Windows Vista. Для профессионалов Клименко Роман
– Non Sensitive Privilege Use – использование редко изменяемых привилегий;
– Other Privilege Use Events – применение других привилегий;
– Sensitive Privilege Use – использование часто изменяемых привилегий.
• Detailed Tracking – определяет категорию аудита отслеживания работы процессов и служб. Например, к данной категории относятся события создания служб и назначенных заданий, а также открытие и закрытие процессов. В нее входят следующие подкатегории:
– Process Termination – завершение работы процесса;
– DPAPI Activity – активация DPAPI;
– Other Detailed Tracking Events – другие изменения в процессах;
– Process Creation – создание процесса.
• System – определяет категорию слежения за системными событиями, касающимися системы безопасности Windows. Например, в данную категорию входят события о процессах начальной загрузки, выключения компьютера, аутентификации пользователя. В нее входят следующие подкатегории:
– Security System Extension – аудит расширений безопасности;
– System Integrity – аудит целостности системы;
– IPSec Driver – аудит драйвера IPSec;
– Other System Events – аудит других компонентов системы;
– Security State Change – аудит изменения параметров безопасности.
Подкатегории категорий аудита описывались выше не только для того, чтобы было более точно понятно, аудит чего именно выполняют данные категории. Вы можете просмотреть непосредственно состояние определенной подкатегории аудита. Для этого применяется команда audi tpol /get /Subcategory: «подкатегория».
Кроме того, в командах просмотра состояния аудита вы можете использовать параметр /г. При его использовании будет отображаться не только состояние аудита, но и такие дополнительные параметры, как имя компьютера, CLSID-номер подкатегории (его можно использовать в командах вместо названия подкатегории).
Можно также использовать параметр /user:, чтобы определить пользователя, состояние аудита для которого будет отображаться.
Например, чтобы просмотреть состояние аудита системных событий для пользователя Администратор (в расширенном варианте), нужно воспользоваться командой auditpol /get /user: administrator /category: «system» /r.
Редактирование состояния категорий аудита
С помощью данной программы можно не только просматривать состояние аудита категорий, но и устанавливать новое состояние. Для этого применяются команды auditpol /set /category: «категория» или auditpol /set /subcategory: «подкатегория». При этом будет устанавливаться аудит успеха применения определенных категорией или подкатегорией прав.
Если же нужно установить аудит неудачных попыток применения определенных категорией или подкатегорией прав, то нужно воспользоваться следующими командами: auditpol /set /category: «категория» /failure: enable или auditpol /set /subcategory: «подкатегория» /failure: enable.
Если нужно установить аудит как удачных, так и неудачных попыток применения определенных категорией или подкатегорией прав, то нужно воспользоваться следующими командами: auditpol /set /category: «категория» /success: enable /failure: enable или auditpol /set /subcategory: «подкатегория» /success: enable /failure: enable.
Кроме того, можно отключить состояние определенных категорий аудита. Для этого в параметрах /success и /failure вместо значения enable нужно указать значение disable.
Вы также можете использовать параметр /user:, чтобы указать пользователя, для которого устанавливается данное состояние аудита.
Работа с дополнительными параметрами аудита
С помощью данной программы можно также включать или отключать дополнительные настройки работы аудита. Для этого применяются следующие значения параметра /option программы.
• CrashOnAuditFail – определяет, будет ли выполняться перезагрузка компьютера при невозможности записи события аудита. Это значение определяет значение параметра REG_DWORD-типа CrashOnAuditFail ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
• FullPrivilegeAuditing – указывает, будет ли производиться аудит операций архивирования и восстановления. Данное значение определяет значение параметра REG_BINARY-типа FullPrivilegeAuditing ветви системного реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContrо1Set\Control\Lsa.
• AuditBaseObjects – определяет, будет ли выполняться аудит доступа глобальных системных объектов. Оно определяет значение параметра REGDWORD-типа AuditBaseObjects ветви системного реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa.
• AuditBaseDirectories – указывает, будет ли выполняться расширенный аудит доступа к каталогам. Определяет значение параметра REGDWORD-типа AuditBaseDirectories ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa.
Чтобы просмотреть текущее значение одного из приведенных выше параметров, нужно воспользоваться командой auditpol /get /option: «параметр».
