統合書き込みフィルター処理 (UWF) 機能
統合書き込みフィルター (UWF) は Windows 10 のオプション機能で、ドライブへの書き込み (アプリのインストール、設定の変更、データの保存) をインターセプトして仮想オーバーレイにリダイレクトすることで、ドライブを保護します。 仮想オーバーレイは、再起動またはゲスト ユーザーがログオフするときにクリアされる一時的な場所です。
メリット
学校、図書館、ホテルのコンピューターなど、ゲストが頻繁に使用するシン クライアントやワークスペースに対して、クリーンなエクスペリエンスを提供します。 ゲストは、作業し、設定を変更し、ソフトウェアをインストールすることができます。 デバイスを再起動した後、次のゲストにはクリーンなエクスペリエンスが提供されます。
新しいアプリが頻繁に追加されない場合のセキュリティと信頼性が向上します。
ソリッド ステート ドライブや他の書き込み機密メディアの磨耗を減らすために使用できます。
起動時のアプリケーション読み込みタイミングの最適化 – 起動毎にシステムを再読み込みするのではなく、起動毎に HORM ファイルから再開する方が高速な場合があります
UWF は、Windows 7 の Enhanced Write Filter (EWF) とファイル ベースの書き込みフィルター (FBWF) に代わるものです。
機能
UWF を使うと、物理ハード ディスク、ソリッド ステート ドライブ、内部 USB デバイス、外部 SATA デバイスなど、サポートされているほとんどの書き込み可能記憶域の種類を保護できます。 UWF を使って、外部リムーバブル ドライブ、USB デバイス、またはフラッシュ ドライブを保護することはできません。 マスター ブート レコード (MBR) と GUID パーティション テーブル (GPT) の両方のボリュームをサポートします。
UWF を使うと、読み取り専用メディアを書き込み可能ボリュームとして OS に表示できます。
UWF は、Windows 10 デバイスで uwfmgr.exe を使って直接管理することも、MDM ツールと UnifiedWriteFilter CSP または UWF WMI を使ってリモートで管理することもできます。
UWF サービス モードを使うか、特定のシステム領域にファイルとレジストリの除外を追加することにより、UWF で保護されたデバイスの更新とサービスを行うことができます。
Windows 10 バージョン 1803 では、永続的オーバーレイを使って、仮想オーバーレイに保存されているデータを再起動後も引き続き使用できるようにすることができます。
ディスク オーバーレイがあるデバイスでは、空き領域パススルーを使用してドライブの空き領域にアクセスできます。
保護されていないボリュームにページ ファイルが存在する場合、UWF により仮想メモリを増やすためのページングがサポートされます。 ページングを RAM ベースのオーバーレイと共に使うと、システムの稼働時間を増やすことができます。
必要条件
| Windows エディション | サポートされています |
|---|---|
| Windows Home | いいえ |
| Windows Pro | いいえ |
| Windows Enterprise | はい |
| Windows Education | はい |
| Windows IoT Enterprise | はい |
制限事項
ファイル システム:
- FAT: 完全にサポートされています。
- NTFS: 完全にサポートされています。 ただし、デバイスの起動中、UWF によるボリュームの保護が開始されるまでは、NTFS ファイル システムのジャーナル ファイルを保護されたボリュームに書き込むことができます。
- その他のファイル システム (例: exFAT): ボリュームを保護することはできますが、ボリュームでファイルの除外を作成したり、ファイルのコミット操作を実行したりすることはできません。 除外されたファイルへの書き込みは、やはりオーバーレイの拡大に影響します。
オーバーレイはボリューム全体をミラーするわけではありませんが、リダイレクトされた書き込みを追跡するために動的に拡張されます。
UWF は、最大 16 テラバイトの保護されたボリュームをサポートしています。
