Windows10 統合書き込みフィルターを利用してみました

Windows10 EnterpriseではPCを漫画喫茶のPCのように使い終わったらリセットしてくれる機能が備わっています。

統合書き込みフィルターと呼ばれる機能となるのですが、今回この機能を有効化して試用してみました。

この機能を利用するためには、標準ではインストールされていないため、インストールからスタートする必要があります。

設定-アプリと機能からインストールできるかと思い確認しましたが、こちらからはインストールが行えない様でした。 

f:id:mohessu:20180904213946p:plain

【インストールしたい機能はありませんでした】

f:id:mohessu:20180904213955p:plain

Windowsの機能に行けばあると思い、コントロールパネル内のWindowsの機能の有効化または無効化を開きました。 

f:id:mohessu:20180904214515p:plain

Device Lockdownの下にありました。統合書き込みフィルターの文字が。
これにチェックを入れ有効化しましょう。

f:id:mohessu:20180904214536p:plain

f:id:mohessu:20180904214629p:plain

これでインストールは完了です。設定後1分程度でインストールは終わりました。

f:id:mohessu:20180904214636p:plain

これで設定に入ることができます。
設定はコマンドプロンプトで実行します。
管理者権限でプロンプトに入り以下コマンドを実行します。

uwfmgr.exe get-config

f:id:mohessu:20180904215036p:plain

このコマンドでは、現在の設定がわかります。
統合書き込みフィルターでは大きく分けて、プロテクトとフィルターの2段構成で対応する形となります。

まず最初に行うのはプロテクト。
書き込みから保護する対象となるドライブを決めます。以下コマンドではCドライブを対象としています。

uwfmgr.exe volume protect c:

f:id:mohessu:20180904215505p:plain

その後、フィルターの有効化を実行することで、データを書き込んでも再起動すると元に戻るようになります。実際に有効化するには再起動が必要となります。 

uwfmgr.exe filter enable

f:id:mohessu:20180904215545p:plain

設定した後の動作を見てみましょう。 

保護する前からあったファイルが左上。右下にある二つは保護後にそれをコピーして作ったファイルです。

f:id:mohessu:20180904220904p:plain

ファイルを保存した後に再起動すると、、、 

f:id:mohessu:20180904221538p:plain

想定通りデータが消えていました。なお、スリープモードに入るだけではデータは消えず、再起動でデータが元に戻るという形のようです。

機能的には設定した後に作ったデータをメモリに格納しながらリダイレクトする形なのでその通りの動作をしてくれていますね。 

なお、このデスクトップ、OneDriveで保護しているのですが、再起動時に消される動作となっており、さらに消した段階で同期がかかるようで、OneDrive上のデータも一緒に消えていきました。

逆に機能を有効化したままWebのOneDriveにファイルをアップロードするとそのアップロードが起動時に同期されるようです。

f:id:mohessu:20180904223539p:plain

起動後にこんな感じにファイルが現れる形に。

f:id:mohessu:20180904223612p:plain

 

プロテクトを終了する場合は以下コマンドで元の状態に戻せます。
再起動時にデータが消える動作は同じなので、次回起動以降に元の状態となる形です。

uwfmgr.exe filter disable

uwfmgr.exe volume unprotect c:

この機能、有効化、無効化にかかる時間がほとんどありませんでした。
もちろん保護対象はWindows本体も含まれるため、Windows UpdateやDefenderの更新も行われません。
実際にはアップデートをしない運用は成り立たないため、一時的にプロテクトをオフにしてからインストール後に再プロテクトをかけ、更新を行っていきます。

uwfmgr.exe servicing enable

shutdown /r /t 0

uwfmgr.exe servicing disable

また、Defenderの場合はファイルを除外対象にするのが良いのですが、以下にその方法が記載されていますので、実行しておくとよいかと思います。

Antimalware support on UWF-protected devices | Microsoft Docs

実際の運用にあたっては以下の資料も読んでおくことをお勧めします。

Unified Write Filter (UWF) 環境での運用を考慮した設定について | Ask CORE

Unified Write Filter (UWF) feature | Microsoft Docs

マイクロソフトは、環境に依存しないワークスペースを作ることで、生産性の向上とモダンワークスタイルを作ろうとしているのだと思います。

本当はWindowsからも脱却し、データと作業環境を分離して考え、その時折に利用可能な状況で作業を行い、クラウドへデータを格納する。という方向で作業のやり方をシナリオ立てていけばよいのかと思いますが、その第一歩として、人とPCを切り離すというやり方をとってみるのはいかがでしょうか。
この機能を利用していて、そういったことができるような気がしてきました。

音楽:モノクローム