Чтобы установить новое значение параметра, нужно воспользоваться командой auditpol /set /option: «параметр» /value: значение. Если значение параметра /value равно enable, то данный параметр аудита будет включен. Если же значение равно disable, то параметр аудита будет отключен.
Архивирование и восстановление настроек аудита
Программа auditpol.ехе позволяет сохранить текущее состояние аудита доступа в файл, чтобы потом восстановить их из этого файла.
Для сохранения настроек аудита в файл применяется команда auditpol /backup /file: путь к файлу с расширением CSV. Настройки аудита доступа сохраняются в обычный текстовый файл, в котором они разделяются между собой запятой.
Для восстановления настроек аудита из файла применяется команда auditpol /restore /file: путь к файлу с расширением CSV.
Удаление политик аудита
Последней возможностью данной программы является возможность удаления настроек аудита для определенных учетных записей пользователей.
Чтобы очистить состояние всех категорий и подкатегорий аудита доступа для всех пользователей, нужно воспользоваться командой auditpol /clear. При этом очищается состояние как категорий аудита, так и параметров аудита ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
7.2. Архивирование и восстановление
Одной из повседневных задач администратора является создание архивных копий файлов, необходимых пользователям. Если раньше, в Windows ХР, для этого существовало только одно средство (Ntbackup.exe, который в Windows Vista отсутствует), то теперь ему на смену пришли сразу несколько мастеров и программ командной строки. Именно о них и будет рассказано в этом разделе.
Мастер Центр архивации и восстановления
Данный мастер можно отобразить с помощью одноименного значка папки Панель управления. Основное окно мастера представлено на рис. 7.1.
Рис. 7.1. Основное окно мастера Центр архивации и восстановления
Основное окно мастера Центр архивации и восстановления разделено на две части: Архивация файлов или всего содержимого компьютера и Восстановление файлов или всего содержимого компьютера.
Примечание
Информация о процессе архивирования и восстановления данных заносится в журнал подраздела Журналы приложений и служб Microsoft Windows Backup.
Архивация файлов или всего содержимого компьютера
С помощью раздела Архивация файлов или всего содержимого компьютера можно создать архивную копию определенных файлов или содержимого всего компьютера на основе службы теневого копирования файлов (поэтому в архив войдут даже те файлы, доступ к которым в данный момент запрещен запущенными программами). При этом происходит не просто одноразовое архивирование, а создается задание, которое будет выполняться в определенное время. Обратите на это внимание. Иными словами, для работы с мастером архивирования необходимо, чтобы служба Планировщик заданий была запущена.
Чтобы сделать архивную копию файлов, нужно нажать кнопку Архивировать файлы. После этого отобразится одноименный мастер, первым шагом которого будет выбор места хранения архива. Можно выбрать один из локальных разделов компьютера либо общую папку. После этого мастер предложит вам выбрать разделы диска, которые войдут в архив. При этом системный раздел диска всегда входит в архив, и его архивирование нельзя отключить. На этом шаге нельзя выбрать отдельный файл. А вот следующим шагом мастера будет выбор файлов, которые войдут в архив. Можно поместить в архив следующие файлы: файлы изображений, музыкальные, видео, документы. И последним шагом мастера является создание расписания для запуска данного задания архивирования файлов. Вы можете выбрать не только день архивирования, но и час. После нажатия кнопки Сохранить параметры и начать архивацию перед вами отобразится окно с вопросом о том, хотите ли вы немедленно начать архивирование файлов.
Чтобы сделать архивную копию всего содержимого компьютера, нужно нажать кнопку Архивировать компьютер. После этого отобразится мастер Архивация CompletePC Windows, первым шагом которого будет выбор места хранения архива. Можно выбрать один из локальных разделов компьютера либо привод DVD для записи содержимого на DVD. После этого мастер предложит вам выбрать разделы диска, которые войдут в архив. При этом системный и загрузочные разделы диска (содержащие системные файлы операционных систем, которые установлены на вашем компьютере) всегда входят в архив, и их архивирование нельзя отключить. После выбора разделов диска мастер отобразит выбранные вами диски-источники и диск назначения. Нажав кнопку Сохранить параметры и начать архивацию, можно начать процесс архивирования файлов.