UWF では、デバイスのシャットダウン時の高速起動の使用はサポートされていません。 高速スタートアップが有効になっている場合、デバイスをシャットダウンしてもオーバーレイはクリアされません。 [コントロール パネル] > [すべてのコントロール パネル項目] > [電源オプション] > [システム設定] に移動し、[高速スタートアップを有効にする (推奨)] チェック ボックスをオフにすることで、高速スタートアップを無効にすることができます。
UWF では、記憶域スペースはサポートされていません。
UWF が有効になっていて、ドライブ C を保護するために使用されているコンピューターでは、日付と時刻を過去の時刻に永続的に設定することはできません。 そのような変更を行うと、コンピューターの再起動後に元の日付と時刻の設定が復元されます。
この問題を回避するには、次のコマンドで日付と時刻を変更する前に、UWF を無効にする必要があります。
uwfmgr.exe filter disableNote
この問題を回避するには、日付と時刻の設定を保持するファイル ("%windir%\bootstat.dat") を、書き込みフィルターの除外に追加しないでください。 これを行うと、Stop エラー 0x7E (SYSTEM_THREAD_EXCEPTION_NOT_HANDLED) が発生します。
UWF を有効にして構成する
UWF はオプションのコンポーネントであり、Windows 10 では既定で有効になっていません。 構成する前に、UWF を有効にする必要があります。
UWF オーバーレイ
再起動後にオーバーレイの種類、予約領域、永続化を選択できます。
稼働時間を増やすには、オーバーレイがいっぱいになっているかどうかをチェックするように監視を設定します。 デバイスは、特定のレベルで、ユーザーに警告したり、デバイスを再起動したりすることができます。
詳しくは、UWF オーバーレイの場所とサイズに関する記事をご覧ください。
ボリューム
ボリュームは、OS によって使用されるファイル システムに対する永続記憶域の領域を表す論理ユニットです。次に例を示します。
- ハード ディスクなどの 1 つの物理ストレージ デバイス
- 複数のパーティションを持つ物理ストレージ デバイス上の 1 つのパーティション
- 複数の物理ストレージ デバイスにまたがる
たとえば、RAID アレイ内のハード ディスクのコレクションを OS に 1 つのボリュームとして認識させることができます。
UWF を構成してボリュームを保護するときに、ドライブ文字またはボリューム デバイス識別子を使ってボリュームを指定できます。 ボリュームのデバイス識別子を確認するには、Win32_Volume WMI クラスの DeviceID プロパティを照会します。
ドライブ文字を使ってボリュームを指定した場合、UWF は "緩い結合" を使ってボリュームを認識します。 緩いバインドでは、ボリューム構成の変更に応じてドライブ文字が動的に割り当てられます。
ボリュームデバイス識別子を使ってボリュームを指定した場合、UWF は "固い結合" を使ってボリュームを認識します。 固いバインドでは、デバイス識別子は記憶域ボリュームに固有になり、ファイル システムによってボリュームに割り当てられたドライブ文字と無関係になります。
除外
特定のファイル、フォルダー、レジストリ キーを書き込みフィルター除外リストに追加して、フィルター処理されないようにすることができます。
UWF のサービス モード
デバイスが UWF で保護されている場合に、デバイスのサービスを行ったり、イメージに更新プログラムを適用したりするには、UWF サービス モードのコマンドを使う必要があります。 UWF サービス モードを使用すると、Windows の更新プログラム、マルウェア対策署名ファイルの更新、およびカスタム ソフトウェアまたはサードパーティのソフトウェア更新プログラムを適用できます。
UWF サービス モードを使ってソフトウェア更新プログラムをデバイスに適用する方法について詳しくは、「UWF で保護されたデバイスのサービス」をご覧ください。
UWF のトラブルシューティング
UWF では、Windows イベント ログを使って、オーバーレイの消費、構成の変更、サービスに関連するイベント、エラー、メッセージがログに記録されます。
統合書き込みフィルター (UWF) に関する問題のトラブルシューティングのためにイベント ログ情報を検索する方法について詳しくは、「統合書き込みフィルター処理 (UWF) のトラブルシューティング」をご覧ください。