Windows 10(和Windows 8)的一项有用功能是特殊的文件系统写过滤器" UWF"("统一写过滤器")。如果启用并配置了筛选器，则磁盘上文件和目录的所有更改都将在RAM中进行，并在重启后重置。

UWF如何运作？通过透明地将文件系统中的所有写入操作重定向到内存中存储所有更改的虚拟覆盖层，可以防止更改本地磁盘上所选分区的文件系统。

重新引导系统后，将不保存受保护磁盘的任何更改，即e。启用UWF时，系统始终会恢复到其原始状态。

注意在以前的Windows版本中，写过滤器仅在ATM，POS系统，支付亭，工业系统等中使用的"嵌入式"系统版本中可用。现在，此功能在" Windows 10 Enterprise"(包括LTSB)和" Windows 10 Enterprise"中可用。 Windows 10 Education，从而提供了和教育机构(信息亭，书房，展示台等)使用Windows的其他方案。

UWF是一个单独的系统组件，可在"控制面板"->"程序和功能"->"打开或者关闭Windows功能"->"设备锁定"->"统一写过滤器"中启用。

UWF组件也可以使用PowerShell安装：

Enable-WindowsOptionalFeature -Online -FeatureName "Client-UnifiedWriteFilter" –All

或者DISM：

DISM.exe /Online /enable-Feature /FeatureName:client-UnifiedWriteFilter

安装组件后，我们可以使用uwfmgr.exe实用程序来管理过滤器设置。

要启用UWF，请运行以下命令并重新启动计算机：

uwfmgr.exe filter enable

启用筛选器后，它将自动重新配置系统以消除任何写入操作(禁用了交换文件，还原点，文件索引编制，碎片整理)。

要为特定系统磁盘启用写保护，请运行以下命令：

uwfmgr.exe volume protect c:

现在重新启动计算机。重新启动后，用户在会话期间写入磁盘的所有内容将仅在下一次重新启动之前可用。

我们可以使用以下命令检查UWF状态：

uwfmgr.exe get-config

在我们的示例中，我们可以看到系统磁盘是受保护的(卷状态：受保护)。

我们可以将某些文件，目录或者注册表项添加到UWF排除项列表中。我们对这些项目所做的更改将直接写入磁盘，而不是覆盖磁盘。我们不能为某些文件或者文件夹添加排除项，例如：

-\Windows\System32\config \中的注册表文件

• 卷的根
  -\Windows，\ Windows\System32，\ Windows\System32\Drivers

要将特定文件或者文件夹添加到排除项，请运行以下命令：

Uwfmgr.exe file add-exclusion c:\labs

或者

Uwfmgr.exe file add-exclusion c:\labs\report.docx

要为注册表项添加排除项：

Uwfmgr.exe registry add-exclusion “HKLM\Software\My_RegKey”

要应用排除项，请重新启动计算机。

在开始维护(更新安装，防病毒软件更新，新文件的复制)之前，我们将必须切换到特殊的服务模式：

Uwfmgr.exe servicing enable

计算机以本地帐户UWF-Servicing启动，我们可以安装所需的更新。完成后，计算机将在启用UWF的情况下以正常模式自动重启。

我们可以使用任务计划程序自动切换到服务模式。

注意UWF不能用于保护闪存驱动器和外部USB设备上的数据。在软件级别，似乎禁止为可移动磁盘类型启用写过滤器。但是，我们可以使用"可移动U盘作为Windows中的固定磁盘"一文中的技巧来绕过此限制。

为了使某些服务正常工作，我们必须将其目录，文件和注册表分支的路径添加到排除列表。我已经为以下一些子系统收集了典型的排除项：

BITS的排除项：

• ％ALLUSERSPROFILE％\ Microsoft\Network\Downloader
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\BITS\StateIndex

在无线网络中正确工作的排除：

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Wireless\GPTWirelessPolicy
• C:\Windows\wlansvc\Policies
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc
• C:\ProgramData\Microsoft\wlansvc\Profiles\Interfaces {{Interface GUID>}{<Profile GUID>}。xml
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wlansvc
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WwanSvc

排除有线网络中正确工作的排除方法：

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WiredL2\GP_Policy
• C:\Windows\dot2svc\Policies
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc
• C:\ProgramData\Microsoft\dot3svc\Profiles\Interfaces {{Interface GUID>}{<Profile GUID>}。xml
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dot3svc

Windows Defender的排除项

• C:\Program Files\Windows Defender
• C:\ProgramData\Microsoft\Windows Defender
• C:\Windows\WindowsUpdate.log
• C:\Windows\Temp\MpCmdRun.log
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

要完全禁用UWF(重新启动后，所有更改将被永久保存)：

uwfmgr.exe filter disable

或者，我们可以为特定音量禁用过滤器：

uwfmgr.exe volume unprotect C:

重要。如果系统由于过滤器的错误工作而无法启动，则可以通过从安装磁盘启动并在离线模式下编辑注册表来禁用过滤器：

• 通过将" start"参数的值更改为" 4"，可以在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uwfvol中禁用过滤器启动。
• 删除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class{71a27cdd-812a-11d0-bec7-08002be2092f}\Lower过滤器中的uufvol字符串

UWF提供了一些有趣的方案：

• 加快Windows性能(磁盘上未写入任何内容，所有写入操作均在内存中执行)
• 在SSD/CompactFlash上启动Windows时，由于减少了写操作，因此可以减少磁盘件
• 实验，测试第三方软件和研究恶意软件