Для создания и управления теневыми копиями на ПК пользователей нам понадобится утилита vshadow.exe из комплекта Windows SDK.
Computer Configuration –> Preferences –> Windows Settings -> Files создадим новую политику, копирующую файл vshadow.exe из каталога \\domain.loc\SYSVOL\domain.loc\scripts\ (файл должен быть скопирован сюда предварительно) в каталог %windir%\system32\vshadow.exe (нужно указывать имя файла в destination) . Эту политику можно настроить, чтобы она отработала только один раз (Apply once and do not reapply).
С помощью GPP скопируем файл vshadow.exe в каталог %windir%\system32 на все компьютеры
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| $HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3" | |
| foreach ($HDD in $HDDs) { | |
| $Drive = $HDD.DeviceID | |
| $vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%" | |
| $vsscreatess = "vshadow.exe -p $Drive" | |
| cmd /c $vssadminEnable | |
| cmd /c $vsscreatess | |
| } |
Задание планировщика по созданию VSS-снимков.
Для этого в разделе Computer Configuration -> Preferences -> Scheduled Tasks создадим новое задание планировщика (New-> Scheduled Task (at least Windows 7) с именем: create vssnapshot, которое запускается от имени NT AUTHORITY\System с повышенными правами.
Допустим, задание должно запускаться каждый день в обед в 13:20 (здесь нужно самостоятельно продумать необходимую частоту создания снимков).
Запускаемый скрипт: %windir%\System32\WindowsPowerShell\v1.0\powershell.exe
с аргументом %windir%\system32\vss-script.ps1
Восстановление исходных данных из теневой копии тома
Список всех доступных снимком можно вывести командой:
vssadmin.exe list shadows
В нашем примере последний снимок сделан 10/6/2016 1:33:35 AM и имеет Shadow Copy ID = {6bd666ac-4b42-4734-8fdd-fab64925c66c}.
Смонтируем снапшот на чтение в виде отдельного драйва системы по его ID:
vshadow -el={6bd666ac-4b42-4734-8fdd-fab64925c66c},Z:
Чтобы отмонтировать диск со снимком:
mountvol Z:\ /D
http://winitpro.ru/index.php/2016/10/06/vosstanovlenie-fajlov-posle-zarazheniya-shifrovalshhikom-iz-snimkov-vss/
http://woshub.com/recovering-files-from-vss-snapshot-after-ransomware-infection/
Комментариев нет:
Отправить комментарий