Восстановление файлов или всего содержимого компьютера
Благодаря разделу Восстановление файлов или всего содержимого компьютера вы можете выполнить восстановление файлов из созданных вами ранее архивов. Для этого нужно нажать кнопку Восстановить файлы, после чего запустится мастер Восстановление файлов. Он предложит вам установить переключатель в одно из следующих положений: Файлы из последнего архива и Файлы из более ранних архивов. Если вы установите переключатель в первое положение, то следующим шагом мастера будет восстановление файлов из последней созданной архивной копии файлов. В противном случае мастер отобразит список существующих архивов, из которого вы можете выбрать нужный вам.
Кроме кнопки Восстановить файлы, в разделе Восстановление файлов или всего содержимого компьютера есть ссылка Дополнительные параметры. Вы можете щелкнуть на ней кнопкой мыши, чтобы запустить мастер настройки архивирования Состояние и настройка архивации. Данный мастер будет описан далее в этом разделе.
Можно также воспользоваться кнопкой Восстановить компьютер, чтобы выполнить восстановление файлов на основе архивов, созданных с помощью мастера Windows CompletePC Backup.
Но это еще не все возможности данного раздела. Он также содержит ссылку Используйте восстановление системы для устранения проблем и отмены нежелательных изменений Windows. После щелчка на ней кнопкой мыши отобразится мастер Восстановление системы. На первом шаге данного мастера вы можете либо выбрать ссылку открыть Защиту системы, чтобы отобразилось окно Свойства системы, открытое на вкладке Защита системы, либо нажать кнопку Далее. Во втором случае перед вами тобразится список доступных точек восстановления, из которого вы можете выбрать нужную вам точку восстановления. Более подробно о восстановлении системы будет рассказано далее.
Настройка мастера Центр архивации и восстановления
Сведения, необходимые для построения содержимого мастера Центр архивации и восстановления, расположены в реестре. Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\BRCpl\BackupApps. Она включает в себя два подраздела: {77916c00-866d-4575-a371-74831d3e2285} и {a7 63bfc4-73b8-428b-87d0-9248112f4183}. Первый из них определяет настройки кнопки Архивировать компьютер раздела Архивация файлов или всего содержимого компьютера и кнопки Восстановить компьютер раздела Восстановление файлов или всего содержимого компьютера. Второй же определяет настройки кнопки Архивировать файлы раздела Архивация файлов или всего содержимого компьютера и кнопки Восстановить файлы раздела Восстановление файлов или всего содержимого компьютера. Оба эти подраздела могут содержать одинаковые параметры, отдельные из которых описаны ниже.
• BackupDescription – этот параметр строкового типа хранит описание, отображаемое напротив соответствующей кнопки раздела Архивация файлов или всего содержимого компьютера.
• RestoreDescription – имеет строковый тип и содержит описание, отображаемое напротив соответствующей кнопки раздела Восстановление файлов или всего содержимого компьютера.
• Backuplcon – этот параметр строкового типа хранит путь к значку, отображаемому напротив соответствующей кнопки раздела Архивация файлов или всего содержимого компьютера.
• Restorelcon – имеет строковый тип и содержит путь к значку, отображаемому напротив соответствующей кнопки раздела Восстановление файлов или всего содержимого компьютера.
• RestoreAlwaysEnabled – если значение данного параметра REG_DWORD-типа равно 1, то соответствующая кнопка раздела Восстановление файлов или всего содержимого компьютера будет всегда активирована (по умолчанию она не активна, если вы не делали архивной копии).
Приведенные выше подразделы также включают в себя вложенный подраздел Commands, определяющий команды, которые выполняются при выборе соответствующей кнопки или ссылки. Этот подраздел содержит другие подразделы, которые определяют описание отдельных кнопок и ссылок. Эти подразделы, в свою очередь, могут хранить следующие параметры.
• Executable – этот параметр строкового типа определяет команду, которая будет выполняться при нажатии соответствующей кнопки или ссылки.
• CommandText – данный параметр строкового типа содержит текст, отображаемый на соответствующей кнопке.
• Arguments – если для работы команды, описанной в параметре Executable, необходимо также указывать аргументы, то они записываются в данном параметре строкового типа.
• RequirePrivilege – этот параметр REG_DWORD-типа определяет, необходимы ли административные привилегии для запуска указанной в параметре Executable команды. Если его значение равно 1, то при нажатии соответствующей кнопки будет активизироваться механизм UAC для запроса подтверждения на запуск команды. Если же значение данного параметра равно 0, то механизм UAC активизироваться не будет. По умолчанию значение данного параметра практически для всех команд равно 1.
Если же вам интересен способ хранения задания автоматического архивирования файлов, то необходимо взглянуть на ветвь реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsВасkup\ScheduleParams\Rules. Она содержит набор вложенных подразделов с именами 1, 2, 3 и т. д. Каждый из этих подразделов определяет один раздел диска, содержимое которого будет входить в архив. Для этого данные подразделы включают в себя строковый параметр Root. Они также содержат параметр REGDWORD-типа Flags. Он может принимать значения вида 40000ХХХ, где XXX является битовой маской и определяет типы файлов, которые будут архивироваться.
И последнее, о чем хотелось бы рассказать. Как вы уже знаете, с помощью мастера Центр архивации и восстановления можно выполнить архивирование только разделов каталога, а не отдельных его файлов. Однако с помощью реестра можно более тонко настроить процесс архивирования. Например, для этого можно воспользоваться ветвью HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ BackupRestore. Она включает в себя следующие подразделы.
• FilesNotToBackup – содержит список параметров типа REG_MULTI_SZ, значения которых определяют каталоги или файлы, которые нельзя будет архивировать. Например, по умолчанию нельзя архивировать файл подкачки, временные файлы, файлы службы System Restore и службы BITS и т. д.
• FilesNotToSnapshot – хранит список параметров типа REG_MULTI_SZ, значения которых определяют каталоги или файлы, которые не будут входить в создаваемый снимок. По умолчанию в него не входят файлы, принадлежащие RAC.
• KeysNotToRestore – содержит список параметров типа REG_MULTI_SZ, значения которых определяют ветви реестра , содержимое которых не будет восстанавливаться при восстановлении настроек компьютера с помощью ASR.
Мастер Состояние и настройка архивации
Расположение: %systemroot%\system32\sdclt.ехе.
Приведенный выше мастер Центр архивации и восстановления является лишь оболочкой для команд мастера Состояние и настройка архивации. Далее будут описаны эти команды, а сейчас рассмотрим сам мастер Состояние и настройка архивации (рис. 7.2).
Рис. 7.2. Мастер Состояние и настройка архивации
Примечание
Мастер Состояние и настройка архивации можно отобразить и с помощью кнопки Выполнить архивацию, расположенной на вкладке Сервис окна Свойства диска. Команда, которая выполняется после нажатия этой кнопки, указана в параметре (По умолчанию) ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\MyComputer\BackupPath.
Данный мастер состоит из трех разделов: Архивация файлов, Восстановление файлов и Архивация Complete PC.
Архивация файлов
Если вы уже настраивали автоматическое архивирование файлов с помощью кнопки Архивация файлов раздела Архивация файлов или всего содержимого компьютера мастера Центр архивации и восстановления и при этом служба Планировщик заданий в данный момент запущена, то данный раздел будет содержать сведения о времени последнего архивирования файлов и дату следующего архивирования. Кроме того, с помощью данного раздела можно отключить/включить автоматическое архивирование файлов (кнопка Выключить/Включить) или немедленно запустить процесс архивирования (ссылка Архивировать сейчас).
Раздел также содержит ссылку Изменить параметры архивации, с помощью которой можно изменить настройки автоматического архивирования. После выбора данной ссылки отобразится мастер Архивация файлов и вы сможете пройти все шаги настройки архивирования заново.
Восстановление файлов
Данный раздел включает в себя две кнопки: Специальное восстановление и Восстановление файлов.
С помощью кнопки Восстановление файлов можно отобразить одноименный мастер, то есть тот же мастер, что и с помощью кнопки Восстановление файлов раздела Восстановление файлов или всего содержимого компьютера мастера Центр архивации и восстановления.
А с помощью кнопки Специальное восстановление можно отобразить мастер Восстановление файлов (для опытных).
Архивация Complete PC
Данный раздел отображает сведения о дате последнего создания архива содержимого компьютера, а также раздел диска, на котором был создан архив. Если же при последней попытке архивирования произошла ошибка, то с помощью ссылки подробно можно отобразить сведения об этой ошибке.
Раздел также содержит кнопку Архивировать сейчас, с помощью которой можно вызвать мастер Архивация CompletePC Windows, то есть тот же мастер, что и с помощью кнопки Архивация компьютера раздела Архивация файлов или всего содержимого компьютера мастера Центр архивации и восстановления.
