Werken met schaduwkopieën van Windows. Vorige bestandsversies

Belangrijk: dit artikel is bedoeld voor het geval waarin standaardback-up is geconfigureerd op de computer in Windows 7.

Bestanden herstellen van Windows-schaduwkopieën

Heeft u ooit ontdekt dat een bestand dat u nodig had, is verwijderd? Dat er enige tijd is verstreken en het bestand ergens is verdwenen? Natuurlijk kunnen hier vele redenen voor zijn. Maar meestal is het eerste dat ons op zulke momenten zorgen baart, een andere vraag dan de reden: "Hoe kunnen we het nu herstellen?" Als u de site regelmatig leest, heeft u waarschijnlijk back-upprogramma's geïnstalleerd en geconfigureerd waarmee u het ontbrekende bestand kunt herstellen.

Maar wat te doen als u dergelijke programma's niet heeft, of als het te laat is om te herstellen, aangezien het programma de kopie met het origineel heeft gesynchroniseerd en dit bestand heeft gewist. Wat dan? Natuurlijk heb je nog steeds de mogelijkheid om programma's te gebruiken om verwijderde bestanden te herstellen, maar meestal is dit een vrij langdurige procedure die alleen mag worden gebruikt als er geen andere opties meer zijn. Dus waar moet je beginnen?

Als u via de Backup and Restore-interface (zie link) een standaard Windows-back-up heeft ingesteld of herstelpunten heeft aangemaakt, dan heeft u nog steeds de mogelijkheid om een verwijderd bestand relatief snel te herstellen. Feit is dat Windows 7 zogenaamde “schaduwkopieën” maakt van bestanden die toegankelijk zijn via de interface van “vorige versies”. Deze schaduwkopieën slaan niet slechts één kopie van een bestand op, maar verschillende eerdere versies ervan. Dankzij dit feit kunt u de volgende twee methoden gebruiken.

Een verwijderd bestand herstellen uit een schaduwkopie van de bovenliggende map in Windows

Volg de procedure beschreven in het vorige artikel (via deze link) om een lijst met eerdere versies te openen voor de map die het verwijderde bestand bevatte
Selecteer de vorige versie van de map, zodat u zeker weet dat het bestand op dat moment precies in de map stond. Anders moet u de versies doorlopen tot de eerste succesvolle versie
U kunt op de knop "Kopiëren" klikken om een volledige kopie van de map op te slaan en het verwijderde bestand daaruit te herstellen. Als u op de knop klikt, verschijnt er een dialoogvenster waarin u een locatie moet opgeven om op te slaan. Maar u moet begrijpen dat een dergelijke bewerking enige tijd kan duren als de directory veel ruimte in beslag neemt
U kunt ook op de knop "Herstellen" klikken, zodat alle bestanden in de map worden teruggezet naar de geselecteerde versie. Maar houd er rekening mee dat dit andere bestanden kan wijzigen
Als u niet tevreden bent met beide voorgaande opties, kunt u op de knop "Openen" klikken, waarna de volledige lijst met bestanden van de geselecteerde back-up voor u wordt geopend. U kunt het externe bestand slepen of kopiëren waar u het nodig heeft
Nadat u het bestand met een van de methoden hebt hersteld, sluit u het dialoogvenster

Een verwijderd bestand herstellen van een schaduwkopie met de naam ervan in Windows

Maak een leeg bestand met dezelfde naam en extensie als het externe bestand en plaats dit in de bronmap. Bestandsinhoud doet er niet toe
Klik met de rechtermuisknop op een leeg bestand
Selecteer in het contextmenu "Eigenschappen"
Ga naar het tabblad "Vorige versies".
Als je geluk hebt, verschijnt de volledige lijst met back-ups van het verwijderde bestand voor je. In dit geval hangt het allemaal af van de omstandigheden
Selecteer de gewenste back-up (waarschijnlijk de meest recente) en klik op de knop "Herstellen".
Sluit het dialoogvenster

Beide methoden kunnen worden gebruikt. Het enige dat u moet begrijpen is dat het herstelde bestand niet noodzakelijkerwijs de nieuwste versie zal zijn, aangezien er niet voortdurend back-ups worden gemaakt, maar op bepaalde tijdstippen.

