统一写入筛选器UWF(unified-write-filter)堪比Bitlocker，差点毁掉我两台电脑的系统

blueflash

一直用统一写入筛选器 (UWF) 功能 (unified-write-filter)保护我的SSD，以前升级时一是SSD没这么多，没这么多盘符，二是SSD一般都带着系统，升级换掉就直接到二奶机三奶机上去了，所以一直没发现这个BUG。

具体说就是如果你开启了UWF保护，并且对某个卷——以Volume的那一串UUID为唯 一ID进行了保护，你这个硬盘卷分配的盘符就和这个Volume的UUID绑定了。要是你作死把这个硬盘拆到其它机器上去了，拆之前没有在系统里解除保护，恭喜你的UWF废了，新的硬盘加进来分配了这个盘符后直接显示被保护，但实际效果是没有保护，文件随便改。你想要把这个新的卷加入保护——对不起，没门，因为这个盘符和旧硬盘的Volume UUID绑定了，不管是命令行还是UWF管理工具都无能为力。想重置UWF设置，显示无权限被拒绝访问。上系统管理员甚至system身份都没用，都提示没有访问权限。

最后我只能再从另一台机器上把那个SSD拆回来，再进系统解除保护 ，然后UWF才恢复正常。

之前微软Bitlocker坑了多少人，要是一直没登录微软帐号完成最后一步，连密钥都不会生成，但只要你这系统趴窝，拆了硬盘到其它机器上读都显示被锁，数据直接就100%丢失。哪怕你系统抢救回来了也没用，只要拆过硬盘被检测到，100%锁盘。

现在这个UWF也不逞多让，只要你没解除保护，这个盘符就废了，永远跟一个Volume UUID绑定了。然后你的UWF要么变成无效，要么开机蓝屏(提示kmode exception not handled）……

试过卸载UWF再重新安装，没用，只要系统不重装，那个盘符和Volume UUID会被永远记住，恐怖如斯！

还试了下删除注册表里的Volume UUID，然后重启，华丽地蓝屏了——inaccessible boot device，Bitlocker不会给你机会，UWF也不会给

最后只能硬盘拆一台机器上重新解除保护，另一台则直接恢复备份了。

睡觉去，两台机器折腾一晚上……

blueflash

gbawrc 发表于 2023-4-29 07:56
WIN11让无数装机人员翻车

是的，win11预装的DELL品牌机从2019年后默认开Bitlocker，今年公司两个人系统崩溃后数据全没了，结果不查不知道，一查吓一跳，新的笔记本电脑几乎全都开着，赶紧一台台去关掉。

kevinho86

幸好两台去年买的optiplex mff到家开机测试后，就马上重新分区不要Dell的系统了，自己重装

lucifersun

统一写入筛选器 (UWF) 是一个可选的 Windows 10 功能，它通过拦截驱动器的所有写入（应用安装、设置更改、保存的数据）并将其重定向到虚拟覆盖层来帮助保护驱动器。 虚拟覆盖是一个临时位置，通常在重新启动期间或来宾用户注销时清除。
优点

    为经常有来宾用户使用的瘦客户端和工作区（例如学校、图书馆或酒店的计算机）提供干净的体验。 来宾用户可以在这些计算机上工作、更改设置和安装软件。 设备重启后，下一个来宾用户仍可以获得干净的体验。

    提高展台、IoT 嵌入式设备或预期不会频繁添加新应用的其他设备的安全性和可靠性。

    可用于减轻固态硬盘和其他写入敏感型媒体的磨损。

基本是给特定环境使用的，一般用途开这个功能就是自己瞎折腾

zhao137314

这不就是这功能的效果吗 我觉得没毛病 我公司一直开着 目的就是放拆盘

ysc3839

BitLocker设备加密那个功能，我听说是要登录了微软账号后才会开始加密？我手头上没有符合设备加密要求的机子，不知道具体情况如何。

a_skywalker

公司配的电脑开BitLocker只有好处没有坏处，和域绑定密钥生成后直接传到公司服务器上，出了问题从服务器提取恢复密钥就行。

纨绔弟子

主动开BitLocker的路过

c2h6o

ysc3839 发表于 2023-4-29 10:46
BitLocker设备加密那个功能，我听说是要登录了微软账号后才会开始加密？我手头上没有符合设备加密要求的机 ...

