет отключен.
Примечание |
---|
В качестве альтернативы этому действию можно использовать команду -commitanddisable для расширенного фильтра записи, в результате чего все ожидающие выполнения операции записи будут фиксированы на запоминающем устройстве, прежде чем фильтр будет отключен. Этот вариант не рекомендуется, потому что здесь на запоминающем устройстве фиксируется неизвестное количество изменений. |
После перезапуска устройства все новые изменения будут записаны прямо на запоминающее устройство. Диск будет оставаться незащищенным, пока не будет снова включен расширенный или файловый фильтр записи.
Теперь можно внести нужные изменения, такие как установку или обновление программного обеспечения, а также изменение системных параметров.
После того как все необходимые изменения в систему внесены, можно снова включить расширенный или файловый фильтр записи. При этом расширенный или файловый фильтр записи будет включен после следующего перезапуска устройства. Все изменения до перезапуска сохраняются на запоминающем устройстве.
После перезапуска устройства система возвращается в защищенное состояние.
Примечание |
---|
Если эта процедура заканчивается неудачей после отключения фильтра записи, система остается в незащищенном состоянии. |
Использование команды commit для записи изменений
Перезапустите устройство для сброса всех изменений, совершенных на защищенном устройстве.
Внесите нужные изменения в систему, такие как установку или обновление программного обеспечения, а также изменение системных параметров.
Введите команду commit, чтобы все внесенные в систему изменения были зафиксированы на запоминающем устройстве после следующего перезапуска устройства.
После перезапуска устройства любые изменения, внесенные в систему, фиксируются, и система возвращается в защищенное состояние.
Если для какого-либо устанавливаемого элемента нужен перезапуск устройства, может потребоваться второй перезапуск. Все изменения, вызванные этим вторым перезапуском, будут автоматически зафиксированы на записывающем устройстве.
Хотя при втором методе фильтр записи отключается не полностью, оба метода записывают все содержимое оверлея на диск, независимо от источника изменений. Для второго метода может также потребоваться дополнительный перезапуск устройства и фиксация для учета установок, у которых есть послеустановочные действия, такие как перемещение файла или установка драйверов или служб. С помощью первого метода можно обработать дополнительные перезапуски как часть установки программного обеспечения, прежде чем включить фильтр записи.
Использование фильтров записи в Windows Embedded налагает особые требования к системным администраторам, в обязанности которых входит управления изменениями. Один из вариантов для администраторов заключается в использовании сценария для автоматизации дополнительных действий, необходимых для завершения установки программного обеспечения или обновления программного обеспечения. Пример сценария, выполняющего подобные изменения фильтра, см. в разделе Пример сценария настройки фильтров записи при помощи Configuration Manager 2007 на устройствах с операционной системой Windows Embedded.
Как работает фильтр UWF? Он защищает файловую систему выбранных разделов локальных дисков от изменений, прозрачно перенаправляя все операции записи на файловую систему в виртуальный оверлей в памяти, который хранит все изменения.
Примечание. В предыдущих версиях Windows фильтры записи были доступны только в редакциях для встроенных систем (Embedded), которая использовалась в банкоматах, POS-системах, терминалах самообслуживания, промышленных системах и т.д. Теперь этот функционал доступен в редакциях Windows 10 Enterprise (в том числе LTSB/LTSC) и Windows 10 Education, открывая дополнительные сценарии использования Windows на предприятиях и в учебных заведениях (информационные киоски, классы обучения, демонстрационные стенды и т.д.).Как включить и настроить Unified Write Filter в Windows 10
Фильтр записи UWF представляет собой отдельный компонент Windows и включается через панель управления: Control Panel -> Programs and Features -> Turn Windows Features On or Off -> Device Lockdown -> Unified Write Filter.
Также можно установить компонент UWF с помощью PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" –All
Или DISM:
DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter
Для управления настройками UWF используется консольная утилита uwfmgr.exe.
Чтобы включить UWF фильтр в Windows 10, выполните следующую команду и перезагрузите компьютер:
uwfmgr.exe filter enable
При включении фильтра, Windows автоматически перенастраивается так, чтобы исключить лишние операций записи на диск (отключаются файл подкачки, точки восстановления, индексирование файлов, дефрагментация).
Чтобы включить защиту от записи для конкретного диска, выполните команду:
uwfmgr.exe volume protect c:
Теперь нужно перезагрузить компьютер. После его загрузки все, что пользователь запишет на диск за время сессии будет доступно только до момента следующей перезагрузки компьютера. Любые изменения будут сброшены.
Проверить состояние UWF фильтра можно командой:
В нашем примере видной, что системный диск находится в защищенном состоянии, UWF фильтр включен (Volume state: Protected).
Текущие настройки оверлея, в котором UWF хранит временные данные можно вывести с помощью команды:
uwfmgr overlay get-config
Вы можете настроить следующие параметры:
- Type – тип оверлея. Вы можете хранить данные на диск (DISK) или в оперативной памяти (RAM);
- Maximum size – максимальный размер оверлея;
- Warning Threshold – размер оверлея, при превышении которого нужно вывести предупреждение;
- Critical Threshold – размер оверлея, при превышении которого появится ошибка UWF;
- Freespace Passthrough – используется только для дискового оверлея. Позволяет разрешать писать данные в любое свободное место на диске, а не в выделенный файл.
По умолчанию используется RAM оверлей с размером 1 Гб.