Windows-updates (hotfixes) zijn niet geïnstalleerd? Het hulpprogramma voor het opschonen en repareren van het .Net-framework kan hierbij helpen

Technische tips

Er zijn niet veel manieren om bestanden die zijn versleuteld door een ransomware-aanval te herstellen zonder er losgeld voor te betalen. Als we geluk hebben, zijn er misschien enkele gratis tools om ze te herstellen, maar een meer realistische optie is het herstellen van uw bestanden vanaf uw back-ups. Niet iedereen heeft echter back-ups van zijn bestanden, hoewel Windows een zeer nuttige functie biedt die bekend staat als Shadow Copy, wat in een notendop een back-up van uw bestanden is. Cybercriminelen weten er al heel lang van en daarom, een paar maanden nadat ransomware-aanvallen populair werden, is het eerste wat ze doen als ze uw computer infecteren, het verwijderen van de schaduwkopie van uw bestanden voordat ze beginnen met het coderen van uw informatie.

Er zijn een aantal technologieën die kunnen worden gebruikt om ransomware-aanvallen te stoppen: sommige zijn vrijwel nutteloos, zoals handtekeningen of heuristieken (dit zijn de eerste dingen die malware-auteurs controleren voordat ze worden vrijgegeven), andere kunnen soms effectiever zijn, maar zelfs een combinatie Al deze technieken garanderen niet dat u tegen al dergelijke aanvallen wordt beschermd.

Meer dan twee jaar geleden gebruikte het antiviruslaboratorium PandaLabs een eenvoudige maar behoorlijk effectieve aanpak: als een proces schaduwkopieën probeert te verwijderen, hebben we hoogstwaarschijnlijk (maar overigens niet altijd) te maken met een kwaadaardig programma, en de meeste waarschijnlijk met cryptograaf Tegenwoordig verwijderen de meeste ransomwarefamilies schaduwkopieën, omdat Als u dat niet doet, zullen mensen het losgeld niet betalen terwijl ze hun bestanden gratis kunnen herstellen. Laten we eens kijken hoeveel infecties dankzij deze aanpak in ons laboratorium zijn gestopt. Het is logisch om aan te nemen dat dit aantal exponentieel zou moeten groeien, omdat Ook het aantal ransomware-aanvallen waarbij deze techniek wordt gebruikt, groeit snel. Hier is bijvoorbeeld het aantal aanvallen dat we de afgelopen twaalf maanden hebben geblokkeerd met onze aanpak:

Maar in het diagram zien we precies het tegenovergestelde van wat we verwachtten. Hoe is dit mogelijk? In feite is er een heel eenvoudige verklaring voor dit “fenomeen”: we gebruiken deze aanpak als een “laatste redmiddel” wanneer geen enkele andere beveiligingstechniek iets verdachts kan detecteren, en daarom wordt deze regel geactiveerd, die de ransomware-aanval blokkeert. We gebruiken deze aanpak ook voor interne doeleinden, waardoor we de aanvallen die op de “laatste regel” werden geblokkeerd, gedetailleerder kunnen analyseren en vervolgens alle voorgaande beveiligingsniveaus kunnen verbeteren. We gebruiken deze aanpak ook om te evalueren hoe goed of slecht we ransomware tegenhouden: met andere woorden: hoe lager de waarden, hoe beter onze kerntechnologieën presteren. Zoals u kunt zien, neemt de efficiëntie van ons werk dus toe.

Origineel artikel.

We moeten toegeven: fouten zijn onvermijdelijk, vooral als het gaat om computers, netwerken, technologie en de mensen die deze gebruiken. Alle gebruikers verwijderen, wijzigen of anderszins belangrijke documenten. In een dergelijke situatie wordt de mogelijkheid om alles terug te brengen naar de oude staat zeer gewaardeerd. Met het volumeschaduwkopiemechanisme dat is geïmplementeerd in , kunt u het probleem met een paar muisklikken oplossen - als het uiteraard is ingeschakeld en correct is geconfigureerd. Het instellen en gebruiken van deze functie is helemaal niet moeilijk - u hoeft alleen maar te weten waar u deze moet zoeken.

Schaduwkopiëren instellen

Om schaduwkopiëren te kunnen gebruiken, moet u dit eerst inschakelen. Houd er rekening mee dat hiervoor extra systeembronnen nodig zijn, dus bedenk hoe belangrijk de mogelijkheid om bestanden te herstellen voor u is. In de meeste gevallen wegen de voordelen zwaarder dan de nadelen, maar in sommige situaties is de noodzaak om extra middelen toe te wijzen voor schaduwkopiëren onaanvaardbaar.

De instellingen voor schaduwkopieën zijn opgenomen in de systeemeigenschappen. Open de Systeemtool in het Configuratiescherm (Afbeelding A) of typ het trefwoord "systeem" in de zoekbalk van het Start-menu.

Figuur A. Systeemeigenschappen in Vista.

Klik aan de linkerkant van het systeemvenster op de link Systeembeveiliging (Afbeelding B). Vreemd genoeg kon ik geen trefwoord vinden dat het venster Systeembescherming rechtstreeks vanuit de zoekbalk van het Start-menu zou openen. Kennelijk kunnen we niet zonder een tussenfase.

