Настройка теневого копирования тома на Windows 10, как включить и отключить

Настройка теневого копирования тома на Windows 10, как включить и отключить

ПК на базе операционной системы Виндовс 10 обладают широким набором функций. Их главная задача – оптимизировать рабочий процесс. Однако далеко не все пользователи подозревают о существовании такой полезной опции, как теневое копирование тома на компьютере с Windows 10. Из ее названия не очень понятно, для чего может понадобиться такая функция. Поэтому важно разобраться в принципе работы теневого копирования, а также в способах его включения и выключения.

Что это за опция

Для ответа на этот вопрос необходимо дать определение каждому слову из сочетания «теневое копирование тома», исходя из особенностей Windows 10. Под словом «том» подразумевается раздел жесткого диска. Что собой представляет «копирование», пожалуй, знают все, а «теневым» оно становится только из-за того, что операция протекает в фоне.

screenshot_1

Таким образом, теневое копирование тома – это функция скрытого копирования определенного раздела жесткого диска, включая отдельные файлы и приложения. Получается некое подобие резервной копии, которую можно восстановить в любой удобный момент.

Как она работает?

Теневое копирование функционирует в рамках активации одноименной службы компьютера. Она создает невидимую область внутри накопителя, которая используется для временного хранения копии. Как правило, для бэкапа отводится 3 % пространства жесткого диска.

screenshot_2

На заметку. Для стабильной работы компьютера требуется, по меньшей мере, 10-15 % свободного пространства. Поэтому функция ТК нередко доставляет неудобства при эксплуатации устройства.

Настоящую пользу данный вид копирования приносит в тот момент, когда пользователь пытается восстановить файлы после отката операционной системы. Без рассматриваемой опции сделать это не получится. Кроме того, теневое копирование выручает и в более банальных ситуациях. Например, когда человек работает в программе, функционирование которой резко прервалось из-за системного сбоя.

screenshot_3

Насколько целесообразно держать службу активной?

Функция является крайне полезной для тех, кто боится потерять важные файлы, а также периодически нуждается в восстановлении системы. Но здесь важно отметить, что бэкап создается не для всего накопителя целиком, а для его отдельных разделов.

При резервировании больших массивов у компьютера не останется места для сохранения других важных файлов. А еще ПК с недостаточным количеством свободной памяти работает медленнее и чаще подвержен возникновению системных сбоев. Другое дело – если накопитель компьютера не задействован на 100 %. В таком случае копирование отдельных томов не вызовет никаких неудобств, и для них можно выставить соответствующие ограничения.

screenshot_4

Как включить теневое копирование тома в Windows 10

Опция активируется встроенными средствами операционной системы. Причем существует несколько вариантов включения, каждый из которых обладает плюсами и минусами, касающимися удобства.

Меню «Свойства системы»

Пожалуй, это самый простой способ. Он подразумевает использование стандартного интерфейса Windows 10, а операция выполняется по следующей инструкции:

  • Запустите «Параметры» через меню «Пуск».

screenshot_5

  • Перейдите в раздел «Система».

screenshot_6

  • Откройте вкладку «О системе».

screenshot_7

  • Выберите «Сведения о системе».

screenshot_8

  • Кликните по надписи «Защита системы», расположенной в левой части окна.

screenshot_9

  • Нажмите кнопку «Настроить».

screenshot_10

  • Отметьте пункт «Включить защиту системы».

screenshot_11

  • При помощи ползунка, который находится ниже, выделите необходимое количество свободного пространства для резервирования.
  • Вернитесь на шаг назад, а затем нажмите кнопку «Создать».

screenshot_12

  • Присвойте имя точке восстановления, после чего еще раз кликните «Создать».

screenshot_13

Для проверки удачного создания теневого тома достаточно изменить любой файл, сохраненный на выделенном диске, а затем открыть его «Свойства». Во вкладке «Предыдущие версии» отобразится бэкап данных, которые будут использоваться для восстановления.

Командная строка

Еще один вариант, позволяющий вручную активировать функцию. На этот раз пользователю придется обратиться к интерфейсу Командной строки. Найти его можно через поисковую строку компьютера или путем ввода запроса «cmd» из окна «Выполнить» («Win + R»).

screenshot_14

Оказавшись в КС, сделайте следующее:

  • Введите команду «wmic shadowcopy call create Volume=C:», где вместо буквы «C» используется метка резервируемого тома.

screenshot_15

  • Нажмите клавишу «Enter».
  • Как только в Командной строке появится сообщение «Метод успешно вызван», необходимо перейти в «Свойства» диска и открыть вкладку «Предыдущие версии».
  • Убедитесь, что новая копия успешно создана.

screenshot_16

Зачастую этот способ является даже более предпочтительным в сравнении с предыдущим, поскольку на его выполнение требуется меньше времени. Однако при использовании КС всегда велик риск ввести неправильный запрос, особенно когда копированием занимается неопытный пользователь.

