Uwfmgr File Add-exclusion
Roshan Fried
The following list describes the options and sub-options that are available to use in uwfmgr.exe, and it lists the corresponding WMI class or method for each command-line option and sub-option (if available).
The idea of a file state management technology like Faronics Deep Freeze or Windows Unified Write Filter is to ensure a clean consistent system state between users. This means all changes are temporary and discarded on logout/reboot, which poses challenges for software like KeyAccess that needs to store audit data and Policy information for efficient and consistent operation. This document talks about how to work with these technologies with Sassafras. As a general concept, we must look to exclude the files documented in the Complete Files List from being reverted to an earlier state.
Note that the minimum required files listed here allow operation, where an expanded set of files needs to be excluded if you want automated updates to function. This is of course because an update must replace the executables and libraries, where operation only needs to write to preferences and settings. Again, consult the Complete Files List if you want to exclude all client data locations to allow for updates.
There are several concepts in using Deep Freeze that are important here. One is Thawed Space which is a location that is not frozen and therefore not reverted. However, Thaw Space specifically refers to a virtual disk mounted by the Deep Freeze software drivers, which can occur too late in the boot process in some cases relative to KeyAccess starting, and can therefore cause issues. As such, we do not recommend using Thaw Space, but rather using an unfrozen volume, be it a partition or physical drive.
The second part of this configuration then relies on using the Faronics Data Igloo application. This allows you to choose the files, folders, and registry values that you want to create junctions to in the unfrozen volume. You'll also want to ensure that users in general can not alter the target location for these junctions or the configuration could be corrupted, so be mindful of the permissions of the redirect location. Unfortunately this utility only exists for Windows, so other steps are needed on MacOS.
On a somewhat related issue, when cloning a computer image, either to a physical disk or as a virtual computer image file, similar considerations apply - the private data preference files listed above should be excluded from the cloned image. For details regarding other settings that should also be excluded, read the cloning documentation.
Also related is the Client Deployment documentation. It may be of interest that with GPO deployment on Windows you can specify -v DIR_STATE=E:\KeyAccess -v PROP_HOSTNAME=yourhost.domain.com to set the persistent directory to an unfrozen location on a second drive. This avoids setting a folder redirection in Data Igloo for this folder. On a related note, you could script the symbolic link on a Mac deployment, depending on your deployment method.
While adding exceptions in Data Igloo for the other KeyAccess files can allow for updates, that isn't available on Mac. It may also be a better consideration to use Thaw periods to deploy updates. To this end, you may want to modify the auto update cycle of the client to coincide with a Thaw, or disable the updates and manually trigger them. On Windows, the Task Scheduler has an item for KeyAccess Auto-update Task. You can disable this, then trigger it from a Thaw script as needed, or modify it to run at a different time. On Mac, the schedule is handled by /Library/LaunchDaemons/com.sassafras.KeyAccess.kami.plist, which again can be modified or disabled as needed. Note that modification of these scripts is overwritten in an update, so you'll need to re-apply your modifications after an update.
UWF is an optional feature in Windows 10 that saves all drive writes in a virtual overlay that is cleared at logoff or reboot. It has a command line interface that can be used to enter Exclusions for files, folders, and registry entries. We assume you are familiar with this and have turned it on.
- Disable UWF protection, or enter servicing mode Uwfmgr.exe servicing enable
- Install KeyAccess and allow it to run for a few minutes
- Exclude the data folder: Uwfmgr.exe file add-exclusion C:\ProgramData\KeyAccess\
- Exclude the registry keys:Uwfmgr.exe registry add-exclusion "HKLM\SYSTEM\CurrentControlSet\Services\KeyAccess\Settings\pref"Uwfmgr.exe registry add-exclusion "HKLM\SYSTEM\CurrentControlSet\Services\KeyAccess\Settings\settings"
- Reenable UWF or reboot from servicing mode
uwfmgr.exe file add-exclusion "C:\Data\Users\System\AppData?\Local\UpdateStagingRoot?"uwfmgr.exe file add-exclusion "C:\Data\SharedData?\DuShared?"uwfmgr.exe file add-exclusion "C:\Data\SystemData?\temp"uwfmgr.exe file add-exclusion "C:\Data\users\defaultaccount\appdata\local\temp"uwfmgr.exe file add-exclusion "C:\Data\Programdata\softwaredistribution"uwfmgr.exe file add-exclusion "C:\Data\systemdata\nonetwlogs"uwfmgr.exe file add-exclusion "C:\Program Files (x86)\Google"uwfmgr.exe file add-exclusion "C:\cic"
Hola,Ten en cuenta que cualquier comando que se pase debe estar localizable en el PATH del equipo remoto por lo que siempre es mejor definir la ruta completa hasta el ejecutable si no estamos seguros.
nosotros estamos empezando a usar ahora el filtro y no nos da ningun problema con el agente. Tenemos opengnsys 1.2.1, no s si tendr que ver.Mirando tu script creo que tienes algunas cosas mal ya que por ejemplo las exclusiones del registro se hacen con el parmetro registry en lugar de file.Lo que nos da fallo a nosotros es el comando:uwfmgr.exe overlay set-type Diskda error de acceso denegado y nunca cambia a disk, se ejecuta siempre en RAM.