Afbeelding B. Koppeling Systeembeveiliging.

Open in het dialoogvenster Systeemeigenschappen het tabblad Systeembeveiliging (Afbeelding C) en schakel de selectievakjes in voor de schijven waarvoor u schaduwkopiëren wilt inschakelen. Hierna kunt u direct een herstelpunt aanmaken door op de knop “Maken” te klikken. Anders wordt het aangemaakt bij het afsluiten en de volgende keer opstarten.

In dit venster kunt u ook een systeemherstel uitvoeren vanaf een vorig punt, als dat bestaat. Nadat u de instellingen hebt voltooid, klikt u op "OK".

Afbeelding C. Tabblad Systeembescherming

Schaduwkopie gebruiken

Door schaduwkopieën in te stellen, weet u zeker dat belangrijke bestanden indien nodig kunnen worden hersteld. Ik heb bijvoorbeeld een Word 2007-bestand met de naam "ShadowTest.docx" gemaakt en dit opgeslagen in de map Documenten voor mijn profiel.

Figuur D. Mijn documenten.

In afb. E toont de inhoud van het bestand - slechts één regel tekst.

Figuur E. Tekst van het bestand "ShadowTest.docx".

Nadat ik het document had opgeslagen en Word had afgesloten, klikte ik met de rechtermuisknop op het bestand om het eigenschappenvenster te openen en opende ik het tabblad Vorige versies. Zoals blijkt uit Fig. F, er is nog geen schaduwkopie van dit document gemaakt. Onder normale omstandigheden verschijnt het na het afsluiten en de volgende keer opstarten.

Houd er rekening mee dat schaduwkopiëren de noodzaak van een standaard bestandsback-up niet elimineert, maar deze alleen aanvult. Het herstellen van bestanden vanuit een schaduwkopie resulteert nog steeds in het verlies van bepaalde gegevens en is tijdrovend. Het mag alleen in extreme gevallen worden gebruikt.

Figuur F. Bestandseigenschappen.

Ik heb bijvoorbeeld een herstelpunt gemaakt om een schaduwkopie van het testbestand te krijgen (Afbeelding G).

Figuur G: Nieuw herstelpunt.

Vanaf het tabblad "Vorige versies" in het venster met bestandseigenschappen (Fig. G) kunt u nu een document openen, de vorige versie ervan kopiëren of herstellen. In dit geval wordt het huidige bestand vervangen door een schaduwkopie, waarvoor Windows specifiek waarschuwt (Fig. H).

Origineel artikel.

Schaduwkopie is een nieuwe functie geïntroduceerd in Windows XP en Windows Server 2003 die het mogelijk maakt geopende bestanden te archiveren.

Wanneer moet u geopende bestanden archiveren? Stel bijvoorbeeld dat op één van uw werkplekken nog een oud boekhoudprogramma draait. Het heeft geen eigen archiveringsmechanisme en kan alleen gegevens op de lokale computer opslaan. De beheerder, dat wil zeggen jij, zal moeten nadenken over het archiveren van zijn database.

Tijdens het archiveren van deze bestanden via het netwerk moet de computer van de accountant wel aanstaan, maar mag het programma niet draaien zodat de bestanden niet open blijven staan. Maar dit programma is geschreven als een geautomatiseerd werkstation, begint wanneer de computer wordt aangezet en eindigt wanneer deze wordt uitgeschakeld, en je kunt de auteur ervan alleen maar vervloeken.

De uitweg uit deze situatie is het installeren van Windows XP Professional op de werkplek van de accountant (wij denken dat het gebruikelijke programma onder dit besturingssysteem zal werken). Hierna kunt u alle werkbestanden van dit programma archiveren, ongeacht of het voltooid is of niet.

Schaduwkopieën en gedeelde mappen

Hiermee kunt u terugkeren naar de vorige versie van een bestand in een gedeelde map op de server. Het volgende feit is veel belangrijker. In eerdere versies van Windows (inclusief Windows 2000) resulteerde het verwijderen van een bestand uit een gedeelde map via het netwerk in onherstelbaar verlies - het bleef niet eens in de Prullenbak staan. En in Windows Server 2003 kunt u door een bestand te verwijderen de vorige versie ervan herstellen, die mogelijk identiek is aan de huidige.

Standaard is de schaduwkopie van openbare mappen uitgeschakeld. Het is ingeschakeld op de server voor de partitie waarop de gedeelde mappen zich fysiek bevinden. Dit moet een partitie zijn met het NTFS-bestandssysteem.

1.Registreer u op de SERVER als beheerder. Open het venster C: schijfeigenschappen.