Автоматизация теневого копирования

Предыдущие методы хороши тем, что позволяют владельцу ПК самостоятельно настроить резервирование данных. Однако системный сбой, после которого требуется восстановление параметров, может произойти в самый неподходящий момент. Поэтому важно также знать, как автоматизировать процесс.

Для автоматизации копирования потребуется:

  • Запустить «Панель управления», воспользовавшись поисковой строкой ПК.

screenshot_17

  • Перейти в раздел «Администрирование».

screenshot_18

  • Выбрать «Планировщик заданий».

screenshot_19

  • Кликнуть по надписи «Создать простую задачу» в блоке с доступными действиями.

screenshot_20

  • Придумать имя, а затем нажать «Далее».

screenshot_21

  • Установить периодичность (ежедневно, еженедельно и так далее).

screenshot_22

  • Отметить пункт «Запустить программу».

screenshot_23

  • Указать значение «wmic» в подпункте «Программа или сценарий», а также «shadowcopy call create Volume=c:\» для пункта «Добавить аргументы».

screenshot_24

  • Отметить галочкой опцию открытия окна «Свойства».

screenshot_25

  • Подтвердить создание задачи.
  • В следующем окне отметить пункт «Выполнять с наивысшими правами».

screenshot_26

  • Сохранить изменения.

Теперь фоновое копирование будет осуществляться самостоятельно в заданный промежуток времени. Проверить работоспособность метода также можно через «Свойства» диска или конкретного файла, сохраненного в его рамках.

Отключение теневого копирования

В любой момент пользователь может отключить резервирование или удалить созданную ранее копию. Для этого достаточно перейти в «Защиту системы», как в первом способе создания теневого тома. Далее необходимо нажать кнопку «Настроить» возле интересующего раздела диска, а затем кликнуть «Удалить» и сохранить изменения.

К сведению. Для отключения автоматического резервирования нужно просто удалить задачу, созданную ранее через «Планировщик заданий».

screenshot_27

Что делать в случае ошибок

Бывает, что при создании задачи по автоматическому резервированию томов копия не сохраняется. Это вызвано деактивацией функции защиты системы. Ее необходимо активировать способом, который был описан в самом первом пункте создания теневого тома.

Также ошибки могут быть связаны с переполнением пространства, отведенного под создание бэкапов. Проблема решается путем удаления всех ранее сохраненных копий при помощи метода, описанного в пункте «Отключение теневого копирования».

screenshot_28

Наконец, если создать бэкап встроенными средствами не получится, для экономии времени можно воспользоваться сторонним ПО. Например, утилитой CCleaner, обладающей нужным функционалом для создания теневых томов.


Для начала, чтобы не было заблуждений, отмечу.
Теневая копия — это не Средство восстановления системы из раздела Защиты системы Windows 10 — это более нужный инструмент для тех кто «в теме».

Windows 10


Из Википедии
Служба теневого копирования тома (англ. Volume Shadow Copy Service, VSS) — служба операционной системы Windows, позволяющая копировать файлы, с которыми в данный момент времени ведётся работа, и даже с системными и заблокированными файлами. Служба необходима для работы следующих программ: восстановление системы, программ архивации (Paragon Drive Backup, Acronis True Image, Leo Backup, R Drive Image и другие). Обычно служба запускается вручную.

В серверных версиях Windows теневое копирование обычно настраивается через графический интерфейс, задается размер диска под копии, какой диск и с какой периодичностью делать. В Windows 10 такого интерфейса нет, есть лишь Средство восстановления системы.

Расскажу как сделать теневую копию в Windows 10 и как настроить ее автоматическую работу.

Для создания теневых копий в Windows 10 используется команда, которую нужно выполнять с правами Администратора:

wmic shadowcopy call create Volume=c:\

После удачного завершения команды, обычно это несколько секунд, будет создана теневая копия диска С.

Проверить можно так:
Мой компьютер — в свойствах диска СПредыдущие версии

shadow copy disk C, теневая копия Windows 10

Аналогично можно делать теневые копии других дисков меняя букву диска в команде.

Хорошо, работает.
Теперь нужно автоматизировать создание теневой копии в Windows 10.

Тоже не сложно! Используем для этого планировщик задач.

Создаем новое задание, указываем название.

автоматизация создания теневой копии в Windows 10

Указываем периодичность создания теневой копии.

Когда выполнять задачу?

Время создания копии.
Я обычно создаю раз в день, на рабочих серверах 2 раза в день, утром до работы и вечером после окончания дня, можно еще немного раньше обеда. В общем время на ваш выбор.

Расписание задачи

Действие для задачи — Запустить программу

создаем задачу

wmic

и ее аргументы

shadowcopy call create Volume=c:\

wmic shadowcopy call create Volume

Ставим галочку открыть окно «Свойства»

открыть Свойства задачи

Ставим галочку «Выполнить с наивысшими правами»
Так как теневые копии без прав администратора создать и удалить нельзя.

Выполнить с наивысшими правами

Задача Автоматического создания теневых копий настроена, можно запустить ее из планировщика и проверить что копия необходимого диска создана.