Параметры мастера
Данный мастер можно запускать, используя следующие параметры. Именно с этими параметрами он запускается при использовании мастера Центр архивации и восстановления.
• /RUNONCE – отображает мастер Архивация файлов. Для его вызова можно также использовать параметр /STARTBACKUPS.
• /CONFIGURE – выводит мастер Архивация файлов для изменения текущих настроек задания автоматического архивирования файлов.
• /BLBBACKUPWIZARD – отображает мастер Архивация CompletePC Windows.
• /RESTOREWIZARDADMIN – выводит мастер Восстановление файлов (для опытных).
• /RESTOREWIZARD – отображает Восстановление файлов.
• /UIMODE – выводит в области уведомлений оповещение, при выборе которого будет вызван мастер Состояние и настройка архивации.
• /ENABLEJOB – включает задания автоматического архивирования системы.
• /DISABLEJOB – отключает задания автоматического архивирования системы.
• /KICKOFFJOB – завершает запущенные в данный момент задания автоматического архивирования системы.
Групповые политики
Параметры работы мастера Состояние и настройка архивации можно ограничить с помощью групповых политик. Для этой цели применяются политики файлов UserDataBackup.admx и WindowsBackup. admx, расположенные в подразделе Конфигурация компьютера Административные шаблоны Компоненты Windows Архивация данных.
Часть политик данного подраздела расположена в параметрах ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindows\Backup\Client. Они имеют тип REG_DWORD:
• DisableBackupLauncher – если значение данного параметра равно 1, то возможность использования средств архивирования и восстановления данных, реализованных в операционной системе Windows Vista, будет запрещена;
• DisableBackupToDisk – при установке значения этого параметра равным 1 архивирование данных на жесткий диск компьютера будет запрещено (хотя на съемные жесткие диски архивировать данные будет можно);
• DisableBackupToNetwork – если значение данного параметра равно 1, то архивирование данных на общие папки компьютеров сети будет запрещено;
• DisableBackupToOptical – при установке значения этого параметра равным 1 архивирование данных на компакт-диски будет запрещено;
• DisableBackupUI – если значение данного параметра равно 1, то архивирование данных с помощью мастера Центр архивации и восстановления будет запрещено;
• DisableRestoreUI – при установке значения этого параметра равным 1 восстановление данных с помощью мастера Центр архивации и восстановления будет запрещено.
• DisableSystemBackupUI – если значение данного параметра равно 1, то возможность архивации компьютера будет отключена.
Другая же часть политик данного подраздела расположена в ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\MicrosoftWindows\ BackupX Server. Они также имеют тип REG_DWORD:
• OnlySystemBackup – если значение данного параметра равно 1, то администраторам и операторам архива будет запрещено выполнение архивирования данных, расположенных на несистемных разделах диска;
• NoBackupToDisk – при установке значения этого параметра равным 1 администраторам и операторам архива будет запрещено выполнение архивирования данных на локальный компьютер с помощью мастера архивации Windows Server;
• NoBackupToNetwork – если значение данного параметра равно 1, то администраторам и операторам архива будет запрещено выполнение архивирования данных на общие папки компьютеров сети с помощью мастера архивации Windows Server;
• NoBackupToOptical – при установке значения этого параметра равным 1 администраторам и операторам архива будет запрещено выполнение архивирования данных на компакт-диски с помощью мастера архивации Windows Server;
• NoRunNowBackup – если значение данного параметра равно 1, то администраторам и операторам архива будет запрещен однократный запуск мастера архивации Windows Server.
Служба Восстановление системы
Выше уже упоминалась возможность восстановления файлов системы из созданной ранее точки восстановления. Для этого применяется служба Восстановление системы, которая входит в состав как операционной системы Windows Vista, так и более ранних ее версий. Служба Восстановление системы предназначена для создания точек восстановления системы (их еще называют точками отката), которые используются для возврата к предыдущей конфигурации компьютера, если система стала работать некорректно. После создания точки восстановления вы можете в любой момент откатить систему к этой точке. При этом все файлы, содержащиеся в точке восстановления, заменят собой более новые версии.
Для своей работы служба Восстановление системы использует привилегии SeMana-geVolumePrivilege, SeTakeOwnershipPrivilege, SeSecurityPrivilege, SeRestorePrivilege, SeBackupPrivilege.