2.Ga naar het tabblad Schaduwkopie. U zult zien dat deze functie is uitgeschakeld.

3.Klik op de knop Opties en bewerk de eigenschappen van de huidige sectie. U kunt opgeven hoe vaak de partitie wordt gekopieerd (standaard twee keer per dag) en hoeveel schijfruimte wordt toegewezen voor kopieën. Het wordt aanbevolen om de standaardwaarden te behouden. Sluit het dialoogvenster door op OK te klikken.

4. Klik op de knop Toestaan en bevestig in het volgende dialoogvenster uw beslissing door op Ja te klikken.

Onmiddellijk hierna begint het maken van de eerste kopie van de partitie. Informatie over deze actie in de vorm van datum en tijd verschijnt onderaan het venster.

Opmerking.

Het is niet nodig om de partitie naar dezelfde fysieke schijf te kopiëren. Als u meerdere fysieke schijven hebt geïnstalleerd, kunt u de prestaties van het schijfsubsysteem aanzienlijk verbeteren door de kopie naar een andere schijf te laten verwijzen. De enige voorwaarde is dat deze schijf geformatteerd moet zijn in het NTFS-bestandssysteem.

Organisatie van schaduwkopieën op een werkstation

Clientcomputers met Windows XP Professional kunnen de schaduwkopiefunctie niet meteen gebruiken. Eerst moet u clientsoftware erop installeren. Het TWCLI32 .MSI-installatiebestand bevindt zich op de server (Windows Server 2003) in de map %SYSTEMROOT%\system32\clients\twclient\x86.

1. Meld u als beheerder aan op uw COMPUTER.

2.Start Explorer en voer het pad \\SERVERnaam\ in de adresbalk in

c$\windows\system32\clients\twclient\x86\twcli32.msi.

De client voor eerdere versies wordt geïnstalleerd.

Clients voor besturingssystemen Windows 2000 Server met SP3 geïnstalleerd en hoger, Windows 2000 Professional en Windows 98 kunnen worden gedownload van de Microsoft-website op http: / /www. microsoft. com/windowsserver203/downloads/shadowcopyclient.mspx.

Er bestaat geen dergelijke client voor Windows NT 4.0-besturingssystemen. Voor systemen lager dan Windows XP moet het clientprogramma worden geïnstalleerd op zowel de clientcomputer als de server waarop Windows Server 2003 draait.

Schaduwkopiëren toepassen

Om te profiteren van schaduwkopiëren:

1. Registreer u op COMPUTER als een gewone gebruiker.

2.Open de map van uw afdeling in de gedeelde documentopslag.

3. Geef de eigenschappen van elk bestand weer (bij voorkeur tekst). Ga naar het tabblad Vorige versie. Sinds de Shadow Copy Client is geïnstalleerd, is er geen eerdere versie gemaakt, dus de lijst is leeg.

4.Open het bestand, bewerk het en sla het op onder dezelfde naam.

5. Herhaal stap 3. Op het tabblad Vorige versie ziet u nu de vorige versie van het bestand met de datum waarop het is gemaakt.

6. U kunt het bekijken door op de knop Weergeven te klikken. De documentkopie is alleen-lezen en kan niet worden hernoemd of opgeslagen. Om een eerdere versie onder een andere naam te herstellen, moet u deze eerst naar een andere locatie kopiëren door op de knop Kopiëren te klikken.

Als u per ongeluk een bestand uit een gedeelde map hebt verwijderd en dit wilt herstellen, gaat u als volgt te werk:

1. Geef vanaf de clientcomputer de eigenschappen weer van de map waarin het document zich bevond en ga naar het tabblad Vorige versie.

2.Klik op de knop Weergeven en bekijk de inhoud van de vorige versie van het document. Als u er tevreden mee bent, maakt u een nieuw document en kopieert u de inhoud ernaar via het klembord.

Als u per ongeluk een document hebt bewerkt en opgeslagen, kunt u de juiste versie herstellen door op de knop Herstellen op het tabblad Vorige versie te klikken.

Zo helpt de schaduwkopiefunctie gebruikers in de volgende gevallen snel hun documenten in gedeelde mappen te herstellen:

* bij onbedoelde verwijdering van bestanden;

* in geval van onbedoelde wijziging in de inhoud van bestanden (met behulp van de opdracht Opslaan in plaats van Opslaan als);

* als bestanden beschadigd zijn.

Houd er rekening mee dat de gehele partitie wordt gekopieerd, en niet alleen de mappen die netwerktoegang hebben op het moment van kopiëren. Dit betekent dat als u, na het maken van een kopie, toegang verleent tot een nieuwe map, eerdere versies van de bestanden beschikbaar zullen zijn voor gebruikers vanaf het moment dat u de toegang opent.