Служба System Restore

Выше уже упоминалась возможность восстановления файлов системы из созданной ранее точки восстановления. Для этого применяется служба SYSTEM RESTORE, которая входит в состав как операционной системы Windows Vista, так и более ранних ее версий. Служба SYSTEM RESTORE предназначена для создания точек восстановления системы (их еще называют точками отката), которые используются для возврата к предыдущей конфигурации компьютера, если система стала работать некорректно. После создания точки восстановления вы можете в любой момент откатить систему к этой точке. При этом все файлы, содержащиеся в точке восстановления, заменят собой более новые версии.

Для своей работы SYSTEM RESTORE использует привилегии SeManageVolumePrivilege, SeTakeOwnershipPrivilege, SeSecurityPrivilege, SeRestorePrivilege, SeBackupPrivilege.

В операционной системе по умолчанию создано задание SR, расположенное в разделе Task Scheduler Library/Microsoft/Windows/SystemRestore. Данное задание запускается при запуске системы, а также каждый день в 12 часов ночи, и выполняет команду rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation.

Все точки восстановления хранятся в каталоге «буква диска»\System Volume Information (каждый раздел диска имеет свой каталог System Volume Information, в котором содержатся только точки восстановления файлов, расположенных на соответствующем разделе диска) как файлы без расширения.

В точку восстановления входит копия реестра, локальных профилей, базы данных COM, файла метабазы IIS, базы данных WMI.

По умолчанию операционная система создает точки восстановления в следующих случаях: в начале дня, перед установкой программ (если программы вызывают создание точки восстановления при помощи специальных API-функций) и неподписанных драйверов, перед восстановлением или обновлением системы, а также перед откатом к определенной точке восстановления.

Вкладка System Protection

Как и раньше, настроить параметры SYSTEM RESTORE можно при помощи вкладки SYSTEM PROTECTION диалога SYSTEM PROPERTIES. Данный диалог можно отобразить либо при помощи ссылки SYSTEM PROTECTION диалога SYSTEM (отображается при нажатии комбинации клавиш ALT+PAUSE), либо при помощи одноименной ссылки мастера SYSTEM RESTORE. Мастер же SYSTEM RESTORE мы с вами раньше вызывали при помощи ссылки USE SYSTEM RESTORE TO FIX PROBLEMS AND UNDO CHANGED TO WINDOWS поля RESTORE UP FILES OR YOUR ENTIRE COMPUTER мастера BACKUP AND RESTORE CENTER. Также мастер SYSTEM RESTORE можно вызвать, введя команду rstrui.exe.

Вкладка System Protection отображается только в том случае, если значения параметров REG_DWORD типа DisableConfig и DisableSR, расположенных в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, не равно 1. Также, если значение данных параметров равно 1, доступ к мастеру System Restore будет запрещен.

Эти параметры реестра изменяются при помощи групповых политик файла SystemRestore.admx, расположенных в подразделе Computer Configuration/Administrative Templates/System/System Restore. Правда, в описаниях этих политик говорится о том, что они не влияют на операционную систему Windows Vista.

Репозитарий CIM операционных систем семейства Windows содержит в себе два класса, SystemRestoreConfig и SystemRestore, предназначенных для работы со службой System Restore. Они находятся в пространстве имен root\default.

Класс SystemRestoreConfig содержит в себе основную информацию о параметрах настройки службы, и содержит следующие свойства: DiskPercent (определяет объем диска, резервируемый службой под хранение точек восстановления), RPGlobalInterval (определяет интервал между созданиями точек восстановления в секундах), RPLifeInterval (определяет время хранения точек восстановления в секундах), MyKey (ключевое свойство, идентифицирующее SystemRestore).

Экземпляры класса SystemRestore определяют информацию о хранящихся на компьютере точках восстановления. Данный класс поддерживает следующие свойства: CreationTime (определяет дату создания точки восстановления), Description (определяет описание данной точки восстановления), RestorePointType (определяет тип данной точки восстановления, например, значение 11 говорит о системной точке), SequenceNumber (ключевое свойство, содержащее идентификатор точки восстановления).

Кроме того, класс SystemRestore поддерживает набор методов, позволяющих работать с точками восстановления. Например, к ним можно отнести следующие методы: CreateRestorePoint (создает новую точку восстановления), Disable (отключает создание точек восстановления на определенном разделе), Enable (включает создание точек восстановления на определенном разделе), Restore (восстанавливает систему при помощи определенной точки восстановления).

Вкладка SYSTEM PROTECTION содержит в себе список существующих разделов компьютера. Если напротив раздела установлен флажок, тогда службе SYSTEM RESTORE разрешено создавать точки восстановления данного раздела. Справа же от названия раздела отображается дата последнего создания точки восстановления.

С помощью команды rundll32.exe SRCORE.dll SysprepGeneralize можно отключить службу System Restore на всех дисках.

Кроме того, в операционной системе Windows Vista, вкладка SYSTEM PROTECTION также содержит в себе две кнопки: SYSTEM RESTORE… и CREATE…. При помощи первой из них можно вызвать мастер SYSTEM RESTORE. Вторая же кнопка создает точку восстановления. При этом перед вами отобразится диалог SYSTEM PROTECTION с просьбой указать описание точки восстановления. Следует заметить, что создание точки восстановления при помощи кнопки CREATE… основано на работе службы TASK SCHEDULER, поэтому для корректного создания точки восстановления данная служба должна быть запущена.

С помощью команды rundll32.exe SRCORE.dll SysprepCleanup можно удалить все созданные точки восстановления.

Мастер System Restore

Расположение: %systemroot%\system32\rstrui.exe.

Мастер SYSTEM RESTORE, который представляет собой файл rstrui.exe, позволяет восстановить состояние компьютера на основе созданной ранее точки восстановления. Использование мастера не является сложным делом — он состоит всего лишь из одного шага, на котором нужно выбрать конкретную точку восстановления из списка созданных ранее точек восстановления.

После того, как вы нажмете кнопку FINISH, отобразится сообщение о том, что идет подготовка к восстановлению, после которой компьютер начнет перезагружаться. Если восстановление из точки отката прошло успешно, тогда при следующем входе в систему перед вами отобразится сообщение от службы SYSTEM RESTORE об этом.

Также программа rstrui.exe поддерживает две опции: /RUNONCE и /OFFLINE:«точка отката». Первая из них отображает сведения о дате последнего восстановления системы из точки восстановления. Вторая же восстанавливает систему на основе точки восстановления.

Настройка System Restore с помощью реестра

Служба SYSTEM RESTORE хранит параметры своей работы в двух ветвях реестра: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SPP\Clients и HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore.

Настройки создания течек восстановления В первой из этих ветвей реестра описываются параметры создания точки восстановления. Например, список всех разделов, для которых службе SYSTEM RESTORE разрешено создавать точки восстановления, содержится в параметре REG_MULTI_SZ типа {09F7EDC5-294E-4180-AF6A-FB0E6A0E9513}, расположенном в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SPP\Clients. Кроме того, в первой ветви реестра могут присутствовать следующие параметры REG_DWORD типа.

• CreateTimeout. Определяет интервал ожидания создания теневой копии (в миллисекундах) при создании новой точки восстановления. Если по истечении данного интервала теневая копия нужных файлов создана не будет, тогда создание точки восстановления будет завершено ошибкой.
• DisableOptimizedRPCreation. Позволяет отключить выполнение оптимизации при создании точки восстановления.

Настройки службы System Restore А в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore содержатся параметры настройки службы SYSTEM RESTORE. Большинство из них имеют тип REG-DWORD.

• RPGlobalInterval. Определяет интервал между созданиями точек восстановления в секундах (по умолчанию используется интервал в 24 часа).
• RPLifeInterval. Определяет время хранения точек восстановления в секундах.

А в подразделе cfg данной ветви реестра может присутствовать параметр REG_DWORD типа DiskPercent. Он определяет процент места на диске, который будет забирать под свои нужды служба SYSTEM RESTORE.

Также на работу службы SYSTEM RESTORE влияют настройки создания теневых копий. Но о них мы поговорим далее в этой книге.

Backup command-line tool

Расположение: %systemroot%\system32\wbadmin.exe.

Также выполнить архивирование файлов можно с помощью новой программы командной строки wbadmin.exe. Данная программа поддерживает следующие опции.

START BACKUP –backuptarget:«буква диска или UNC-имя общего ресурса, в который нужно выполнить архивирование» -include:«буквы дисков, содержимое которых нужно архивировать, написанные через запятую» Выполняет архивацию содержимого дисков, указанных в опции -include, на диск или в общий каталог, указанный в опции –backuptarget.

STOP JOB Отменяет текущую операцию архивирования или восстановления системы.

GET VERSIONS –backuptarget:«буква диска или UNC-имя общего ресурса» Отображает даты создания архивов (в формате MM/DD/YYYY-HH:MM), расположенных на указанном в опции –backuptarget диске или общем ресурсе.

GET ITEMS –version «дата создания архива» –backuptarget:«буква диска или UNC-имя общего ресурса» Отображает содержимое архива, расположенного на указанном в опции –backuptarget диске или общем ресурсе, и имеющего указанную в опции –version дату создания.

GET STATUS Отображает статус выполнения текущей операции архивирования или восстановления.

Работа с теневыми копиями

Как было сказано выше, архивирование файлов основано на службе теневого копирования. Некоторые параметры работы службы теневого копирования можно также настроить при помощи специальных диалогов операционной системы. Остальные же параметры работы теневого копирования мы рассмотрим при описании службы VOLUME SHADOW COPY.