Примечание
В операционной системе по умолчанию создано задание SR, расположенное в разделе Библиотека планировщика заданий Microsoft Windows SystemRestore. Данное задание запускается при старте системы, а также каждый день в 12 часов ночи и выполняет команду rundll32.exe/d srrstr.dll,ExecuteScheduledSPPCreation.
Все точки восстановления хранятся в каталоге <буква диска>\ System Volume Information (каждый раздел диска имеет свой каталог System Volume Information, в котором содержатся только точки восстановления файлов, расположенных на соответствующем разделе диска) как файлы без расширения.
В точку восстановления входит копия реестра , локальных профилей, базы данных СОМ, файла метабазы IIS, базы данных WMI.
По умолчанию операционная система создает точки восстановления в следующих случаях: в начале дня, перед установкой программ (если программы вызывают создание точки восстановления с помощью специальных API-функций) и неподписанных драйверов, перед восстановлением или обновлением системы, а также перед откатом к определенной точке восстановления.
Вкладка Защита системы
Как и раньше, настроить параметры защиты системы можно с помощью вкладки Защита системы окна Свойства системы. Данное окно можно отобразить либо с помощью ссылки Защита системы окна Система (отображается при нажатии комбинации клавиш ALt+Pause Break), либо с помощью одноименной ссылки мастера Восстановление системы. Мастер же Восстановление системы мы раньше вызывали с помощью ссылки Используйте восстановление системы для устранения проблем и отмены нежелательных изменений Windows раздела Восстановление файлов или всего содержимого компьютера мастера Центр архивации и восстановления. Также мастер Восстановление системы можно вызвать, введя команду rstrui.ехе.
Примечание
Вкладка Защита системы отображается только в том случае, если значения параметров REG_DWORD-типа DisableConfig и DisableSR, расположенных в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\SystemRestore, не равно 1. Также, если значение данных параметров равно 1, доступ к мастеру Восстановление системы будет запрещен.
Эти параметры системного реестра изменяются с помощью групповых политик файла SystemRestore.admx, расположенных в подразделе Конфигурация компьютера Административные шаблоны Система Восстановление системы. Правда, в описаниях этих политик говорится о том, что они не влияют на операционную систему Windows Vista.
Репозитарий CIM операционных систем семейства Windows содержит два класса: SystemRestoreConf ig и SystemRestore, предназначенных для работы со службой Восстановление системы. Они находятся в пространстве имен root\ default.
Класс SystemRestoreConf ig хранит основную информацию о параметрах настройки службы и включает в себя следующие свойства: DiskPercent (определяет объем диска, резервируемый службой под хранение точек восстановления), RPGlobalInterval (определяет интервал между созданиями точек восстановления в секундах), RPLif elnterval (определяет время хранения точек осстановления в секундах), МуКеу (ключевое свойство, идентифицирующее SystemRestore).
Экземпляры класса SystemRestore определяют информацию о хранящихся на компьютере точках восстановления. Данный класс поддерживает следующие свойства: CreationTime (определяет дату создания точки восстановления), Description (определяет описание данной точки восстановления), RestorePointType (определяет тип данной точки восстановления, например значение 11 говорит о системной точке), SequenceNumber (ключевое свойство, содержащее идентификатор точки восстановления).
Кроме того, класс SystemRestore поддерживает набор методов, позволяющих работать с точками восстановления. Например, к ним можно отнести следующие методы: CreateRestorePoint (создает новую точку восстановления), Disable (отключает создание точек восстановления на определенном разделе), Enable (включает создание точек восстановления на определенном разделе), Restore (восстанавливает систему с помощью определенной точки восстановления).
Вкладка Защита системы содержит список существующих разделов компьютера. Если напротив раздела установлен флажок, то службе Восстановление системы разрешено создавать точки восстановления данного раздела. Справа же от названия раздела отображается дата последнего создания точки восстановления.
Примечание
С помощью команды rundll32.exe SRCORE.dll SysprepGeneralize можно отключить службу Восстановление системы на всех дисках.
Кроме того, в операционной системе Windows Vista вкладка Защита системы также содержит две кнопки: Восстановление и Создать. С помощью первой из них можно вызвать мастер Восстановление системы. Вторая же кнопка создает точку восстановления. При этом перед вами отобразится окно Защита системы с просьбой указать описание точки восстановления. Следует заметить, что создание точки восстановления с помощью кнопки Создать основано на работе службы Планировщик заданий, поэтому для корректного создания точки восстановления данная служба должна быть запущена.
