Как восстановить защиту системы.Механизм защиты системы позволяет выполнить откат Windows на состояние, зафиксированное точкой восстановления (Restore Point). Это очень полезный механизм, позволяющий запросто восстановить работоспособное состояние системы на момент выбранной точки восстановления, представляющей из себя полную копию логического диска на момент ее создания. Такая копия выполняется механизмом защиты Windows без прерывания работы системы и называется теневой копией . Более подробно о теневых копиях и работе с ними найдете в статье Восстановление данных с использованием теневых копий томов.
Фактически, точки восстановления – это снимки (snapshot) файловой системы, т.е. ее полные копии, созданные автоматически или вручную и хранящиеся в скрытом системном каталоге System Volume Information. Снимки создаются в фоновом режиме, без каких либо действий со стороны пользователя и незаметно для него, при существенных изменениях операционной системы, или периодически - заданиями планировщика. Кроме того, снимок системы можно создать в ручном режиме, с использованием средства создания точек восстановления для дисков с включенной защитой. Например, в Windows 10/11 - Параметры - Система - О системе - Сведения о системе - Защита системы. Или запустить от имени
администратора приложение systempropertiesprotection.exe Для восстановления системы используется кнопка Восстановить. Кроме того, можно запустить средство восстановления системы командой rstrui.exe от имени Администратора.
Ядром технологии защиты является системная служба Теневое копирование ( короткое имя – VSS) и некоторые специализированные драйверы, обеспечивающие операции создания снимков томов и восстановление данных из снимков. Для управления теневым копированием применяется специальная утилита командной строки - vssadmin.exe. Для работы нужен запуск командной строки от имени Администратора. Примеры диагностики:
Проверить наличие компонентов защиты и их параметры можно с помощью утилиты vssadmin.exe: Рекомендованные действия не дают никакого эффекта и сопровождаются дополнительным сообщением об ошибке программы восстановления: Обычно, причиной подобной ситуации является установка и удаление программ резервного копирования / восстановления, работающих во взаимодействии с системным драйвером логического тома Volume. Взаимодействие между драйверами осуществляется с помощью верхних и нижних фильтров (LowerFilters и UpperFilters). Верхние драйверы фильтров располагаются между операционной системой и основным драйвером Volume, а нижние драйверы фильтров располагаются между основным драйвером Volume и оборудованием. Каждый из драйверов фильтров должен находиться в C:\Windows\System32\Drivers и иметь расширение .sys . Довольно часто фильтры используются для расширения функционала стандартного драйвера, например, программами резервного копирования и восстановления, антивирусными комплексами и т.п. - Запись в реестре осталась без изменения, а файл драйвера fltsrv.sys был удален деинсталлятором. Самый неприятный случай – система завершает работу с критической ошибкой Stop 7B Inacsessible boot device . Для восстановления ее работоспособности потребуется правка реестра незагружающейся Windows с использованием, например, редактора в среде Windows PE или временное восстановление файла драйвера fltsrv.sys с последующей загрузкой и правкой Upperfilters. - В реестре осталась только запись о фильтре volsnap. Наличие или отсутствие файла драйвера fltsrv.sys значения не имеет. Система защиты работает, точки восстановления создаются и файлы восстанавливаются. - В реестре нет ключа UpperFilters или в ключе отсутствует запись о фильтре volsnap. В этом случае защита системы неработоспособна и мы видим ошибки программы восстановления, описанные выше. Для решения проблемы надо восстановить UpperFilters, обращая внимание на тип данных – мультистрока REG_MULTI_SZ В заключение добавлю, что в случае ошибки с кодом 0x81000203 имеет смысл начинать восстановление работоспособности защиты системы с проверки верхнего фильтра драйвера volume |