事实是没绑定微软账号一样开启加密。

groups

bitlocker用了这么多年，也换过机器，一直没出过毛病

blueflash

zhao137314 发表于 2023-4-29 10:36
这不就是这功能的效果吗 我觉得没毛病 我公司一直开着 目的就是放拆盘

不知道UWF拆盘的后果会这么严重啊，坑死我了，通宵一晚上才解决。害得我的傲腾多了几百G的写入

blueflash

ysc3839 发表于 2023-4-29 10:46
BitLocker设备加密那个功能，我听说是要登录了微软账号后才会开始加密？我手头上没有符合设备加密要求的机 ...

你这是最危险的情况。Bitlocker功能已经打开，但是离加密完成还差最后一步：登录微软账户。这个时候如果你打开磁盘管理或者把硬盘拆下来放到其他机器上，可以看到硬盘处于一个加密了又没有完全加密的状态。即使你从来没有登录过微软账户，Bitlocker也有可能在下述123456的情况发生时误触开启锁定，由于此时并没有登录微软账户，所以生成的解密秘钥不会有在线备份，机器就会陷入【硬盘解锁需要密钥→密钥在硬盘里→硬盘被锁定无法读取→硬盘解锁需要密钥】的死循环。

根据GG个人的经验以及广大网友的案例，已经Bitlocker过的硬盘，触发蓝屏锁死的条件包括但不限于：

1，更换主板（100%触发，把硬盘拆下做成移动硬盘也在此列）

2，修改高级启动设置（高概率）

3，同一台电脑上存在两个以上的系统盘或引导（高概率，PE应该也在此列）

4，更换CPU/内存/显卡/网卡/加装硬盘（低概率）

5，更新BIOS（低概率）

6，Win10更新时崩溃卡死（低概率）


在Win10的搜索框里输入“设备加密”，可以找到相关的设置：

点进去之后，如果是2019年以前的电脑以及组装机，应该是“设备加密已关闭”，表示设备未加密：

而最近几个月以及2020年出厂的一部分品牌机，则是“你需要登录microsoft帐户才能完成加密”，表示Bitlocker功能已经打开，但是离加密完成还差最后一步：登录微软账户。

这个时候如果你打开磁盘管理或者把硬盘拆下来放到其他机器上，可以看到硬盘处于一个加密了又没有完全加密的状态：

这个时候加密的主体过程实际上已经完成了，只要你一登录微软账户（并不一定要在设备加密的对话框，任何地方都可以），你电脑上的各个硬盘都会被Bitlocker。

理论上来说，这个Bitlocker在加密的同时会将秘钥上传到你的微软账户里，所以即使你没有手动备份秘钥，在锁盘时也可以在微软官网找到备份的秘钥（当然微软官网能不能上的去又是另外一个问题了）。

但是即使你从来没有登录过微软账户，Bitlocker也有可能在上述123456的情况发生时误触开启锁定，由于此时并没有登录微软账户，所以生成的解密秘钥不会有在线备份，机器就会陷入【硬盘解锁需要密钥→密钥在硬盘里→硬盘被锁定无法读取→硬盘解锁需要密钥】的死循环。

YsHaNg

blueflash 发表于 2023-4-28 23:58
是的，win11预装的DELL品牌机从2019年后默认开Bitlocker，今年公司两个人系统崩溃后数据全没了，结果不查 ...

你们公司没用ad域吧 不然还是很标准易部署的企业功能 iso27001等级的安规都会要求这类

赫敏

blueflash 发表于 2023-4-28 18:58
是的，win11预装的DELL品牌机从2019年后默认开Bitlocker，今年公司两个人系统崩溃后数据全没了，结果不查 ...

咋感觉是你们公司的人不会用呢。。。。密钥可以用微软账号或者key vault来保存不需要记住。而且现在远程办公环境都用Azure AD来配合加密和密钥管理

blueflash

YsHaNg 发表于 2023-4-30 00:30
你们公司没用ad域吧 不然还是很标准易部署的企业功能 iso27001等级的安规都会要求这类  ...