Примечание
С помощью команды rundll32.exe SRCORE.dll SysprepCleanup можно удалить все созданные точки восстановления.
Мастер Восстановление системы
Расположение: %systemroot%\system32\rstrui.ехе.
Мастер Восстановление системы, который представляет собой файл rstrui.exe, позволяет восстановить состояние компьютера на основе созданной ранее точки восстановления. Использование мастера не является сложным делом – он состоит всего лишь из одного шага, на котором нужно выбрать конкретную точку восстановления из списка созданных ранее точек.
После того как вы нажмете кнопку Готово, отобразится сообщение о том, что идет подготовка к восстановлению, после которой компьютер начнет перезагружаться. Если восстановление из точки отката прошло успешно, то при следующем входе в систему перед вами отобразится сообщение от службы Восстановление системы об этом.
Программа rstrui.ехе также поддерживает два параметра: /RUNONCE и /OFFLINE: <точка откатах Первый отображает сведения о дате последнего восстановления системы из точки восстановления. Второй же восстанавливает систему на основе точки восстановления.
Настройка службы Восстановление системы с помощью реестра
Служба Восстановление системы хранит параметры своей работы в двух ветвях системного реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SPP\Clients и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore.
Настройки создания точек восстановления
В первой из этих ветвей описываются параметры создания точки восстановления. Например, список всех разделов, для которых службе Восстановление системы разрешено создавать точки восстановления, содержится в параметре REGMULTISZ-типа {09F7EDC5-294E-4180-AF6A-FB0E6A0E9513}, расположенном в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SPP\Clients. Кроме того, в первой ветви реестра могут присутствовать следующие параметры REG_DWORD-типа.
• CreateTimeout – определяет интервал ожидания создания теневой копии (в миллисекундах) при создании новой точки восстановления. Если по истечении данного интервала теневая копия нужных файлов создана не будет, то создание точки восстановления будет завершено ошибкой.
• DisableOptimizedRPCreation – позволяет отключить выполнение оптимизации при создании точки восстановления.
Настройки службы Восстановление системы
В ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRestore содержатся параметры настройки службы Восстановление системы. Большинство из них имеют тип REG-DWORD.
• RPGlobalInterval – определяет интервал между созданиями точек восстановления в секундах (по умолчанию используется интервал в 24 часа).
• RPLifelnterval – указывает время хранения точек восстановления в секундах.
В подразделе cf g данной ветви реестра может присутствовать параметр REGDWORD-типа DiskPercent. Он определяет процент места на диске, который будет забирать под свои нужды служба Восстановление системы.
На работу службы Восстановление системы также влияют настройки создания теневых копий. Но о них мы поговорим далее в этой книге.
Инструмент командной строки архивации
Расположение: %systemroot%\system32\wbadmin.ехе.
Выполнить архивирование файлов можно и с помощью новой программы командной строки wbadmin.exe. Программа поддерживает следующие параметры:
• START BACKUP – backuptarget:<буква диска или UNC-имя общего ресурса, в который нужно выполнить архивирование> – include:<буквы дисков, содержимое которых нужно архивировать, написанные через запятую> – выполняет архивацию содержимого дисков, указанных в параметре – include, на диск или в общий каталог, указанный в параметре – backuptarget.
• STOP JOB – отменяет текущую операцию архивирования или восстановления системы.
• GET VERSIONS – backuptarget:<буква диска или UNC-имя общего ресурса> – отображает даты создания архивов (в формате MM/DD/YYYY-НН: ММ), расположенных на указанном в параметре – backuptarget диске или общем ресурсе.
• GET ITEMS – version <дата создания архива> – backuptarget:<буква диска или UNC-имя общего ресурса> – отображает содержимое архива, расположенного на указанном в параметре – backuptarget диске или общем ресурсе и имеющего указанную в параметре – version дату создания.
• GET STATUS – отображает статус выполнения текущей операции архивирования или восстановления.
Работа с теневыми копиями
Как было сказано выше, архивирование файлов основано на службе теневого копирования. Некоторые параметры работы службы теневого копирования можно также настроить с помощью специальных окон операционной системы.