Можно изменить эти настройки (если у вас достаточно свободной RAM):
uwfmgr overlay set-size 8192
uwfmgr overlay set-criticalthreshold 8192
uwfmgr overlay set-warningthreshold 7168
Если нужно использовать оверлей на диске, выполните команду:
uwfmgr overlay set-type Disk
Текущий размер данных в оверлее можно вывести так:
uwfmgr overlay get-consumption
uwfmgr overlay get-availablespace
Обслуживание Windows 10 с включенным фильтром UWF
При выполнении обслуживания системы (установка обновлений, обновление антивирусных сигнатур, копирование новых файлов), нужно перевести компьютер в специальный сервисный режим UWF:
uwfmgr servicing enable
После перезагрузки Windows загрузится под локальной учетной записью UWF-Servicing и автоматически установит доступные обновления Windows (через Windows Update или одобренные обновления WSUS), обновит сигнатуры антивируса. При желании, вы сможете войти на компьютер под учетной записью UWF-Servicing (пароль этого пользователя неизвестен, но можно сменить его).
При автовходе пользователя запускается uwfservicingshell.exe и запускает скрипты обслуживания Windows 10. Что-то другое выполнить в сервисном режиме нельзя.
После завершения установки обновлений, компьютер автоматически перезагрузится в нормальном режиме с включенным фильтром UWF.
Вы можете установить обновления Windows и из обычного режима, без перехода в режим Servicing. Воспользуйтесь командой:
uwfmgr servicing update-windows
Добавление исключений в фильтр записи UWF
Если вам нужно принудительно сохранить на диск некий изменённый файл при включенном фильтре UWF, нужно выполнить команду:
uwfmgr file commit C:\Distr\TestFile.txt
Теперь файл не исчезнет, даже если вы перезагрузите Windows.
Чтобы удалить файл при включенном UWF, используйте команду:
uwfmgr file commit-delete C:\Distr\TestFile.txt
uwfmgr registry commit .
uwfmgr registry commit-delete .
Вы можете добавить определенные файлы, каталоги или ветки реестра в исключения фильтра UWF. Любые изменения по таким объектам будут записывать напрямую на диск, а не в оверлей.
Чтобы добавить в исключения конкретный файл или папку, выполните команду:
Uwfmgr.exe file add-exclusion c:\student
Uwfmgr.exe file add-exclusion c:\student\report.docx
Чтобы разрешить запись изменений в ключ реестра:
Uwfmgr.exe registry add-exclusion “HKLM\Software\MyRegKey”
Для применения исключений нужно перезагрузить компьютер.
Чтобы вывести список исключений UWF фильтра, выполните команду:
uwfmgr file get-exclusions
Для удаления файла из исключений, выполните команду:
uwfmgr file remove-exclusion c:\student\report.docx
Некоторые системные каталоги и файлы нельзя добавить в исключения, например:
- Файлы реестра в каталоге \Windows\System32\config\;
- Корень диска;
- Каталоги \Windows, \Windows\System32, \Windows\System32\Drivers;
- Файлы подкачки
- И т.д.
Для корректной работы некоторых служб необходимо добавить в список исключений фильтра записи пути к их каталогам, файлам и веткам реестра. В следующем списке я собрал типовые исключения для некоторых подсистем Windows:
Исключения для BITS:
- % ALLUSERSPROFILE%\Microsoft\Network\Downloader
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\BITS\StateIndex
Исключения для корректной работы в беспроводных сетях (данные исключения позволят подключаться к Wi-Fi сетям и сохранять WLAN профили):
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy
- C:\Windows\wlansvc\Policies
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc
- C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces\\.xml
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc
Исключения для корректной работы в проводных сетях:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy
- C:\Windows\dot2svc\Policies
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc
- C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces\\.xml
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc
Исключения для Windows Defender
- C:\Program Files\Windows Defender
- C:\ProgramData\Microsoft\Windows Defender
- C:\Windows\WindowsUpdate.log
- C:\Windows\Temp\MpCmdRun.log
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
Отключение фильтра UWF, сброс настроек
Вы можете сбросить настройки UWF фильтра к начальным (на момент включения фильтра):
uwfmgr filter reset-settings
Чтобы полностью отключить UWF фильтр (после перезагрузки все изменения на диске будут сохраняться):
uwfmgr.exe filter disable
Либо можно отключить защиту фильтра конкретного раздела:
uwfmgr.exe volume unprotect C:
Важно. Если ваша Windows не загружается из-за некоренной настройки UWF фильтра, вы можете отключить его, загрузив в свой компьютер с загрузочного диска и отредактировать реестр в офлайн режиме:- Отключить запуск UWF фильтра можно в ветке HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol, задав значение параметра start равное 4.
- Затем отключите строку uwfvol в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\\Lower Filters
Режим Hibernate Once/Resume Many (HORM) в UWF
Начиная с Windows 10 1709 появился еще один режим работы фильтра UWF – Hibernate Once/Resume Many (HORM). Этот режим позволяет быстро получить состояние Windows с запущенными программами. При каждой загрузке компьютера Windows сразу возвращается к этому состоянию.
Ограничения режима HORM:
- Фильтр UWF должен быть включен для всех локальных дисков;
- Исключения фильтра UWF не поддерживаются
- Оверлей работает в режиме RAM (disk-overlay не поддерживается);
- Режим гибернации и быстрого запуска отключен.
Для включения HORM нужно выполнить команду:
uwfmgr filter enable-horm
Настройте рабочее окружение пользователя (запустите необходимые приложения, откройте файлы и т.д.). Затем переведите компьютер в режим гибернации командой:
Разбудите компьютер и перезагрузите его. При следующей перезагрузке Windows 10 сразу запустится в состоянии, хранящемся в файле гибернации.
Для отключения HORM выполните команду:
uwfmgr filter disable-horm
Из интересных сценариев, возможность реализации которых предоставляет фильтр UWF:
Читайте также: