Как удалить теневые копии windows 7: Vssadmin — удаление теневых копий

Vssadmin — удаление теневых копий

Несмотря на то, что Shadow копии удаляются системой, в соответствии с настройкой службы Volume Shadow Copy Service (VSS), иногда, возникает необходимость удалить их вручную.

Давайте посмотрим, как удалить Shadow копии для определенного диска.

Ниже покажу примеры использования и командную строку

 Синтакс

vssadmin delete shadows /for=<ForVolumeSpec> [/oldest | /all | /shadow=<ShadowID>] [/quiet]

Параметры

Замечание

• Вы можете удалить только те Shadow копии, которые вам доступны.

Примеры:

Чтобы удалить старые shadow копии с диска С, наберите:

vssadmin Delete Shadows /For=C: /Oldest [/Quiet]

Чтобы удалить shadow копию с конкретным ID, наберите:

vssadmin Delete Shadows /Shadow=ShadowId [/Quiet]

Обратите внимание:

• В этом случае диск не указывается
• ShadowID нужно вводить вместе с фигурными скобками

Например:

• Определяем ID shadow копии которую хотим удалитьvssadmin list shadows

  Contents of shadow copy set ID: {7205c3b3-81f9-4485-b594-7c4cb999fcb6}
  Contained 1 shadow copies at creation time: 28-Nov-16 23:00:19
  Shadow Copy ID: {442e95eb-b6c1-4ceb-a02b-425912cdfae3}
  Original Volume: (D:)\\?\Volume{969f87c8-f206-4f9d-ab16-1c702776abdf}\
  Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy104
  Originating Machine: fileserver.dom.local
  Service Machine: fileserver.dom.local
  Provider: ‘Microsoft Software Shadow Copy provider 1.0’
  Type: ClientAccessible
  Attributes: Persistent, Client-accessible, No auto release, No writers
  Differential

• Удаляем

  vssadmin Delete Shadows /Shadow={442e95eb-b6c1-4ceb-a02b-425912cdfae3}

Vssadmin позволяет управлять Shadow копиями из командной строки. Остальные команды можно посмотреть набрав:

C:\Windows\system32> vssadmin /?

vssadmin 1.1 — Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2013 Microsoft Corp.

—- Commands Supported —-

Add ShadowStorage     — Add a new volume shadow copy storage association

Create Shadow         — Create a new volume shadow copy

Delete Shadows        — Delete volume shadow copies

Delete ShadowStorage  — Delete volume shadow copy storage associations

List Providers        — List registered volume shadow copy providers

List Shadows          — List existing volume shadow copies

List ShadowStorage    — List volume shadow copy storage associations

List Volumes          — List volumes eligible for shadow copies

List Writers          — List subscribed volume shadow copy writers

Resize ShadowStorage  — Resize a volume shadow copy storage association

Revert Shadow         — Revert a volume to a shadow copy

Query Reverts         — Query the progress of in-progress revert operations.

Работает на: Windows Server 2003, Windows Server 2008, Windows Server 2003 R2, Windows Server 2008 R2, Windows Server 2012, Windows 8

VSSADMIN – команда для администрирования службы теневого копирования томов.

Теневое копирование тома (Volume Shadow Copy) – технология, используемая в операционных
системах Windows и позволяющая копировать системные и заблокированные файлы, с которыми в данный момент времени ведется работа.
Теневое копирование реализовано с использованием специальной службы VSS (Теневое копирование ) и системных драйверов
для получения снимков томов (Volume Snapshot). Основным назначением теневого копирования является создание системных точек восстановления,
архивных образов системы, и архивирования пользовательских данных (История файлов в Windows 8 / Windows 10).
Технология теневого копирования применялась еще в ОС Windows XP/Server 2003 и, с некоторыми усовершенствованиями, продолжает
использоваться во всех современных ОС семейства Windows.

Утилита VSSADMIN.EXE предназначена для администрирования в командной строке службы теневого копирования томов.

Формат командной строки:

vssadmin команда

Поддерживаемые команды:

Delete Shadows — Удаление теневых копий тома

List Providers — Отобразить список зарегистрированных поставщиков теневых копий
томов

List Shadows — Отобразить список существующих теневых копий тома

List ShadowStorage — Отобразить список соответствия для хранилищ теневых копий томов

List Volumes — Отобразить список томов, подходящих для создания теневых копий

List Writers — Отобразить — список устройств записи теневых копий томов с имеющейся подпиской

Resize ShadowStorage — Изменение размеров для соответствующих хранилищ теневых копий томов

Примеры использования VSSADMIN

vssadmin list providers — отобразить название, идентификатор и тип поставщика теневого копирования. Пример отображаемой информации:

Имя поставщика: «Microsoft Software Shadow Copy provider 1.0»

Тип поставщика: Системный

Id поставщика: {b5946137-7b9f-4925-af80-51abd60b20d5}

Версия: 1.0.0.7

vssadmin list shadows — отобразить список теневых копий. Пример отображаемой информации:

Содержимое для ID набора теневых копий: {11c73725-9bcb-450e-a832-e68bda1a5c03}

Содержит 1 теневых копий на время создания: 12.09.2015 21:22:44

ID теневой копии: {9c53af12-1e15-44f9-85b8-a2c86e92c213}

Исходный том: (C:)\\?\Volume{85006ce9-2b28-11e2-ab99-806e6f6e6963}\

Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

Размещающий компьютер: COMP0

Обслуживающий компьютер: COMP0

Поставщик: «Microsoft Software Shadow Copy provider 1.0»

Тип: ClientAccessibleWriters

Атрибуты: Сохранение, Доступно клиентам, Без автоматического освобождения, Разностная, Восстановлен автоматически

vssadmin List ShadowStorage — отобразить информацию о сопоставлении тома и теневой копии, а также использованного, выделенного и максимального объема дискового пространства для хранения копии тома. Пример отображаемой информации:

Сопоставление хранилища теневой копии

Для тома: (C:)\\?\Volume{85006ce9-2b28-11e2-ab99-806e6f6e6963}\

Том хранилища теневой копии: (C:)\\?\Volume{85006ce9-2b28-11e2-ab99-806e6f6e6963}\

Использованный объем хранилища теневой копии: 13.953 GB (5%)

Выделенный объем хранилища теневой копии: 14.393 GB (6%)

Максимальный объем хранилища теневой копии: 119.187 GB (50%)

vssadmin List Volumes — отобразить список существующих томов, для которых может быть включено теневое копирование, с указанием присвоенных букв и уникальными именами. Пример отображаемой информации:

Путь к тому: Z:\

Имя тома: \\?\Volume{85006ce8-2b28-11e2-ab99-806e6f6e6963}\

Путь к тому: E:\

Имя тома: \\?\Volume{ccb26148-40c3-11e4-b0fc-806e6f6e6963}\

vssadmin List Writers — отобразить список компонентов записи теневых копий. Служба теневого копирования отправляет таким компонентам специальное оповещение о выполнении теневого копирования для того, чтобы они выполнили дополнительные операции по обеспечению целостности баз данных в сохраняемой теневой копии. Пример отображаемой информации:

Имя компонента записи: «Task Scheduler Writer»

Id компонента записи: {d61d61c8-d73a-4eee-8cdd-f6f9786b7124}

Id экземпляра компонента записи: {1bddd48e-5052-49db-9b07-b96f96727e6b}

Состояние: [1] Стабильный

Последняя ошибка: Нет ошибок

Имя компонента записи: «VSS Metadata Store Writer»

Id компонента записи: {75dfb225-e2e4-4d39-9ac9-ffaff65ddf06}

Id экземпляра компонента записи: {088e7a7d-09a8-4cc6-a609-ad90e75ddc93}

Состояние: [1] Стабильный

Последняя ошибка: Нет ошибок

Команда удаления теневых копий отсутствует в ОС Windows Vista. В последующих версиях Windows может использоваться в нескольких вариантах:

vssadmin Delete Shadows /All

Delete Shadows /For=ForVolumeSpec [/Oldest] [/Quiet]

Delete Shadows /Shadow=ShadowId [/Quiet]

All — на всех томах удаляются все теневые копии,
которые можно удалить.

ForVolumeSpec. — Удаление всех соответствующих теневых копий для указанного тома

/Oldest — удаляется старейшая теневая копия на томе.

/Shadow=ShadowId — Если указан параметр, удаляется
теневая копия с заданным ID. Могут быть удалены только теневые копии,
имеющие тип ClientAccessible. ID теневой копии можно получить с помощью команды List Shadows. Вводить ID теневой копии необходимо в следующем формате:

{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}

Пример использования:

vssadmin Delete Shadows /For=C: /Oldest — удалить самую старую теневую копию диска C: При выполнении команды будет запрошено подтверждение на выполнение
операции удаления.

vssadmin Delete Shadows /For=C: /Oldest /Quiet — удалить самую старую теневую копию диска C: При наличии параметра Quiet запрос подтверждения
операции удаления не выдается.

vssadmin Delete Shadows /Shadow={9c53af12-1e15-44f9-85b8-a2c86e92c213} — удалить теневую копию с указанным идентификатором.

При выполнении команд удаления теневых копий выполняется удаление соответствующих системных точек восстановления и моментальных снимков томов,
используемых для получения предыдущих версий файлов и каталогов.

Команда изменения размера хранилища теневых копий имеет формат:

Resize ShadowStorage /For=ForVolumeSpec /On=OnVolumeSpec /MaxSize=MaxSizeSpec

Команда выполняет изменение размеров сопоставления хранилища теневой копии тома между
ForVolumeSpec и OnVolumeSpec.

Изменение размеров хранилища может привести к исчезновению теневых копий. По мере удаления теневых копий размер хранилища будет уменьшаться.

Если для параметра MaxSizeSpec установлено значение UNBOUNDED, размер хранилища теневых копий не ограничивается.

Параметр MaxSizeSpec может задаваться в байтах или в процентном отношении
к размеру тома хранилища ForVolumeSpec. Если параметр MaxSizeSpec задан
в байтах, его значение должно быть не меньше 320MB; допускается
использование следующих суффиксов: KB, MB, GB, TB, PB и EB. Также
допускаются суффиксы B, K, M, G, T, P и E. Чтобы задать значение параметра
MaxSizeSpec в процентах, используйте знак % в качестве суффикса числового
значения. Если суффикс не задан, значение MaxSizeSpec задается в байтах.
Примеры использования:

vssadmin Resize ShadowStorage /For=C: /On=D: /MaxSize=900MB

vssadmin Resize ShadowStorage /For=C: /On=D: /MaxSize=UNBOUNDED

vssadmin Resize ShadowStorage /For=C: /On=C: /MaxSize=20%

Теневые копии физически располагаются с системном каталоге «C:\System Volume Information\» ( для диска C: )

Команда, позволяющая разместить хранилище теневых копий на других разделах ( /For=C: /On=D: — для диска C: на диске D:) доступна только для серверных ОС Windows.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Весь список команд CMD Windows

Как восстановить удаленные файлы и папки из теневых копий в Windows – Вадим Стеркин

Если вы случайно удалили файл или папку мимо корзины, не впадайте в панику. Программы для восстановления данных от вас никуда не денутся, поэтому попробуйте сначала средства системы. В Windows можно восстановить предыдущие версии файлов и папок, даже если в графическом интерфейсе этой возможности нет.

В Windows 8 в свойствах дисков, папок и файлов стало на одну вкладку меньше. Обратите внимание, что пропали предыдущие версии.

Это наблюдается только в клиентской операционной системе, т.е. в Windows Server 2012 вкладка осталась. В Windows 10 вкладка вернулась, но… вам надо прочесть статью 🙂

Статья обновлена в контексте Windows 10.

Сегодня в программе

Предыдущие версии в Windows 10

Статья была написана во времена Windows 8, а в Windows 10 вкладка «Предыдущие версии» вернулась в свойства папки. Тем не менее материал актуален для Windows 10, потому что в нем демонстрируются способы восстановления файлов напрямую из теневых копий.

В Windows 10 на вкладке написано, что предыдущие версии образуются из истории файлов и теневых копий. Для начала нужно учитывать, что в Windows 10 защита системы по умолчанию отключена, поэтому при стандартных настройках предыдущие версии доступны только из истории файлов, если она включена, конечно.

Более того, мой эксперимент в Windows 10 версии 1511 (и позже в 1709) показал, что на вкладке отображаются только версии из истории файлов, даже если защита системы включена!

На этой картинке:

1. Свойства папки скриншотов в ОС. Последняя версия от 27 февраля. Вероятно, это дата последнего копирования в историю файлов, которая у меня сейчас не работает (диск отключен физически)
2. Последняя теневая копия от 11 мая (появилась при создании точки восстановления перед установкой обновлений WU), создаю символическую ссылку на п.3
3. Содержимое теневой копии. Видно, что в ней есть файлы, созданные незадолго до появления теневой копии от 11 мая. Однако они отсутствуют в п.1

Таким образом, лучший шанс восстановить предыдущие версии у вас есть в том случае, если включена история файлов. Тогда версии доступны на вкладке в свойствах папки или в интерфейсе истории файлов. В противном случае должна быть включена защита системы, и при необходимости вам придется добираться до теневых копий способами, описанными ниже в статье.

Как работают предыдущие версии, и почему убрали вкладку в Windows 8

Такая картина в свойствах файлов и папок является лишь следствием того, что в параметрах защиты системы Windows 8 теперь нет опции восстановления файлов.

Сразу скажу, что отсутствие точки входа в графическом интерфейсе не означает отсутствия технологии в системе. Предыдущие версии файлов все равно доступны! Поэтому все сказанное ниже полностью применимо к Windows 8, а описание технологии относится и к Windows 7.

Почему же убрали опцию защиты файлов и вкладку предыдущих версий? У меня нет точного ответа, но есть обоснованные предположения, которыми я поделюсь с вами, заодно объяснив принцип работы предыдущих версий.

Во многих системах на этой вкладке всегда было пусто

Это заставляло тысячи людей озадачивать форумы сообщества и поддержку Microsoft наболевшим вопросом. Но вы-то уже догадались, в чем была их проблема, не так ли? У этих людей была полностью отключена защита системы!

Людям был непонятен принцип хранения и отображения предыдущих версий

Действительно, почему для одних папок есть несколько версий, а для других – ни одной? Дело в том, что разные редакции файлов в этих папках могли быть созданы только не раньше самой старой точки восстановления.

Согласитесь, при взгляде на вкладку не совсем очевидно, что сохранение версий личных документов и медиа-файлов привязано к созданию точек восстановления (хотя это описано в справке Windows, пусть и не без огрехов).

Увеличить рисунок

О точках принято думать как о средстве отката системных параметров, тем более что личные файлы при этом не восстанавливаются (за исключением этих типов файлов).

Между тем, точки восстановления и предыдущие версии файлов (не относящиеся к истории файлов) хранятся в одном месте – теневых копиях тома.

Механизм восстановления системы попросту делает снимок тома в нужное время и сохраняет его в теневой копии. Именно пространство, выделенное для теневых копий, вы контролируете в параметрах защиты системы.

Теперь становится понятно, почему количество версий у файлов и папок может варьироваться. Состояние файла записывается на момент создания точки восстановления. Если между точками он изменялся, в теневой копии сохраняется его версия. Если же файл оставался неизменным в период, охваченный точками восстановления, у него вообще не будет предыдущих версий.

В Windows 8 появилась история файлов

Когда понятен принцип применения технологии, из нее можно извлечь пользу. В Windows 7 это было непонятно большинству людей, поэтому в Windows 8 внедрили более наглядную систему резервного копирования данных – историю файлов.

Увеличить рисунок

Она не опирается на теневые копии, а количество версий файлов вы можете контролировать, указав частоту резервного копирования. Все зависит от ваших нужд и места на целевом диске.

Вкладку же доступа к «непонятным» предыдущим версиям в Windows 8 просто убрали, вместе с сопутствующей опцией в параметрах защиты системы. Что же касается ИТ-специалистов, то они должны быть хорошо знакомы с понятием теневых копий –  ведь в серверных ОС для управления ими есть одноименная вкладка в свойствах тома. Потому в Windows Server 2012 вкладка «Предыдущие версии» находится на своем привычном месте.

В Windows 8+ точки восстановления создаются по особому алгоритму, а вместе с ними сохраняются предыдущие версии ваших файлов и папок. Дальше я расскажу, как их открыть.

Как открыть предыдущие версии файлов и папок из теневых копий

Ниже два способа, которые сработают в случае, если у вас включена защита системы. Первый подходит для всех поддерживаемых Windows и будет полезен, если у вас не включена история файлов. Второй способ имеет смысл лишь в Windows 8/8.1 с учетом замечания о Windows 10 в начале статьи.

Способ 1 — символическая ссылка в теневые копии (Windows 7 и новее)

Постоянные читатели блога уже видели этот трюк в статье про функцию обновления ПК без удаления файлов (Refresh Your PC). Она тоже использует теневые копии для промежуточного сохранения диска, когда вы создаете свой образ для отката.

Тогда мне этот фокус был нужен для понимания технологии, зато теперь он вам может понадобиться для решения вполне конкретной задачи. В командной строке, запущенной от имени администратора, выполните:

vssadmin list shadows

Вы увидите список теневых копий на всех томах. Для каждой из них указана буква диска, поэтому вам будет легко сориентироваться. Кроме того, каждая теневая копия соответствует по дате одной из точек восстановления (чтобы вывести их список, выполните в консоли rstrui).

Увеличить рисунок

Выберите нужную дату и скопируйте идентификатор тома теневой копии. Теперь используйте его во второй команде (не забудьте добавить обратный слэш в конце):

mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\

В корне системного диска у вас уже появилась символическая ссылка shadow, ведущая в теневую копию! Перейдя по ссылке, вы увидите знакомую структуру файлов и папок – это и есть их предыдущие версии.

Способ 2 — вход в общий диск по сети (Windows 8 и 8.1)

Добавлено 15.01.2013. В комментариях читатель Алексей поделился более простым способом доступа к теневым копиям по сравнению с описанным в статье изначально. Сначала способ работал, но позже Microsoft закрыла лазейку каким-то из обновлений. Однако читатель Ника в итоге подсказал обходной путь.

Сначала нужно сделать диск общим, а потом зайти в него «по сети». В окне «Этот компьютер» откройте «Сеть» и зайдите на свой ПК, либо под учетной записью администратора вставьте сетевой путь в адресную строку проводника или в окно «Выполнить»:

\\%computername%\C$

где C — буква желаемого диска. В сетевых папках вкладка «Предыдущие версии» присутствует:

Поскольку я несколько раз прибегал к извлечению данных из теневых копий, мне немного жаль потери в графическом интерфейсе. Ведь вкладка «Предыдущие версии» была удобна тем, что сразу позволяла добраться до нужных файлов.

Впрочем, я уж не настолько часто пользовался этой возможностью, чтобы ввод двух команд в консоль доставлял мне жуткие неудобства. Ведь главное – это наличие предыдущих версий файлов, а добраться до них я смогу! Теперь сможете и вы 😉

А вам хоть раз доводилось восстанавливать предыдущие версии файлов из теневых копий? Расскажите в комментариях, почему возникла необходимость и удалось ли все восстановить.

Я все-таки думаю, что большинство читателей ни разу не прибегали к этой возможности на домашних системах, а посему ее исчезновение из графического интерфейса их не слишком расстроит. В следующей записи мы поговорим о том, почему различные функции Windows исчезают или подвергаются изменениями, и как вы можете повлиять на ситуацию.

Обсуждение завершено.

ShadowExplorer — утилита для работы с теневыми копиями

Хочется рассказать об одной интересной программке, появившейся на “просторах Интернет”. Это программа ShadowExplorer. http://www.shadowexplorer.com. Думаю, что данная информация будет полезна как админам, так и простым пользователям и всем, кто использует компьютер для работы. Речь идет о хорошо известной и удобной функции, появившейся еще в Windows Vista — Shadow Copy (создание «теневых копий»). Данная функция позволяет иметь «теневые копии» измененных файлов и помогает не только восстановить, например, случайно, удаленные файлы, но и использовать этот функционал как некое подобие VCS (Version Control System).

Ну а теперь конкретно в чем же удобство использования именно ShadowExplorer. Покажу на примере и расскажу подробнее.

Итак, вы включили Shadow Copy на одном из ваших жестких дисков. Выделили дисковую квоту и настроили расписание создания «теневых копий». Все работает. И вот вам понадобилось найти и восстановить некий файл (папку). Что вы делаете в стандартной ситуации?

Идете в свойства диск, и открываете вкладку Previous Versions. И что мы видим? Список “теневых копий” созданным по дням, для данного диска. Можно сделать двойной щелчок на любой из копий и увидеть, что именно было сохранено в этот день.

Это срабатывает как на всем диске, так и на любой папке вложенной папке на этом диске

Посмотрим, например, на мой файл-сервер и на папку IT 😉

Откроем одну из дат (двойной щелчок мыши) на 17-Dec-2015

Откроется окно Windows Explorer с содержимым «тени» на эту дату.

Здесь можно «погулять по папкам» и поискать нужный файл. Удобно? Да, наверное, если нет альтернативы. А вот альтернативой ShadowExplorer, как раз и может стать.

Поехали.

1. После успешной установки ShadowExplorer, вы получите ярлык на рабочем столе и/или в меню Пуск. Начиная с версии 0.5, ShadowExplorer больше не требует административных привилегий для запуска. Тем не менее, в определенных обстоятельствах, это может быть полезно для запуска ShadoweExplorer с повышенными привилегиями (щелкните правой кнопкой мыши, используя, «запустить от имени администратора»).

   Необязательно: Вы также можете увидеть после запуска ShadowExplorer как администратор, экран User Account Control, запрашивающего административные привилегии.

2. Так ShadowExplorer выглядит если все работает корректно.
3. С помощью выпадающего меню вы можете выбрать конкретную дату созданной «теневой копии».
4. Для экспорта определенной папки/файла, просто щелкните на ней правой кнопкой мыши и выберите Export.
5. Затем укажите папку куда сохранить файл/папку восстанавливаемой “теневой копии».
6. Прогресс бар покажет вам, что процесс восстановления начался.
7. Если файл/папка уже есть внутри папки, куда вы указали восстановить ваши данные, ShadowExplorer спросит надо ли перезаписать уже имеющиеся данные. Если вы отметите чек-бокс «больше не показывать», то ShadowExplorer запомнит последний, сделанный вами, выбор и продолжит восстановление уже без показа предупреждения!
8. Чтобы отменить подобное поведение, его можно сбросить через настройки программы (File, Settings) кнопка Reset.

Удобнее ли пользоваться этой программой или лучше идти стандартным путем? Каждый решает сам для себя. Мне, например, быстро надоело «кликать по датам» 😉 , используя стандартный интерфейс. ShadowExplorer позволяет это делать более комфортно.

Небольшой FAQ

Q: Когда я запускаю ShadowExplorer показывает пустое окно, что я делаю не так?

A: Это похоже на то, что используется, например, TrueCrypt. Проблема наблюдается пока том смонтирован. Попробуйте размонтировать том и перезапустить ShadowExplorer. Второе решение -это перемонтировать том как «съемный» (в TrueCrypt: Settings -> Preferences… -> Mount volumes as removable media (check) -> OK).

Q: Я не использую TrueCrypt или я сделал все о чем написано выше и все равно не работает (ShadowExplorer показывает пустое окно), что мне делать?

A: Убедиться, что System Restore в Windows работает полностью. Если вы думаете, что да, это так и ShadowExplorer должен правильно работать, обратитесь к разработчику, используя контактную информацию с сайта. Пожалуйста, включите в ваше сообщение как можно больше деталей (Версия Windows, Service Pack, версия ShadowExplorer).

Q: Почему Shadow Copies есть только для диска С, а для других дисков нет?

A: ShadowExplorer полагает, что System Protection включена для каждого диска, для которого вы хотите, чтобы работало восстановление данных. И эта возможность должна быть включена ДО того момента, когда вам захотелось что-то восстановить. Windows включаетs System Protection по умолчанию только для системного раздела (C:). И … может быть «уже поздно». Если вы хотите иметь возможность восстанавливать данные с любого другого раздела, вам необходимо включить System Protection на нужных разделах!

Q: Будет ли ShadowExplorer работать на Windows 9x/ME/2000/XP?

A: Насколько нам известно — нет. Он разработан для работы в ОС Windows Vista/7 и старше.

P.S. От автора статьи: Проверено на Windows Server 2003/7/8/8.1/10/2008/2008R2/2012/2012R2. Работает корректно.

Q: Что означает ошибка „Create process failed: code 740. The requested operation requires elevation.”?

A: Это ошибка инсталлятора версии 0.1 когда вы пытаетесь запустить ShadowExplorer по окончании процесса установки. Обновите вашу версию ShadowExplorer.

Восстановление файлов после заражения шифровальщиком из снимков VSS

Продолжаем серию статей о методах противодействия вирусам-шифровальщикам. В прошлый раз мы рассмотрели простую методику превентивной защиты от шифровальщиков на файловых серверах с помощью FSRM. Сегодня речь пойдет о методе восстановления данных, позволяющем безболезненно восстановить файлы, в случаях, если вирус уже прорвался и зашифровал документы на компьютере пользователя.

Самый простой способ вернуть оригинальные данные после шифрования документов трояном-шифровальщиком – восстановить данные из резервной копии. И если централизованное резервное копирование  данных на серверах еще можно организовать, то бэкап данных с компьютеров пользователей обеспечить гораздо сложнее. К счастью, в Windows уже есть встроенный механизм ведения резервных копий — теневые копии, создаваемые службой  Volume Shadow Copy Service (VSS).

Для обеспечения возможности восстановления старых версий файлов из VSS снапшотов, должны выполняться следующие условия:

• служба VSS должна быть включена для защищаемых томов
• на диске должно быть достаточно свободного места для хранения снимков (не менее 10-20%)
• у пользователя не должно быть прав локального администратора на своем компьютере (большинство современных шифровальщиков, запущенных с правами администратора удаляют все доступные VSS снимки), а защита User Account Control (UAC) включена

Рассмотрим механизм централизованного управления политикой создания снимков в доменной среде Active Directory для обеспечения возможности восстановления данных после атаки вируса-шифровальщика.

Включение службы VSS на компьютерах с помощью GPO

В первую очередь создадим групповую политику, которая бы включала службу Volume Shadow Copy Service (VSS) на компьютерах пользователей. Для этого в консоли GPMC.msc создадим новый объект GPO с именем VSSPolicy и назначим его на OU с компьютерами пользователей.

Перейдем в режим редактирования GPO. Затем в разделе Computer Configuration->Windows Settings->Security Settings->System Service в списке служб нужно найти службу Volume Shadow Copy и задать для нее тип запуска Automatic.

Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO

Для создания и управления теневыми копиями на ПК пользователей нам понадобится утилита vshadow.exe из комплекта Windows SDK.  В данном примере мы будем использовать vshadow из SDK для Windows 7 x64 (в моем случае она корректно отработала как на Windows 7 так и на Windows 10 x64). С помощью GPP скопируем файл vshadow.exe в каталог %windir%\system32 на все компьютеры.

Совет. Файл vshadow.exe можно скачать по этой ссылке: vshadow-7×64.zip

Для этого в разделе политики Computer Configuration –> Preferences –> Windows Settings -> Files создадим новую политику, копирующую файл vshadow.exe из каталога \\domain.loc\SYSVOL\domain.loc\scripts\ (файл должен быть скопирован сюда предварительно) в каталог %windir%\system32\vshadow.exe (нужно указывать имя файла в destination) . Эту политику можно настроить, чтобы она отработала только один раз (Apply once and do not reapply).

PowerShell скрипт для создания теневых снимков всех томов

Далее нам понадобится скрипт, который бы определял список дисков в системе, включал бы для всех ведение теневых снимков и создавал бы новый VSS-снапшот. У меня получился такой скрипт:

$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
foreach ($HDD in $HDDs) {
$Drive = $HDD.DeviceID
$vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
$vsscreatess = "vshadow.exe -p $Drive"
cmd /c  $vssadminEnable
cmd /c  $vsscreatess
}

Первая срока позволяет найти все диски в системе, а затем для каждого диска утилита vshadow активирует ведение теневых копий, которые должны занимать не более 10% места и создает новую копию.

Этот скрипт сохраним в файл vss-script.ps1 и также скопируем на компьютеры пользователей через GPO.

Задание планировщика по созданию VSS-снимков

Последнее, что осталось сделать – создать на всех ПК задание планировщика, которое регулярно бы запускало скрипт PowerShell vss-script.ps1 и создавало бы новый vss снимок дисков. Проще всего создать такое задание через GPP. Для этого в разделе Computer Configuration -> Preferences -> Scheduled Tasks создадим новое задание планировщика (New-> Scheduled Task (at least Windows 7) с именем: create vssnapshot, которое запускается от имени NT AUTHORITY\System с повышенными правами.

Допустим, задание должно запускаться каждый день в обед в 13:20 (здесь нужно самостоятельно продумать необходимую частоту создания снимков).

Запускаемый скрипт: %windir%\System32\WindowsPowerShell\v1.0\powershell.exe

с аргументом %windir%\system32\vss-script.ps1

Совет. Нужно предусмотреть также создание еженедельного задания планировщика, удаляющего старые VSS снимки. Для этого нужно создать новое задание планировщика, запускающего скрипт аналогичный первому, но со строками:

$vssadminDeleteOld = “vshadow.exe -do=%$Drive”
cmd /c  $vssadminDeleteOld

Восстановление исходных данных из теневой копии тома

В том случае, если шифровальщик все-таки попал на ПК пользователя и сделал свое черное дело, после искоренения его из системы, администратор может восстановить документы пользователя из последнего снимка.

Список всех доступных снимком можно вывести командой:

vssadmin.exe list shadows

В нашем примере последний снимок сделан 10/6/2016 1:33:35 AM и имеет Shadow Copy ID = {6bd666ac-4b42-4734-8fdd-fab64925c66c}.

Смонтируем  снапшот на чтение в виде отдельного драйва системы по его ID:

vshadow -el={6bd666ac-4b42-4734-8fdd-fab64925c66c},Z:

Теперь с помощью File Explorer или любого файлового менеджера скопируйте оригинальные файлы с диска Z:, представляющего собой содержимое подключенного снимка диска.

Чтобы отмонтировать диск со снимком:

mountvol Z:\ /D

Совет. Есть и более удобный графический инструмент для просмотра и извлечения данных из снимков VSS – ShadowExplorer.

Заключение

Конечно, теневые копии VSS не являются методом борьбы с вирусами-шифровальщиками и не отменяют комплексного подхода в организации безопасности сети от вирусов (антивирусы, блокировка запуска исполняемых файлов с помощью SRP или  AppLocker политик, репутационные фильтры SmartScreen и т.д.).  Однако, простота и доступность механизма теневых копий томов является, на мой взгляд, большим преимуществом этого простого способа восстановления зашифрованных данных, который очень вероятно пригодится в случае проникновения заразы на компьютер пользователя.

Windows Server 2008. Теневое копирование

Исходные данные: Windows Server 2008 R2 Standart Rus OLP
Роль: файловые службы сервера.
Пользователи имеют полные права в каталогах и могут непреднамеренно удалить любой важный файл.

Открываем оснастку Диспетчер сервера. Выбираем роль Файловые службы -> Управление общими ресурсами и хранилищами. Переходим на вкладку Тома:

Выбираем тот ресурс, на котором хотим включить Теневое копирование, щелкаем правой кнопкой мыши и выбираем Свойства. В открывшемся окне Свойства: имя тома на вкладке Теневые копии выбираем нужный том и нажимаем кнопку Включить:

Дополнительно можно щелкнуть кнопку Параметры и выставить Максимальный размер ограничение в МБ:

Кроме этого в этом же окне можно настроить Расписание:

Нажимаем Ok. На вкладке Теневые копии окна Свойства: имя тома — тоже Ok:

И наблюдаем, что в столбце Теневое копирование напротив выбранного тома появился значок «зеленой галочки»:

Как теперь использовать преимущества включенного теневого копирования?
В Проводнике сервера открываем том, на котором пользователь удалил файл.
Правой кнопкой мыши щелкаем папку, внутри которой удален файл, и выбираем Свойства: имя папки:

В окне Свойства: имя папки выбираем вкладку Предыдущие версии, выбираем нужную Версию папки и нажимаем Копировать…. Копируем удаленные файлы в любую папку на диске (либо создаем новую):

Рекомендуется все-таки скопировать файлы, а не восстановить, т.к. если пользователь уже успел создать заново файл с таким же именем… его можно затереть при восстановлении 🙂

Перейти к Оглавлению

Как отключить теневое копирование тома

Последнее обновление , 23 июня 2020 г., 8:45 , автор: David Webb
.

Теневая копия тома — это функция во всех версиях операционных систем Microsoft Windows , которая позволяет создавать резервные копии файлов или папок на указанном томе автоматически или вручную. Чтобы отключить теневую копию тома , необходимо остановить службу. Службу можно остановить из окна свойств теневой копии тома и инструментов администрирования Windows.

Что такое теневое копирование тома?

Volume Shadow Copy , также известная как Snapshot Service или VSS , — это функция, встроенная в Windows 2003 и более поздние версии всех выпусков Microsoft Windows . Эта технология позволяет вручную или автоматически создавать резервные копии или снимки файлов или папок на определенном томе. Технология теневого копирования требует, чтобы файловая система была NTFS .

Обратите внимание, что после отключения теневого копирования тома предыдущие версии элемента файла или папки больше не используются.Чтобы облегчить свойства файла или папки, необходимо удалить предыдущие версии вкладки путем внесения изменений в реестр. Если дисковое пространство представляет собой проблему, вы можете отредактировать дисковое пространство, выделенное для теневых копий , чтобы вам не приходилось отключать теневую копию тома .

Отключение теневого копирования тома

Щелкните Start и введите

 services.mc 

в строку поиска . Нажмите Введите .

Появится опция Volume Shadow Copy .Дважды щелкните значок.

Измените тип запуска на Ручной , а затем щелкните Остановить :

Перейти на вкладку Recovery :

Установите Первый отказ , Второй отказ и Последующие отказы опции Не предпринимать действий .

Нажмите OK для подтверждения.

Как редактировать дисковое пространство, выделенное для теневой копии

Если вы не хотите отключать теневые копии и предпочитаете настраивать максимального дискового пространства , выделенного для этой службы, вот краткое руководство.

Перейдите в меню Start и перейдите в All Programs > Accessories .

Щелкните правой кнопкой мыши командную строку > Запуск от имени администратора .

Затем введите следующую команду:

 vssadmin resize shadowstorage / On = C: / For = C: / maxsize = 3GB 

.

Примечание:

/ On = C: указывает, что фотографии будут сохранены на диске C.

/ For = C: указывает, что это фотографии диска C.

/ maxsize = 3 ГБ указывает размер, выделенный для мгновенных снимков. В данном случае это 3 ГБ.

Подтвердите, нажав OK .

Отключить предыдущие версии теневого копирования

Теперь, когда служба отключена, все предыдущих версий бесполезны. Чтобы облегчить меню и свойства элементов, лучше всего удалить его.Однако, прежде чем продолжить, настоятельно рекомендуется создать резервную копию реестра :

Откройте редактор реестра и найдите следующий ключ:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ 

.

Создайте новый ключ с именем PreviousVersions , перейдя в меню Edit > New > Key .

Затем создайте новый DWORD (32-разрядный) под последним ключом, используя имя DisableLocalPage .Вы можете сделать это, перейдя в меню «Правка» > Новый > DWORD (32-битный).

Дважды щелкните это значение и введите 1 в поля данных.

Фото: 123rf.com

.

Как легко восстановить удаленные или измененные файлы с помощью теневых копий — wintips.org

Последнее обновление: 12 ноября 2014 г.

Функция теневого копирования (также известная как « Volume Snapshot Service » или « Volume Shadow Copy Service » или « VSS ») — это технология, включенная в новейшие операционные системы Windows, которая выполняет фоновое резервное копирование состояния операционной системы и ваших файлов в режиме реального времени.

Shadow Copy Технология впервые появилась в ОС Windows Server 2003. В ОС Windows 8, 7 и Vista усовершенствована технология « Shadow Copy », которая упрощает восстановление. По этой причине теневое копирование является полезной функцией, когда мы сталкиваемся с проблемами операционной системы или когда мы случайно удаляем или изменяем важные файлы.

Чтобы использовать функцию теневого копирования, вы должны предварительно активировать ее на своем компьютере.

Как включить функцию теневого копирования.

Чтобы включить функцию теневого копирования, вы должны включить на вашем компьютере «защиту восстановления системы». Для этого перейдите по номеру:

1 . «Пуск »> « Control Panel » и дважды щелкните , чтобы открыть « System ».

Примечание. , чтобы иметь возможность просматривать все элементы панели управления, установите для параметра «Просмотр по » значение: « Маленькие значки ».

2. Выберите « Защита системы » слева.

3. На вкладке « System Protection » выберите жесткий диск, на котором вы хотите включить теневое копирование (например, «Локальный диск C»), и нажмите « Configure ».

4. Наконец, отметьте опцию « Восстановить системные настройки и предыдущие версии файлов » и нажмите « OK ».

Как восстановить удаленные или измененные папки или файлы из теневых копий.

Метод 1 : Восстановите файлы / папки с помощью функции Windows «Восстановить предыдущие версии».

Метод 2 : Восстановите файлы / папки с помощью утилиты «Shadow Explorer».

Способ 1. Восстановите удаленные папки и файлы с помощью функции Windows « Восстановить предыдущие версии ».

Как восстановить пропущенные файлы с помощью функции Windows «Восстановить предыдущие версии»:

1. Перейдите к папке или файлу, который вы хотите восстановить в предыдущем состоянии, и щелкните правой кнопкой мыши на нем.

2. В раскрывающемся меню выберите « Восстановить предыдущие версии ». *

Уведомление * для пользователей Windows XP : выберите « Properties », а затем вкладку « Previous Versions ».

3. Затем выберите конкретную версию папки или файла и нажмите:

• Кнопка « Открыть » для просмотра содержимого этой папки / файла.
• « Copy », чтобы скопировать эту папку / файл в другое место на вашем компьютере (например,г. ваш внешний жесткий диск).
• « Восстановить », чтобы восстановить файл папки в то же место и заменить существующий.

Метод 2: Восстановите удаленные файлы с помощью утилиты « Shadow Explorer».

Как восстановить удаленные файлы и папки с помощью утилиты «Shadow Explorer».

« ShadowExplorer » — это бесплатная замена « Предыдущие версии функции» Microsoft Windows Vista / 7/8, и вы можете восстановить потерянные или поврежденные файлы из Shadow Copies .

1. Загрузите утилиту ShadowExplorer отсюда. (Вы можете загрузить « ShadowExplorer installer » или « Portable version » программы).

2. Запустите утилиту ShadowExplorer и затем выберите дату, когда вы хотите восстановить теневую копию вашей папки / файлов.

3. Теперь перейдите к папке / файлу, который вы хотите восстановить до предыдущей версии, щелкните правой кнопкой мыши и выберите « Export ».

4. Наконец, укажите, куда будет экспортирована / сохранена теневая копия вашей папки / файла (например, ваш Рабочий стол), и нажмите « OK ».

Вот и все.

Если эта статья была для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар может иметь огромное значение для нас в наших усилиях продолжать помогать другим, сохраняя при этом этот сайт бесплатным:

Смотрите лучшие предложения на Woot! Компания-амазонка доступна только сегодня.Бесплатная доставка для членов Prime!

Если вы хотите, чтобы постоянно защищал от вредоносных программ, существующих и будущих , мы рекомендуем вам установить Malwarebytes Anti-Malware PRO , нажав ниже (мы
действительно зарабатываете комиссию от продаж, произведенных по этой ссылке, но без дополнительных затрат для вас. У нас есть опыт работы с этим программным обеспечением, и мы рекомендуем его, потому что оно полезно и полезно):

Полная защита домашнего ПК — Защитите до 3 ПК с помощью НОВОГО ПО Malwarebytes Anti-Malware Premium!

.