Как восстановить защиту системы.

Механизм защиты системы позволяет выполнить откат Windows на состояние, зафиксированное точкой восстановления (Restore Point). Это очень полезный механизм, позволяющий запросто восстановить работоспособное состояние системы на момент выбранной точки восстановления, представляющей из себя полную копию логического диска на момент ее создания. Такая копия выполняется механизмом защиты Windows без прерывания работы системы и называется теневой копией . Более подробно о теневых копиях и работе с ними найдете в статье Восстановление данных с использованием теневых копий томов.

Фактически, точки восстановления – это снимки (snapshot) файловой системы, т.е. ее полные копии, созданные автоматически или вручную и хранящиеся в скрытом системном каталоге System Volume Information. Снимки создаются в фоновом режиме, без каких либо действий со стороны пользователя и незаметно для него, при существенных изменениях операционной системы, или периодически - заданиями планировщика. Кроме того, снимок системы можно создать в ручном режиме, с использованием средства создания точек восстановления для дисков с включенной защитой. Например, в Windows 10/11 - Параметры - Система - О системе - Сведения о системе - Защита системы. Или запустить от имени администратора приложение systempropertiesprotection.exe



Создание точки восстановления системы


Для восстановления системы используется кнопка Восстановить. Кроме того, можно запустить средство восстановления системы командой rstrui.exe от имени Администратора.

Ядром технологии защиты является системная служба Теневое копирование ( короткое имя – VSS) и некоторые специализированные драйверы, обеспечивающие операции создания снимков томов и восстановление данных из снимков. Для управления теневым копированием применяется специальная утилита командной строки - vssadmin.exe. Для работы нужен запуск командной строки от имени Администратора. Примеры диагностики:

sc query vss - проверить состояние службы теневого копирования VSS

Отображаемая информация:

SERVICE_NAME: vss
TYPE : 10 WIN32_OWN_PROCESS
STATE : 1 STOPPED
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

В данном примере состояние (STATE) имеет значение ”Остановлена” (STOPPED). Защита системы не работает, однако это может означать, что служба временно остановлена из-за простоя, и при необходимости она может быть запущена и перейдет в состояние ”Работает” (RUNNING) . Если же попытка ее запуска завершится ошибкой – нужно разбираться с ее причинами. Как правило, для этого достаточно проверить и восстановить целостность файловой системы:

chkdsk C: /F - проверить логический диск C: с исправлением ошибок. В случае, когда проверяется системный диск, требуется перезагрузка.

sfc /scannow - Проверить целостность защищенных системных файлов и заменить неправильные версии правильными.

dism /Online /Cleanup-Image /Restorehealth - Проверить системные файлы текущей Windows и восстановить поврежденные.

Проверить наличие компонентов защиты и их параметры можно с помощью утилиты vssadmin.exe:

vssadmin list providers - получить список поставщиков теневого копирования.

Отображаются сведения о поставщике (Provider) службы теневого копирования:

Имя поставщика: "Microsoft Software Shadow Copy provider 1.0"
Тип поставщика: Системный
Id поставщика: {b5946137 - 7b9f- 4925- af80 - 51abd60b20d5}
Версия: 1.0.0.7

vssadmin list writers - отобразить список компонентов записи, обеспечивающих создание теневой копии.

Компоненты записи обеспечивают копирование тома на фоне работы системы. По каждому из них отображается текущее состояние:

Имя компонента записи: "System Writer"
Id компонента записи: {e8132975-6f93-4464-a53e-1050253ae220}
Id экземпляра компонента записи: {a0e85aed- 10d7-46a0 -8adc- 1f1c028fdee4}
Состояние: [1] Стабильный
Последняя ошибка: Нет ошибок

В тех случаях, когда нарушена работа компонентов защиты системы, обязательно будут присутствовать записи об ошибках в системных журналах Windows. Как правило, для восстановления компонентов достаточно использования chkdsk, sfc и dism, как это описывалось выше, и проверить (восстановить) их регистрацию с помощью утилиты regsvr32.exe:

Однако бывают случаи, когда компоненты защиты полностью работоспособны, в системных журналах нет никаких ошибок, но система защиты в целом – не работает. При попытке открыть компонент ”Защита системы” отображается сообщение об ошибке 0x81000203 на странице свойств:

Произошла ошибка программы восстановления системы.
Попробуйте повторно запустить программу
восстановления. ( 0x81000203 )
Закройте страницу свойств и повторите попытку.



Ошибка компонента Защита системы.



Рекомендованные действия не дают никакого эффекта и сопровождаются дополнительным сообщением об ошибке программы восстановления:

Ошибка программы восстановления системы.

Ни посмотреть состояние, ни настроить систему защиты невозможно. При чем, даже при наличии подобных сообщений, в системных журналах Windows никакой информации об ошибках нет.

Обычно, причиной подобной ситуации является установка и удаление программ резервного копирования / восстановления, работающих во взаимодействии с системным драйвером логического тома Volume. Взаимодействие между драйверами осуществляется с помощью верхних и нижних фильтров (LowerFilters и UpperFilters). Верхние драйверы фильтров располагаются между операционной системой и основным драйвером Volume, а нижние драйверы фильтров располагаются между основным драйвером Volume и оборудованием. Каждый из драйверов фильтров должен находиться в C:\Windows\System32\Drivers и иметь расширение .sys . Довольно часто фильтры используются для расширения функционала стандартного драйвера, например, программами резервного копирования и восстановления, антивирусными комплексами и т.п.

Так выглядят записи в реестре для класса драйвера Volume после установки программного пакета Acronis True Image Home:

Upperfilters класса драйвера тома Volume.

Класс драйвера Volume {71a27cdd - 812a - 11d0 - bec7 - 08002be2092f} имеет в наличии 2 верхних фильтра - volsnap используемый защитой Windows для создания снимков томов и fltsrv, используемый программным обеспечением Acronis для создания резервных копий томов при работающей операционной системе. При удалении ПО Acronis, деинсталлятор должен удалить свои файлы и свой фильтр fltsrv, оставив нетронутым фильтр volsnap . Если же по какой-либо причине этого не произойдет, то возможны следующие варианты:

- Запись в реестре осталась без изменения, а файл драйвера fltsrv.sys был удален деинсталлятором. Самый неприятный случай – система завершает работу с критической ошибкой Stop 7B Inacsessible boot device . Для восстановления ее работоспособности потребуется правка реестра незагружающейся Windows с использованием, например, редактора в среде Windows PE или временное восстановление файла драйвера fltsrv.sys с последующей загрузкой и правкой Upperfilters.

- В реестре осталась только запись о фильтре volsnap. Наличие или отсутствие файла драйвера fltsrv.sys значения не имеет. Система защиты работает, точки восстановления создаются и файлы восстанавливаются.

- В реестре нет ключа UpperFilters или в ключе отсутствует запись о фильтре volsnap. В этом случае защита системы неработоспособна и мы видим ошибки программы восстановления, описанные выше. Для решения проблемы надо восстановить UpperFilters, обращая внимание на тип данных – мультистрока REG_MULTI_SZ

В заключение добавлю, что в случае ошибки с кодом 0x81000203 имеет смысл начинать восстановление работоспособности защиты системы с проверки верхнего фильтра драйвера volume







В начало страницы     |     В раздел коротких инструкций (HowTo)



Рейтинг@Mail.ru