Вкладка Предыдущие версии
В операционной системе Windows Vista окно Свойства любых файлов и папок содержит новую вкладку: Предыдущие версии. С ее помощью вы можете просмотреть список копий данных файлов или папок, созданных ранее с помощью службы теневого копирования. При этом с помощью той же вкладки можно открыть конкретную теневую копию файла или каталога (с помощью кнопки Открыть), создать новую теневую копию файла на основе существующей теневой копии (с помощью кнопки Копировать), а также восстановить содержимое файла или каталога на основе конкретной теневой копии (с помощью кнопки Восстановить).
Для примера попробуйте создать теневую копию раздела с помощью рассмотренной выше программы vssuirun.ехе. А после этого посмотрите на содержимое вкладки Предыдущие версии окна Свойства файла или каталога, расположенного на разделе, теневую копию которого вы только что создали.
Теневая копия всех каталогов определенного раздела также создается во время создания точки восстановления с помощью службы Восстановление системы.
Содержимое вкладки Предыдущие версии можно ограничить с помощью групповых политик. Для этого применяются политики файла PreviousVersions. admx, расположенные в подразделе Конфигурация пользователя Административные шаблоны Компоненты Windows Проводник Windows Предыдущие версии.
Политики данного подраздела изменяют значения параметров REGDWORD-типа, расположенных в ветви реестра HKEY_CURRENT_USER\Software\Policies\ Microsoft\PreviousVersions.
• DisableBackupRestore – если значение данного параметра равно 1, то восстановление файла из резервной копии будет запрещено.
• DisableLocalPage – при установке значения этого параметра равным 1 вкладка Предыдущие версии не будет отображаться в окне Свойства для файлов и папок, расположенных на локальном компьютере.
• DisableLocalRestore – если значение данного параметра равно 1, то восстановление файла с помощью копий, расположенных на локальном диске компьютера, будет запрещено.
• DisableRemotePage – при установке значения этого параметра равным 1 вкладка Предыдущие версии не будет отображаться в окне Свойства для файлов и папок, расположенных в общих каталогах.
• DisableRemoteRestore – если значение данного параметра равно 1, то восстановление файла с помощью копий, расположенных в общих каталогах, будет запрещено.
• HideBackupEntries – при установке значения этого параметра равным 1 восстановление файла из копий, хранящихся на архивных носителях, будет запрещено. По умолчанию восстанавливать файлы можно как из теневых копий, расположенных на диске, так и из копий, хранящихся на архивных носителях.
Работа с WMI
Работать с теневыми копиями и просматривать параметры работы провайдера теневого копирования можно также с помощью инструментария управления Windows. Для этого в пространство имен \\root\cimv2 были добавлены новые классы: Win32_ShadowProvider, Win32_ShadowCopy, Win32_ShadowStorage, Win32 ShadowContext.
Класс Win32_ShadowProvider
Данный класс содержит описание провайдеров теневого копирования. Он включает в себя следующие свойства.
• Caption, тип: string – определяет короткое описание провайдера (не более 64 символов).
• CLSID, тип: string – указывает CLSID-номер СОМ-класса провайдера теневого копирования.
• Description, тип: string – определяет описание провайдера.
• ID, тип: string – является ключевым. Определяет уникальный идентификатор провайдера теневого копирования.
• InstallDate, тип: datetime – указывает дату установки провайдера.
• Name, тип: string – определяет имя провайдера теневого копирования.
• Status, тип: string – указывает статус работы провайдера теневого копирования. Например, возможны следующие значения данного свойства: OK, Error, Degraded, Unknown, Pred Fail, Starting, Stopping, Service, NonRecover, No Contact, Lost Coram.
• Type, тип: uint32 – определяет тип провайдера теневого копирования. Например, провайдер может иметь следующий тип: «неизвестно», «системный», «программное обеспечение», «оборудование».
• Version, тип: string – указывает версию провайдера.
• VersionID, тип: string – определяет идентификатор версии провайдера.
Класс Win32_ShadowCopy
Экземпляры данного класса определяют теневые копии файлов. Класс содержит следующие свойства.
• Caption, тип: string – определяет короткое описание теневой копии (не больше 64 символов).
• ClientAccessible, тип: boolean – указывает, была ли данная теневая копия создана с помощью компонента Windows Предыдущие версии.