Удалить все теневые копии можно командой:

wmic shadowcopy delete

Эту команду можно установить в планировщик, например раз в месяц, до создания копии, тогда все копии будут удаляться и сразу создаваться новая. Это не очень удобно, так как лучше бы стирать например 25 старых, а 5 оставлять самых свежих.

Такой функции я не нашел, нашел удаление всех, кроме последней — это делается через Очистку диска и удаление конкретных копий по их кодам. Сами теневые копии занимают не много, на серверах я обычно оставлял по пол года копий, конечно зависит от размеров дисков, от интенсивности изменения информации на них.

:/>  🐹 Windows 10: Перезагрузка или выключение через командную строку. — Хомячье логово

Теневая копия штука нужная и является хорошим дополнением к резервному копированию, однако это не замена резервной копии!

Потеря информации при перезаписи важных файлов может быть настоящей проблемой. Особенно часто она возникает при работе с файловыми серверами, доступ к которым есть у целого коллектива. В современных версиях Windows перезапись или удаление файла можно откатить благодаря наличию теневой копии.

В теневых копиях (VSS) содержатся записи об изменениях файлов. Копии делаются автоматически каждый час — по умолчанию Windows хранит целых 64 копии файла. Использовать их можно без прав администратора, что удобно — как для пользователей, так и для самого администратора :).

Вот несколько важных особенностей теневых копий:

  • По умолчанию максимальное количество хранимых снапшотов для диска — 64. При превышении этого значения служба VSS начинает циклическую перезапись теневых копий и удаляет самые ранние слепки.
  • Под теневые копии система выделяет 10% емкости раздела, однако это значение можно изменить.
  • Теневое копирование включается для тома целиком, и включить его для отдельной папки невозможно.
  • Microsoft не рекомендует создавать снапшоты чаще, чем раз в час.

Поскольку механизм VSS копирует не данные целиком, а лишь изменения, то объем оказывается не таким большим, как может показаться на первый взгляд. Все файлы теневых копий хранятся в служебном каталоге System Volume Information. Эти файлы можно отличить по названиям — в каждом из них есть идентификатор службы VSS — 3808876b-c176-4e48-b7ae-04046e6cc752. Для включения VSS нужно открыть оснастку «Управление компьютером», развернуть блок «Служебные программы» и, кликнув правой кнопкой мыши по элементу общей папки, выбрать «Все задачи —> Настроить теневые копии».

Включение теневых копий
Включение теневых копий

После этого нужно выбрать раздел, активировать его и настроить расписание копирования. Если через какое-то время кликнуть на файл правой кнопкой мышки и зайти в «Свойства —> Предыдущие версии», то можно будет увидеть список доступных теневых копий.

Список теневых копий
Список теневых копий

Как видишь, включить службу легко и никаких особых настроек она не требует. Польза же от этого может быть огромной. Впрочем, помни: теневые копии — это не замена бэкапу. Не полагайся на них и не ленись бэкапить все, как обычно.

Что такое теневая копия тома.

    Технология теневого копирования (Volume Shadow Copy) в операционных системах Microsoft начала использоваться еще в Windows XP / Server2003 и
продолжает использоваться с некоторыми усовершенствованиями во всех последующих версиях Windows. Применяется для создания системных точек восстановления,
резервных копий системы и архивирования пользовательских данных. Теневое копирование реализовано с использованием специальной службы Volume Shadow Copy Service (VSS)
(Теневое копирование ) и драйверов, позволяющих выполнять копирование системных и заблокированных файлов, с которыми в данный момент времени ведется работа.
VSS работает на уровне блоков файловой системы. При создании снимка, программное обеспечение теневого копирования взаимодействует с прочими компонентами
операционной системы и прикладными программами, добиваясь того, чтобы во время снятия снимка блока, последний не изменился. Процесс копирования данных может быть произведен
как с отдельной файловой системой, так и со специальным оборудованием. В последних версиях служба VSS поддерживает абстракцию функционирования операционной системы.
Технология копирования не требует обязательного наличия файловой системы NTFS, но, тем не менее, ей нужна хотя бы одна файловая система NTFS, в которую сохраняется образ.
Фактически, служба теневого копирования VSS, является посредником между приложением и оборудованием. К примеру, в продукте виртуализации Hyper-V в Windows Server 2008 полный
образ среды, включая виртуальные машины, может быть создан за одну операцию и образы, созданные разными VSS, совместимы между собой и с гостевыми операционными системами.
Технология теневого копирования обеспечивает “заморозку” файловой системы (flush and hold) при создании снимка, и обеспечивает уведомление приложений (writers) о создании
снимков, для того, чтобы они внесли необходимые изменения в свои данные перед созданием снимка, что обеспечивает логическую целостность информации.

