Windows VSS та утиліта vshadow - Підвищуємо шанси відновлення файлів після роботишифрувальників -

Зібрання нотаток про інформаційні технології

Відразу слід зробити важливе застереження про те, що цей метод допоможе тільки у разі відсутності у користувачів повних адміністративних прав на комп'ютерах. Тому що користувач з адміністративними правами здатний, часто сам не розуміючи того, запустити шкідливе ПЗ, здатне на сьогоднішній день оперувати даними VSS-знімків, просто видаляючи їх.

Отже, нам знадобиться утилітаvshadow.exe, яку можна дістати з пакетаWindows SDK. Характерно для цієї утиліти те, що, хоч версії vshadow.exe в різних версіях ADK і не відрізняються, але розмір файлу, що виконується в різних версіях ADK різний. Тому, щоб звести можливі колізії у роботі утиліти на різних версіях ОС Windows до мінімуму, ми будемо використовувати «рідний» vshadow для кожної версії ОС.

Розкладемо відповідні копії файлів vshadow.exe за підпапками залежно від версії та розрядності Windows. Потім створимо PowerShell-скрипт, який відповідатиме за розповсюдження потрібної копії vshadow на клієнтські комп'ютери корпоративної мережі з паралельним включенням механізму "Точок відновлення".

Приклад такого PS-скрипту:

Скрипт потрібно поширити на клієнтські комп'ютери для подальшого виконання будь-яким зручним способом. Ми зазвичай використовуємо можливостіSystem Center 2012 R2 Configuration Manager (SCCM). У SCCM створюється пакет, у якому налаштовується програма для запуску скрипта так:

Зверніть увагу на те, що в скрипті використовується віртуальний каталог $env:SystemRoot\Sysnative, який доступний тільки в 64-бітних ОС. Довелося використовувати його з-через те, що Powershell скрипти в SCCM можуть виконуватися лише у 32-бітному контексті.

Після поширення vshadow необхідно налаштувати розклад запуску цієї утиліти для періодичного створення VSS-знімків системи. Скористайтеся механізмомGPP у конфігурації комп'ютера та створимо завдання для планувальника Windows.

Завдання необхідно запускати від іменіNT AUTHORITY\СИСТЕМА.

підвищуємо

Налаштовуємо створення знімка кожен день у потрібний час, команда для створення знімка:

підвищуємо

утиліта

При цьому включимо та налаштуємо націлюванняItem-Level Targeting таким чином, щоб завдання планувальника створювалося на клієнтському комп'ютері тільки в тому випадку, якщо в системі є утилітаvshadow.exe.

утиліта

За аналогією зробимо ще одне завдання планувальника, яке відповідатиме за видалення старих VSS-знімків, наприклад 1 раз на тиждень командою (правила визначення того, що знімок є застарілим, ми роздали на комп'ютери раніше за допомогою вищевказаного PS-скрипту):

підвищуємо

windows

Що робити, якщо користувач «словив шифрувальника»? Відкриваємо командний рядок від імені адміністративного облікового запису і дивимося доступні нам VSS-знімки за допомогою команди:

утиліта

У цьому прикладі ми бачимо, що нам доступний 1 знімок.

Для використання даних у знімку змонтуємо її, наприклад, як диск «X :» командою:

підвищуємо

Підключений диск буде доступним лише для читання, і ви зможете скопіювати всі необхідні дані будь-яким файловим менеджером.

підвищуємо

Для відключення диска скористаємося командою:

На цьому, мабуть, все. Вдалих вам відновлень!