Для создания и управления теневыми копиями на ПК пользователей нам понадобится утилита vshadow.exe из комплекта Windows SDK.
Computer Configuration –> Preferences –> Windows Settings -> Files создадим новую политику, копирующую файл vshadow.exe из каталога \\domain.loc\SYSVOL\domain.loc\scripts\ (файл должен быть скопирован сюда предварительно) в каталог %windir%\system32\vshadow.exe (нужно указывать имя файла в destination) . Эту политику можно настроить, чтобы она отработала только один раз (Apply once and do not reapply).
С помощью GPP скопируем файл vshadow.exe в каталог %windir%\system32 на все компьютеры
Этот скрипт сохраним в файл vss-script.ps1 и также скопируем на компьютеры пользователей через GPO.
Задание планировщика по созданию VSS-снимков.
Для этого в разделе Computer Configuration -> Preferences -> Scheduled Tasks создадим новое задание планировщика (New-> Scheduled Task (at least Windows 7) с именем: create vssnapshot, которое запускается от имени NT AUTHORITY\System с повышенными правами.
Допустим, задание должно запускаться каждый день в обед в 13:20 (здесь нужно самостоятельно продумать необходимую частоту создания снимков).
Запускаемый скрипт: %windir%\System32\WindowsPowerShell\v1.0\powershell.exe
с аргументом %windir%\system32\vss-script.ps1
Восстановление исходных данных из теневой копии тома
Список всех доступных снимком можно вывести командой:
vssadmin.exe list shadows
В нашем примере последний снимок сделан 10/6/2016 1:33:35 AM и имеет Shadow Copy ID = {6bd666ac-4b42-4734-8fdd-fab64925c66c}.
Смонтируем снапшот на чтение в виде отдельного драйва системы по его ID:
vshadow -el={6bd666ac-4b42-4734-8fdd-fab64925c66c},Z:
Чтобы отмонтировать диск со снимком:
mountvol Z:\ /D
http://winitpro.ru/index.php/2016/10/06/vosstanovlenie-fajlov-posle-zarazheniya-shifrovalshhikom-iz-snimkov-vss/
http://woshub.com/recovering-files-from-vss-snapshot-after-ransomware-infection/
Комментариев нет:
Отправить комментарий