Снимки автоматически создаются в фоновом режиме, без каких либо действий со стороны пользователя и незаметно для него, при существенных изменениях операционной системы и
периодически, заданиями планировщика. Имеется возможность создания теневой копии в ручном режиме, с использованием средства создания точек восстановления для дисков с
включенной защитой. Например, в Windows 10 – ПараметрыСистемаО системеСведения о системеЗащита системы. Или запустить от имени
администратора приложение systempropertiesprotection.exe

Создание точки восстановления системы

При нажатии на кнопку Создать выполнится не только создание новой точки восстановления, но и будет сделан новый снимок файловой системы. Включение и настройка параметров защиты системы может
выполняться с использованием кнопки Настройка. Для дисков с отключенной защитой, теневое копирование не выполняется. Для операционных систем Windows XP создается только точка
восстановления без полного снимка файловой системы.

В операционных системах Windows Vista и старше с настройками по умолчанию, как правило, хранится несколько теневых копий системного диска.
Технология теневого копирования построена таким образом, что сначала создается базовый снимок системы, являющийся полной копией, а все последующие копии содержат
только изменения по отношению к базовому снимку. Соответственно, эти копии имеют гораздо меньший объем, и их создание происходит довольно быстро. Данные теневых копий
хранятся в защищенном системном каталоге
C:\System Volume Information\ (для диска C:) и представляют собой файлы, в именах которых содержится идентификатор GUID:

Восстановление содержимого зашифрованных файлов из теневой копии тома.

Для работы с данными командами потребуются права администратора ( запуск от имени администратора).

Получить список теневых копий можно с помощью команды:

Для удобства работы с результатами вывода утилиты, можно воспользоваться их перенаправлением в файл:

Результаты выполнения команды будут записаны в текстовый файл vsslist.txt в каталоге shadows диска C:. Каталог shadows должен быть создан, например, командой md c:\shadows.

Пример отображаемой информации:


vssadmin 1.1 - Программа командной строки для администрирования службы теневого копирования томов
(C) Корпорация Майкрософт (Microsoft Corportion), 2001-2013.

Содержимое для ID набора теневых копий: {85d65d2b-c18a-43f1-8a61-d208b395e21b}
   Содержит 1 теневых копий на время создания: 23.10.2015 15:42:45
      ID теневой копии: {8dfdb88c-bc94-47af-911b-e334a51da328}
         Исходный том: (C:)\\?\Volume{6ef5aa79-4005-11e5-830b-806e6f6e6963}\
         Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
         Размещающий компьютер: win10
         Обслуживающий компьютер: win10
         Поставщик: "Microsoft Software Shadow Copy provider 1.0"
         Тип: ClientAccessibleWriters
         Атрибуты: Сохранение, Доступно клиентам, Без автоматического  освобождения, Разностная, Восстановлен автоматически

Содержимое для ID набора теневых копий: {3262820f-aa3f-490b-bf44-f17378699272}
   Содержит 1 теневых копий на время создания: 27.10.2015 10:01:52
      ID теневой копии: {fd90cbbe-f365-44c3-be5a-d331ebcc5185}
         Исходный том: (C:)\\?\Volume{6ef5aa79-4005-11e5-830b-806e6f6e6963}\
         Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
         Размещающий компьютер: win10
         Обслуживающий компьютер: win10
         Поставщик: "Microsoft Software Shadow Copy provider 1.0"
         Тип: ClientAccessibleWriters
         Атрибуты: Сохранение, Доступно клиентам, Без автоматического  освобождения, Разностная, Восстановлен автоматически



Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1


Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2

C:\shadows

mklink

mklink /D C:\shadows\shadow1 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

mklink /D C:\shadows\shadow2 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\

Обратите внимание на наличие символа \ после имени тома, поскольку ссылка должна создаваться на каталог, а не файл (параметр командной строки /D)

После выполнения этих команд, в каталоге C:\shadows появятся подкаталоги shadow1 и shadow2 содержащие данные теневых копий. Можно из командной строки перейти в проводник Windows:

Каталоги с теневыми копиями в Проводнике Windows

Изображение стрелки на ярлыках указывает на то, что это не реальные каталоги файловой системы, а символические ссылки. Дальше, с данными теневых копий можно работать, как с обычным (но защищенным от записи) каталогом файловой системы.

Процесс подключения теневых копий можно немного упростить с помощью командного файла, следующего содержания:


@echo off
chcp 1251
C:
If not exist C:\shadows md c:\shadows
vssadmin List Shadows > C:\shadows\vsslist.txt
FIND /N C:\shadows\vsslist.txt "\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy" > C:\shadows\listshadows.txt
If exist C:\shadows\shadow1 rd C:\shadows\shadow1
mklink /D C:\shadows\shadow1 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
start explorer C:\shadows


При необходимости, можно подключить нужную теневую копию, командой:

mklink /D C:\shadows\shadowN \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyN\

Команда mklink не может создать новую ссылку, если указанное в параметрах имя уже существует. Для удаления символьной ссылки можно использовать команду RD:

rd C:\shadows\shadow1 – удалить символьную ссылку shadow1

Использование теневых копий томов для восстановления файлов с помощью Recuva.