Y otro problema con el que nos encontramos es que queremos que el primer arranque despus de restaurar sea sin el filtro activado para poder activar windows y office antes de congelar. Para eso no puedes activar el filtro antes de grabar la imagen, tiene que ser una vez restaurada la imagen activarlo, pero para eso hay que ejecutar ese comando (filter enable) como administrador, de manera automtica pero solo en el primer arranque tras la restauracin, es algo que estamos viendo cmo hacerlo.
A partir de Windows 10 1709, apareci otro modo de filtro UWF: Hibernar una vez / reanudar muchas (HORM). Este modo le permite obtener rpidamente el estado de Windows con aplicaciones en ejecucin y archivos abiertos. Cada vez que se inicia la computadora, Windows vuelve inmediatamente a este estado.
Por otro lado no s qu pas pero yo jurara que contest a algunas de tus preguntas pero no veo ese mensaje en este hilo.Resumiendo, al final hemos tenido que desistir de usar uwfmgr.exe ya que tras muchas pruebas siempre nos pasaba que al reiniciar los ordenadores apareca un mensaje de que windows se tena que reparar , haba que entrar en el entorno de recuperacin, elegir un idioma y darla a una tecla. Todo eso cada vez que reiniciabas o encendas, por este motivo hemos dejado de usarlo y buscado otra alternativa.
Por cierto, Lo de activar el congelado lo pudimos solucionar ms o menos como dices, en nuestro caso con una tarea programada que se ejecuta al iniciar sesin, se ejecuta una sola vez y con permisos de administrador.
Al bajar imagen con opengnsys por lo que sea la particin EFI sirve para arrancar windows pero da problemas con capas virtuales (overlay) que utilizan tanto uwf como deepfreeze como tantos otros programas.
Da problemas porque bcdedit desconoce que storage utiliza (error: The boot configuration data store could not be opened)por tanto solo tenemos que montar la particin efi (mountvol W: /s)y ejecutar los siguientes comandos
Der Unified Write Filter sorgt dafr, dass Daten nicht mehr persistent auf dem System gespeichert werden. Alle Schreibzugriffe werden in den Arbeitsspeicher ausgelagert und stehen bis zu einem Neustart des Systems zur Verfgung. Sobald der Rechner neu gestartet wird, verliert er letztendlich sein Gedchtnis und erhlt den Zustand wieder, den er seit Aktivieren des Filters hatte.
Sie knnen die Funktion Unified Write Filter (UWF) auf Ihrem Gert verwenden, um Ihre physischen Speichermedien zu schtzen, einschlielich der meisten standardmigen beschreibbaren Speichertypen, die von Microsoft Windows untersttzt werden, z. B. physische Festplatten, Solid-State-Laufwerke, interne USB-Gerte, externe SATA-Gerte usw.
Sie bentigen Windows 10 IoT Enterprise oder Windows 10 Enterprise um diese Funktion nutzen zu knnen. Nutzern von Windows 10 Professional steht diese Funktion nicht zur Verfgung. Diese knnen jedoch den Single-App-Kiosk Modus benutzen, mehr dazu weiter unten.
Nicht alle Dateisysteme werden untersttzt. UWF untersttzt zwar das NTFS-Dateisystem vollstndig; whrend des Gertestarts knnen jedoch NTFS-Dateisystem-Journaldateien auf ein geschtztes Volume schreiben, bevor UWF das Volume geladen und mit dem Schutz begonnen hat. Bei FAT-formatierten Volumes ist eine vollstndige Sperre auch beim Boot mglich.
Wenn Sie das Gert aktiviert haben und es neu gestartet haben, knnen Sie mit der Konfiguration beginnen. Sie knnen entweder das systemeigene Dienstprogramm uwfmgr.exe oder WMI (d. h. PowerShell) verwenden, um den Schutz Ihrer Laufwerke und eine Menge anderer Einstellungen zu konfigurieren. Auf jeden Fall sollten Sie den Filter aktivieren und eines Ihrer Volumes schtzen.
Das UWF-System ermglicht es Ihnen auch, Dateien, Ordner und Registrierungsschlssel vom Schreibfilter auszuschlieen. Wenn Sie beispielsweise vermeiden mchten, dass Windows Defender bei jedem Start alle Virensignaturen neu herunterldt, knnen Sie die folgenden Ausschlsse hinzufgen:
Selbstverstndlich ist es eine Herausforderung, dass alle nderungen bei jedem Neustart verworfen werden, was die Wartung der Maschine etwas schwierig macht. Beispielsweise das Installieren von Anwendungen oder Windows Updates.