Вкладка Previous Version

В операционной системе Windows Vista диалог PROPERTIES любых файлов и папок содержит в себе новую вкладку: PREVIOUS VERSION. С ее помощью вы можете просмотреть список копий данных файлов или папок, созданных ранее при помощи службы теневого копирования. При этом с помощью той же вкладки можно открыть конкретную теневую копию файла или каталога (при помощи кнопки OPEN), создать новую теневую копию файла на основе существующей теневой копии (при помощи кнопки COPY…), а также восстановить содержимое файла или каталога на основе конкретной теневой копии (при помощи кнопки RESTORE…).

Для примера, попробуйте создать теневую копию раздела при помощи рассмотренной выше программы vssuirun.exe. А после этого посмотрите на содержимое вкладки PREVIOUS VERSION диалога PROPERTIES файла или каталога, расположенного на разделе, теневую копию которого вы только что создали.

Также теневая копия всех каталогов определенного раздела создается во время создания точки восстановления при помощи службы SYSTEM RESTORE.

Настройка при помощи групповых политик

Содержимое вкладки PREVIOUS VERSION можно ограничить при помощи групповых политик. Для этого применяются политики файла PreviousVersions.admx, расположенные в подразделе User Configuration/Administrative Templates/Windows Components/Windows Explorer/Previous Versions.

Политики данного подраздела изменяют значения параметров REG_DWORD типа, расположенных в ветви реестра HKCU\Software\Policies\Microsoft\PreviousVersions.

• DisableBackupRestore. Если значение данного параметра равно 1, тогда восстановление файла из резервной копии будет запрещено.
• DisableLocalPage. Если значение данного параметра равно 1, тогда вкладка ПРЕДЫДУЩИЕ ВЕРСИИ не будет отображаться в диалоге СВОЙСТВА для файлов и папок, расположенных на локальном компьютере.
• DisableLocalRestore. Если значение данного параметра равно 1, тогда восстановление файла при помощи копий, расположенных на локальном диске компьютера, будет запрещено.
• DisableRemotePage. Если значение данного параметра равно 1, тогда вкладка ПРЕДЫДУЩИЕ ВЕРСИИ не будет отображаться в диалоге СВОЙСТВА для файлов и папок, расположенных в общих каталогах.
• DisableRemoteRestore. Если значение данного параметра равно 1, тогда восстановление файла при помощи копий, расположенных в общих каталогах, будет запрещено.
• HideBackupEntries. Если значение данного параметра равно 1, тогда восстановление файла из копий, хранящихся на архивных носителях, будет запрещено. По умолчанию восстанавливать файлы можно как из теневых копий, расположенных на диске, так и из копий, хранящихся на архивных носителях.

Работа с WMI

Также работать с теневыми копиями и просматривать параметры работы провайдера теневого копирования можно при помощи инструментария управления Windows. Для этого в пространство имен \\root\cimv2 были добавлены новые классы: Win32_ShadowProvider, Win32_ShadowCopy, Win32_ShadowStorage, Win32_ShadowContext.

Volume Shadow Copy Service administrative command-line tool

Расположение: %systemroot%\system32\vssadmin.exe.

Еще одной программой для настройки процесса создания теневых копий является стандартная программа командной строки vssadmin.exe. Данная программа не является чем-то новым, она присутствовала и в операционной системе Windows XP, поэтому мы рассмотрим ее лишь поверхностно.

Она поддерживает следующие возможности.

vssadmin.exe list providers Отображает список провайдеров теневого копирования (имя провайдера, его тип, идентификатор и версию).

vssadmin.exe list shadows Отображает список существующих теневых копий файлов, а также следующие сведения о них: идентификатор копии, раздел диска и имя компьютера, на котором расположен файл, атрибуты файла, а также имя провайдера, создавшего данную теневую копию.

Также можно воспользоваться дополнительными опциями /For=«раздел диска», /Shadow=«идентификатор теневой копии» или /Set=«идентификатор набора теневых копий». Соответственно, для указания раздела диска, список теневых копий которого нужно отобразить, идентификатора теневой копии для отображения сведений только о ней, или идентификатора набора теневых копий, для отображения только теневых копий из этого набора.

vssadmin.exe list writers Отображает список всех компонентов системы, которые могут создавать теневые копии. При этом отображается имя компонента, его идентификатор, состояние и описание последней возникшей в работе компонента ошибки.

Кроме того, программа vssadmin.exe операционной системы Windows Vista поддерживает следующие новые возможности.

vssadmin.exe list shadowstorage Отображает список всех существующих на компьютере хранилищ теневых копий. Также отображается используемый хранилищами объем диска и максимальный объем диска, который может использовать данное хранилище.

Данная команда поддерживает две дополнительные опции: /For=«хранилища для данного раздела диска» и /On=«хранилища на данном разделе диска».

vssadmin.exe resize shadowstorage /For=«хранилище для данного раздела диска» /On=«хранилище на данном разделе диска» /MaxSize=«новый максимальный размер хранилища» Изменяет максимальный размер данного хранилища.

vssadmin.exe list volumes Отображает список всех существующих на компьютере разделов.

Продолжение следует