Выбор режима работы с теневыми копиями в Recuva

После завершения анализа, нужно найти файл для восстановления, который имеет состояние Не удалено. Таким образом, мы будем восстанавливать не удаленный файл, а файл,
сохраненный в снимке файловой системы. Теневых копий, в зависимости от версии Windows, размера дисковых томов, и системных настроек теневого копирования, может быть до 64 шт.
И каждая из них может быть источником восстановления для утилиты Recuva, казалось бы, безвозвратно утерянной информации. Но место на диске, отводимое теневым копиям томов ограничено, поэтому,
при необходимости, система удаляет наиболее старые из них без каких-либо действий со стороны пользователя. По этой причине, пострадав от действий вируса-шифровальщика, не стоит надолго откладывать
восстановление информации из существующих на данный момент снимков. По крайней мере, можно сначала скопировать файлы из теневых копий на сменный носитель, а затем уже приступать к
прочим способам восстановления зашифрованных файлов. В противном случае можно не только не добиться их расшифровки, но и потерять возможность восстановления предыдущего содержимого.

:/>  Как вставить снимок экрана в Office для Windows и Mac? - My Road

Использование стороннего ПО для доступа в теневым копиям томов.

Существует программное обеспечение, облегчающее доступ пользователей домашних компьютеров к данным теневых копий, как например, ShadowExplorer.

ShadowExplorer – доступ к теневой копии тома.

Программа позволяет выбрать диск и любую из соответствующих ему теневых копий. Данные отображаются так же, как в стандартном проводнике. Пользователь имеет возможность выбрать нужный файл или каталог и с помощью контекстного меню, вызываемого правой кнопкой мышки, экспортировать его в нужное место, например, на флэшке.

Программа распространяется в двух вариантах – Installer, устанавливаемом в системе стандартным образом, и Portable, переносимом.

Русифицированная 32-разрядная версия ShadowCopyView 1.05 (приблизительно 54кб)

Русифицированная 64-разрядная версия ShadowCopyView 1.05 (приблизительно 67кб)

Архивы содержат исполняемый файл ShadowCopyView.exe и файл языковой поддержки ShadowCopyView_lng.ini. Если удалить (переименовать) ini-файл, то интерфейс программы будет англоязычным.

”Восстановление

”Свойства

Вероятность восстановления зашифрованных вирусом данных.

Авторы вредоносных программ постоянно работают над тем, чтобы затруднить самостоятельное восстановление данных, зашифрованных вирусом. При заражении системы принимаются меры для того, чтобы удалить теневые копии или сделать их непригодными для восстановления данных. Эта задача очень легко решается, если вирус работает в среде пользователя с правами администратора при отключенной технологии контроля учетных записей пользователей UAC. В качестве примера приведу алгоритм действий реального вируса-шифровальщика, выполняющегося в системе со стандартными настройками безопасности в контексте учетной записи пользователя, обладающего правами администратора.

В большинстве случаев, заражение системы происходит при открытии вложенного в электронное письмо файла. Первая ошибка, допущенная пользователем – сам факт открытия такого файла.
Даже если текст письма довольно правдоподобен, существует возможность просмотра заголовка письма, по которому легко установить достоверность отправителя. Подробная методика:

Как определить поддельное письмо электронной почты.

Тема заражения компьютера через почтовые вложения стара, как компьютерный мир, но тем не менее, остается актуальной, и большинство заражений происходят именно таким образом.
В данном конкретном случае, вложенный файл представлял собой архив, содержащий сценарий на языке JavaScript, обеспечивающий загрузку с сервера злоумышленников основного
тела вируса и выполнение его в контексте учетной записи текущего пользователя. Исполняемый файл вируса имеет случайное имя и копируется в папку документов пользователя.
Пример свойств вирусного процесса, полученный с помощью Far Manager:


Module:                famojv.exe
Full path:             C:\Users\user\Documents\famojv.exe
File version:          0.17.19.20
Description:           Homecomings Latched Embarrassments
PID:                   2296


В первую очередь, вирусный процесс попытался удалить все теневые копии системы,
выполняя команду:

В тех случаях, когда вредоносная программа выполняется в контексте учетной записи с административными правами и
отключен механизм контроля UAC, теневые копии будут успешно удалены, и пользователь этого даже не заметит.
При включенном контроле учетных записей UAC, отобразится оповещение системы безопасности:

Запрос на разрешение выполнения vssadmin.exe

Интерфейс командной строки для Microsoft Volume Shadow Copy Service запрашивает разрешение на выполнение с административными привилегиями. Если на данный запрос ответить ”Да”, то результат будет таким же, как и в предыдущем случае – теневые копии будут удалены. Если же ответить ”Нет”, то программный модуль вируса повторит попытку удаления теневых копий и на экране снова отобразится сообщение системы безопасности. Так будет продолжаться до тех пор, пока не будет нажата кнопка ”Да” или вирусный процесс не будет принудительно завершен. Как правило, большинство пользователей, не задумываясь над смыслом своих действий, после нескольких повторившихся запросов, выбирают первый вариант, тем самым лишая себя последней возможности восстановления данных.

Использование теневых копий томов является единственным относительно простым способом полного или частичного восстановления информации, зашифрованной вредоносными программами. Конечно, кроме восстановления с использованием ранее созданных резервных копий, которые практически никогда не имеются в наличии. В подавляющем большинстве случаев, расшифровка невозможна. С мизерной вероятностью может помочь специализированное программное обеспечение антивирусных компаний, специально разработанное для расшифровки файлов, как например утилиты RakhniDecryptor, RannohDecryptor, ScraperDecryptor и т.п. от лаборатории Касперского.
Как правило, такие утилиты позволяют расшифровать только те файлы, которые были обработаны устаревшим вирусом. Для ускорения процесса, можно отправить пример зашифрованного файла и требуемый код через специальные формы на сайтах антивирусных компаний. Если у вас есть копия этого же файла в незашифрованном виде, отправьте ее также. Теоретически, это может ускорить появление утилиты-дешифратора.

В качестве средства защиты от вирусов-шифровальщиков можно использовать специальные программы для создания резервных снимков файловой системы и восстановления на основе сделанного ранее снимка, как например, бесплатные Comodo Time Machine и Rollback Restore Rx Home и платная RollBack Restore Rx Pro. Эти программные продукты работают по принципу ”машины времени”, позволяя быстро вернуть состояние файловой системы на момент создания ее снимка (snapshot). В платных версиях подобных программ ( и в бесплатном Comodo Time Machine) существует возможность автоматического создания снимков по расписанию с помощью встроенного планировщика, например, при первой загрузке ежедневно или с заданной периодичностью. Особенностью перечисленных программ является собственная внутренняя система безопасности, отдельный загрузчик ОС и программный движок для создания, хранения и восстановления данных, что создает серьезные трудности для нанесения ущерба при вирусном заражении, в том числе и шифровальщиками.

Comodo Time Machine – описание, примеры использования и ссылки для скачивания.

RollBack Rx Home Edition – краткое описание, ограничения бесплатной версии программы, примеры использования.

Recuva от компании Piriform – краткое описание и инструкция по использованию Recuva для восстановления пользовательских данных.

Список команд командной строки Windows с примерами.

Команда VSSADMIN – администрирование службы теневого копирования томов в командной строке Windows.

Теневое копирование тома (Volume Shadow Copy) – технология, используемая в операционных
системах Windows и позволяющая копировать системные и заблокированные файлы, с которыми в данный момент времени ведется работа.
Теневое копирование реализовано с использованием специальной службы VSS (Теневое копирование ) и системных драйверов
для получения снимков томов (Volume Snapshot). Основным назначением теневого копирования является создание системных точек восстановления,
архивных образов системы, и архивирования пользовательских данных (История файлов в Windows 8 / Windows 10).
Технология теневого копирования применялась еще в ОС Windows XP/Server 2003 и, с некоторыми усовершенствованиями, продолжает
использоваться во всех современных ОС семейства Windows.

Формат командной строки:

Delete Shadows – Удаление теневых копий тома

List Providers – Отобразить список зарегистрированных поставщиков теневых копий
томов

List Shadows – Отобразить список существующих теневых копий тома

List ShadowStorage – Отобразить список соответствия для хранилищ теневых копий томов

List Volumes – Отобразить список томов, подходящих для создания теневых копий

List Writers – Отобразить – список устройств записи теневых копий томов с имеющейся подпиской

Resize ShadowStorage – Изменение размеров для соответствующих хранилищ теневых копий томов

Команда удаления теневых копий отсутствует в ОС Windows Vista. В последующих версиях Windows может использоваться в нескольких вариантах:

All – на всех томах удаляются все теневые копии,
которые можно удалить.

ForVolumeSpec. – Удаление всех соответствующих теневых копий для указанного тома

/Oldest – удаляется старейшая теневая копия на томе.

/Shadow=ShadowId – Если указан параметр, удаляется
теневая копия с заданным ID. Могут быть удалены только теневые копии,
имеющие тип ClientAccessible. ID теневой копии можно получить с помощью команды List Shadows. Вводить ID теневой копии необходимо в следующем формате:


При выполнении команд удаления теневых копий выполняется удаление соответствующих системных точек восстановления и моментальных снимков томов,
используемых для получения предыдущих версий файлов и каталогов.

Команда изменения размера хранилища теневых копий имеет формат:

Resize ShadowStorage /For=ForVolumeSpec /On=OnVolumeSpec /MaxSize=MaxSizeSpec

Команда выполняет изменение размеров сопоставления хранилища теневой копии тома между
ForVolumeSpec и OnVolumeSpec.

Изменение размеров хранилища может привести к исчезновению теневых копий. По мере удаления теневых копий размер хранилища будет уменьшаться.

Если для параметра MaxSizeSpec установлено значение UNBOUNDED, размер хранилища теневых копий не ограничивается.

Параметр MaxSizeSpec может задаваться в байтах или в процентном отношении
к размеру тома хранилища ForVolumeSpec. Если параметр MaxSizeSpec задан
в байтах, его значение должно быть не меньше 320MB; допускается
использование следующих суффиксов: KB, MB, GB, TB, PB и EB. Также
допускаются суффиксы B, K, M, G, T, P и E. Чтобы задать значение параметра
MaxSizeSpec в процентах, используйте знак % в качестве суффикса числового
значения. Если суффикс не задан, значение MaxSizeSpec задается в байтах.
Примеры использования:

Теневые копии физически располагаются с системном каталоге “C:\System Volume Information\” ( для диска C: )

Команда, позволяющая разместить хранилище теневых копий на других разделах ( /For=C: /On=D: – для диска C: на диске D:) доступна только для серверных ОС Windows.


Весь список команд CMD Windows

windows-server-shadow-copies-000.jpgНаиболее распространенная проблема с которой сталкиваются пользователи и администраторы файловых серверов – это случайное удаление или перезапись файлов. Бороться с этим явлением весьма сложно, технические средства здесь не помогут, а административные часто оказываются неэффективными. Очень часто сотрудники сами случайно перезаписывают нужные файлы. Что делать? Ответ прост – настраивать теневое копирование общих папок.

:/>  Изменить разрешение текстового файла

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Теневое копирование – специальный механизм, позволяющий делать копии файлов соответствующее определенному моменту времени, даже если они открыты или заблокированы системой. Теневые копии позволяют просматривать содержимое общих папок по состоянию на тот или иной момент времени в прошлом.

Теневые копии могут быть использованы для восстановления случайно удаленных и случайно перезаписанных файлов, а также позволяет сравнить несколько версий одного файла. Следует помнить, что теневые копии не могут служить заменой резервному копированию в силу ряда ограничений и особенностей о которых мы поговорим ниже.

Теневое копирование поддерживают серверные ОС начиная с Windows Server 2003, клиентское ПО для работы с теневыми копиями доступно начиная с Windows XP SP2.

При использовании теневых копий следует учитывать следующие ограничения:

  • При превышении лимита выделенного дискового пространства старые теневые копии будут удалены без возможности восстановления.
  • На одном томе может быть не более 64 теневых копий для каждого файла.
  • Теневое копирование включается на уровне тома, т.е. нельзя выбрать общие папки и файлы для которых будет или не будет выполнятся теневое копирование.
  • На компьютерах с двумя ОС при загрузке более старой системы или при подключении тома к другому ПК теневые копии могут быть повреждены.

Перед тем, как настраивать теневое копирование, следует продумать расписание. Для этого нужно проанализировать активность пользователей и критичность данных, найдя компромисс между частотой создания теневых копий и промежутком времени который должно охватывать теневое копирование. При этом следует отталкиваться от того, потерю какого промежутка рабочего времени можно считать допустимым, после чего рассчитать за какой промежуток времени будет достигнут предел, составляющий 64 копии. Не рекомендуется делать теневые копии чаще чем раз в час. Также продумайте расписание таким образом, чтобы копии делались только в рабочее время.

Для включения теневых копий перейдите в оснастку Управление компьютером в меню Администрирование.

windows-server-shadow-copies-001.jpg

В левой части окна найдите пункт Общие папки и, щелкнув правой кнопкой мыши, выберите Все задачи – Настроить теневые копии.

windows-server-shadow-copies-002.jpg

В открывшемся окне выберите том, на котором вы будете включать теневое копирование для общих папок и нажмите Включить, первая теневая копия будет создана немедленно.

windows-server-shadow-copies-003.jpg

Затем нажмите на кнопку Параметры и укажите размер дискового пространства, выделяемый для хранения теневых копий.

windows-server-shadow-copies-004.jpg

Следующим шагом задайте расписание.

windows-server-shadow-copies-005.jpg

Теперь самое время проверить работу теневых копий в действии. В обучающих целях мы установили небольшой промежуток между созданием теневых копий и провели несколько типовых действий с файлами в общей папке.

Самая распространенная и труднорешаемая проблема – файл перезаписали.

windows-server-shadow-copies-006.jpg

Открываем свойства файла, переходим на закладку Предыдущие версии и выбираем одну из доступных теневых копий (в нашем случае только одна).

windows-server-shadow-copies-007.jpg

Мы можем открыть, восстановить или скопировать файл. Для начала просто откроем.

windows-server-shadow-copies-008.jpg

Убедившись, что перед нами необходимая версия файла, мы можем ее восстановить или скопировать, если нам нужны оба варианта файлов.

windows-server-shadow-copies-009.jpg

Для восстановления удаленных файлов откройте свойства папки и выберите одну из ее теневых копий, затем вы можете просмотреть содержащиеся в ней файлы и восстановить нужные. Помните, что из теневой копии файлы можно открыть только на чтение.

windows-server-shadow-copies-010.jpg

Как видим, теневое копирование дает пользователям и администратору богатые возможности по работе предыдущими версиями файлов и папок. Данная технология, в сочетании с правильно настроенным резервным копированием, позволяет обеспечить высокую доступность данных и свести риск их потери к разумному минимуму.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Настройка теневого копирования тома на Windows 10, как включить и отключить

Снятие снапшота – именно с этого начинается любой бекап. До тех пор, пока мы не знаем, как сбросить все буфера на диск и привести файлы с данными в консистентное состояние, мы не бекапы делаем, а занимаемся копированием файлов с непредсказуемым содержимым внутри. Понимая важность снапшотов, все вендоры стараются дать нам если не полностью готовую функцию (типа Time Mashine в MacOS), то хотя бы набор ручек, за которые можно подёргать (вроде модуля dm-snap в ядре Linux). 