我们公司以前布置过域，但后来自己都觉着太烦就取消域了。

blueflash

赫敏 发表于 2023-4-30 00:57
咋感觉是你们公司的人不会用呢。。。。密钥可以用微软账号或者key vault来保存不需要记住。而且现在远程 ...

人人都有微软帐号这一点达不到啊，而且现在登录微软帐号非常慢，经常断……

赫敏

blueflash 发表于 2023-4-29 12:09
人人都有微软帐号这一点达不到啊，而且现在登录微软帐号非常慢，经常断…… ...

看楼上的不需要微软账号，本地域也可以。我自己都管理域和账号根本不麻烦

blueflash

赫敏 发表于 2023-4-30 01:12
看楼上的不需要微软账号，本地域也可以。我自己都管理域和账号根本不麻烦 ...

公司搬家之前也是用域的，但是太麻烦了，员工升级个QQ或者微信都要我们去用管理员操作。如果给普通帐号升权限又不安全。
最麻烦的是域起码要一台域控和一台DHCP，一出问题所有人都没法工作。DHCP服务器挂过两次结果就是赶紧临时去帮每个人手工设IP才能上网。公司现在缩减开支，你换新服务器就不要想了。
按理说这种一二百号用户的用域是比较快捷，但实际操作起来真的麻烦。

YsHaNg

blueflash 发表于 2023-4-29 17:08
我们公司以前布置过域，但后来自己都觉着太烦就取消域了。

那确实办公电脑第一件事就是关这些 以前不用域的公司it就这么告诫的

yangzi123aaa20

这不就还原精灵嘛，还以为是什么高大上的东西

blueflash

yangzi123aaa20 发表于 2023-4-30 02:51
这不就还原精灵嘛，还以为是什么高大上的东西

还原精灵还有Shadow Defender和冰点还原之类的是基于硬盘文件格式，本质上你的读写还是写入到硬盘然后进行过滤的，UWF直接是缓存在内存中的，完全不写入硬盘。

Powershadow影子系统倒是缓存在内存中，可惜还是不够稳定。

而且上面所述的软件都有缺点，卸载不干净，经常会破坏硬盘引导区，容易丢失文件导致系统崩溃。

而UWF毕竟是微软自家的企业级产品，除去防拆盘这种坑爹操作，其它无论稳定性还是速度都非常优秀。以前WIN7下有个类似的EWF，存在缓存容量有上限（小于2GB），一旦达到了就会速度大降的问题。UWF就不存在，而且缓存可以设得很大（我现在设置内存缓存38GB）。

以前用过Shadow Defender，往保护分区里拷一个几百MB的东西，能拷一个多小时。特别是小文件多的时候性能稀烂.

hurn

一直在用Bitlocker。我只加密数据盘。系统盘用系统自带的账户系统挡住别人。

xd809607

好像之前有这个提示，但我没找到在哪里关……可怕啊

taichow

……掉进楼主一样的坑。我是分区给我删了，这下不知道还能找回同样的UUID不……莫非要重装系统查到linux下可以修改uuid，尝试把u盘的uuid改成原来分区的试试。

taichow

linux下可以指定uuid，不过受限制，不能随意指定。尝试后原来的ntfs、fat32、vfat都格式不能指定为原来的uuid。需要是ext4,然而这个改了uwf不认。

不管它继续保护c盘，开启状态下，消耗始终为0。看来是有问题，只是默默不提示，让你猜。所以，可能不仅仅是删除的分区或者拆掉的ssd不保护，其他分区也都不保护了。


已解决！

jimmyjin

这是安全功能， 不会用或者用不到就不要打开， 就像bitlock, 大一点IT/IC 公司基本从win10 都会开着的， 相比你的数据没了， 公司更担心你的数据被偷了

yyu0378

BitLocker这功能，我们公司是强制要开，数据安全更重要。很多功能是无所谓好坏，只是要看是用方法和环境。一刀切的下论断是错误的。

frontwing

ysc3839 发表于 2023-4-29 10:46
BitLocker设备加密那个功能，我听说是要登录了微软账号后才会开始加密？我手头上没有符合设备加密要求的机 ...

只要开了TPM，装完系统就开始加密了，因为win11要求必须有TPM，现在新的笔记本装完系统默认就是加密过的状态