Но сегодня речь пойдёт про самую распространённую ОС – Microsoft Windows, где эта задача решается с помощью Volume Shadow Copy сервиса, известного в народе под аббревиатурой VSS (Volume Snapshot Service). А нашего внимания он удостоился из-за того, что, несмотря на всю популярность своего материнского корабля, сам он окутан вуалью из тайн и мистических слухов. Давайте уже как-то разберёмся с этой штукой.

Но проблема в том, что более лучшая документация, намного правильнее отражающая происходящие процессы, несколько сложна для понимания. Microsoft вообще написал по этой теме какое-то неслыханное количество документов. Но даже когда вам как-то удаётся выстроить в голове работу этого алгоритма, вы сразу сталкиваетесь с тем, что на практике многие вещи работают совершенно не так, как описаны. Или вообще не работают. А что-то не описано совсем, хотя этому мы уже давно не удивляемся. Но не хвататься же сразу за дебагер и дизассемблер, да?

Вот поэтому и захотелось немного поговорить о том, как же на самом деле работает VSS. И да, строго говоря, результатом работы VSS является созданная shadow copy. Но дабы не ломать язык и не мучить вас транслитом, давайте просто писать снапшот.

Какова роль VSS

Не сомневаюсь, что 90% читающих прекрасно понимают, зачем нужны снапшоты, но ради оставшихся 10% потерпите несколько предложений. Или сразу идите в следующий раздел.

Итак, все кто остался, давайте представим, что есть у нас некий диск, на котором находятся файлы, с которыми кто-то работает и как-то их изменяет. Изменения эти накапливаются, а иногда очень хочется иметь возможность взять и вернуться во времени назад. И желательно откатывать изменения не для всего диска, а только для выбранных папок и файлов. Для этого и был придуман механизм теневых копий.

Сами снапшоты ничего не знают про ваши файлы и папки. Они работают на уровень ниже файловой системы – с блочными устройствами и блоками данных. Если придерживаться терминологи Microsoft, то снапшот – это место, именуемое Shadow Storage, куда записываются изменённые блоки данных и откуда их можно извлекать с целью переписать данные на оригинальном диске. Тут можно запомнить для себя два нюанса. Первый – только что сделанный спапшот занимает ровно ноль байт. Это просто пре-алоцированное место, куда файловая система может копировать измененные блоки (или наоборот, новые блоки, но не суть).  И второй – теневая копия суть есть дифференциальный бекап. Все данные, которые вы изменили, не удаляются, а отправляются на хранение в этой зоне.

Где найти VSS

Обнаружить следы VSS можно двумя классическими способами: через GUI или в консоли. В зависимости от конкретной версии системы пути могут немного отличаться, но суть будет одинакова. Итак, есть у меня в лабе Windows Server 2019, и если сделать ПКМ на любом диске в проводнике, мы увидим два пункта: Configure Shadow Copies и Restore previous versions.

Настройка теневого копирования тома на Windows 10, как включить и отключить

Если зайти в мастер настроек, то можно включить создание теневых копий для любого диска, задать расписание, по которому они будут создаваться и, что самое интересное, указать место хранения этих копий. Строго говоря, даже не самих копий, а так называемой diff area – места, куда сбрасываются перезаписанные на оригинальном томе сектора. То есть мы запускаем создание снапшота одного диска, а его данные физически храним на другом. Функция архиполезная и позволяет не просто снижать нагрузку на конкретном диске, но и делать фокусы а-ля снимаем снапшот одной ноды в кластере и цепляем его к другой.

Настройка теневого копирования тома на Windows 10, как включить и отключить

После того, как вы всё настроите на свой вкус, появляется смысл в пункте Restore previous versions. Чисто технически туда и до этого можно было зайти, однако внутри, скорее всего, будет только гнетущая пустота. 

И запоминаем самое важное: это две разные утилиты, существующие в разных контекстах. Теневая копия, сделанная в одной утилите, будет видна другой, однако статус у неё будет неоперабельный.

Вот отличный пример: мы создали снимок в diskshadow и пытаемся удалить его с помощью vssadmin. Сам снимок мы видим, но он не в нашем контексте, поэтому сорян, у нас нет здесь власти.
Вот отличный пример: мы создали снимок в diskshadow и пытаемся удалить его с помощью vssadmin. Сам снимок мы видим, но он не в нашем контексте, поэтому сорян, у нас нет здесь власти.

Оставьте комментарий