EN RU

Организация инкрементального бэкапа Windows 10/11 → Windows 10/11) с защитой от удалённого удаления

От /

Ключевая цель: настроить еженедельный инкрементный бэкап с ПК Windows 10 (192.168.1.50) на ПК Windows 11 (192.168.2.100) по пятницам в 23:00, так чтобы удаление резервных копий с других машин (включая 192.168.1.50) было недоступно.
Разрешённые средства: только бесплатные решения — встроенные возможности Windows, WSL + rsync, FreeFileSync / Duplicati / Cobian / Veeam Agent Free / UrBackup и Gigabyte Smart Backup.

Оглавление
  1. 1. Введение
  2. 2. Универсальная подготовка инфраструктуры (для всех методов)
  3. 3. Раздел для обычного пользователя
  4. 4. Раздел для разработчика
  5. 5. Раздел для системного администратора
  6. 6. Gigabyte Smart Backup (Smart Recovery 2): оценка и настройка
  7. 7. Сводные пошаговые сценарии (чек‑листы)
  8. 8. Приложения: скрипты, шаблоны прав, контрольные листы
  9. 9. Глоссарий (термины со сносками)
  10. Приложение: Быстрое сравнение методов

1. Введение

1.1. Исходные данные. Бэкапим папку C:\work_files (~1 ТБ документов/фото/видео) с Windows 10 (192.168.1.50) на Windows 11 (192.168.2.100). Требуется инкрементное резервное копирование[^1] и расписание каждую пятницу в 23:00.

1.2. Ключевое требование безопасности. Резервные копии на 192.168.2.100 не должны быть удаляемы удалённо (через сеть) ни с исходной машины, ни с каких-либо других. Это достигается архитектурой pull (инициатор — целевая машина) и/или жёсткими NTFS/SMB‑правами (см. §2.4–2.6).

1.3. Карточка методов (будут раскрыты главами):

  • Встроенные средства Windows: История файлов[^4], Windows Backup (Backup and Restore (Win7))[^6], robocopy[^10] + Планировщик[^11].
  • WSL[^15] + rsync[^16] (инкрементные снапшоты с hardlink‑ами).
  • Бесплатное ПО: FreeFileSync (режим Update[^9] / Versioning), Duplicati, Cobian, Veeam Agent Free, UrBackup.
  • Gigabyte Smart Backup (Smart Recovery 2) — отдельная оценка.

1.4. Рекомендация по умолчанию (сбалансированная):
Pull‑бэкап на 192.168.2.100 через WSL+rsync с датированными снапшотами и ротацией (см. [§4.4], [§7.1]) либо pull‑бэкап robocopy (см. [§5.3], [§7.2]). В обоих случаях папка бэкапов не публикуется по сети, что технически исключает удаление “снаружи”.

2. Универсальная подготовка инфраструктуры (для всех методов)

Этот раздел обязателен перед выбором конкретного метода. Он обеспечивает единые базовые настройки безопасности, сети и прав.

2.1. Структура дисков и место под бэкапы (Windows 11)

2.1.1. Выделенный том/диск под бэкапы (рекомендуется), формат NTFS[^12].
2.1.2. Создайте корень, например: D:\Backups\work_files.
2.1.3. (Опционально) включите BitLocker для тома с бэкапами.
2.1.4. (Опционально) включите Теневые копии тома (VSS)[^8] на D: для дополнительной многоверсионности.

2.2. Учетные записи и сегрегация прав

2.2.1. На 192.168.2.100 создайте локальную сервисную учётку (например, svc_backup).
2.2.2. Никогда не используйте общие админ‑учётки для задач бэкапа. Принцип наименьших привилегий.

2.3. NTFS‑права (ядро защиты от удалённого удаления)

Цель: сервисная учётка, выполняющая бэкап, может читать/писать (создавать, перезаписывать), но не может удалять существующие файлы и подпапки.

2.3.1. На D:\Backups\work_files откройте Свойства → Безопасность → Дополнительно.
2.3.2. Отключите наследование (“Отключить наследование”) и скопируйте текущие ACE.
2.3.3. Удалите всех, кроме локальных Администраторов и SYSTEM (оба — Полный доступ).
2.3.4. Добавьте svc_backup с правами:

  • Базово “Изменение” (Modify), но в “Дополнительно” снимите галочки Delete и Delete subfolders and files (либо добавьте Явный запрет на эти два права, что надёжнее).
  • Применение: к этой папке, подпапкам и файлам.

Эквивалент через icacls:

:: Снять наследование и скопировать ACE
icacls "D:\Backups\work_files" /inheritance:d
:: Выдать полный доступ локальным администраторам и SYSTEM
icacls "D:\Backups\work_files" /grant:r "BUILTIN\Administrators:(OI)(CI)(F)" "NT AUTHORITY\SYSTEM:(OI)(CI)(F)"
:: Выдать svc_backup «Modify»
icacls "D:\Backups\work_files" /grant "COMPUTERNAME\svc_backup:(OI)(CI)(M)"
:: Запретить удаление и удаление дочерних
icacls "D:\Backups\work_files" /deny  "COMPUTERNAME\svc_backup:(D,DC)"

(D — Delete, DC — Delete Child)

2.4. Публикация по сети: не публикуем хранилище бэкапов

Строго рекомендуется: папку D:\Backups\work_files не шарить по SMB[^7] вообще. Тогда никакая удалённая команда не сможет удалить резервные файлы.

Если в отдельных методах требуется “push” с источника — публикуйте временную точку входа в другой корень, а затем локальным процессом перемещайте данные внутрь защищённого каталога (см. [§5.3.2]).

2.5. Сеть и межсетевые экраны

2.5.1. Подсети: 192.168.1.0/24 (Win10) и 192.168.2.0/24 (Win11). Убедитесь, что есть маршрутизация между подсетями (роутер).
2.5.2. Для pull‑сценариев: на 192.168.1.50 разрешите входящий SMB (Панель управления → Брандмауэр → Разрешение взаимодействия для “Общий доступ к файлам и принтерам”) только из подсети 192.168.2.0/24 (по возможности, через профиль “Частная сеть”).
2.5.3. На 192.168.2.100 входящий SMB не требуется. Отключите лишние службы.

2.6. Расписание

Еженедельно, пятница 23:00. Создавайте задачи в Планировщике заданий[^11] на целевой машине (pull) или на источнике (push — менее желателен). Учитывайте время первого полного копирования 1 ТБ (5–8 ч по гигабитной сети).

3. Раздел для обычного пользователя

Этот блок — с максимально простыми пошаговыми инструкциями, минимум терминов.
Оглавление раздела:

3.1. Вариант A — История файлов Windows[^4]
3.2. Вариант B — FreeFileSync (режим Update[^9])
3.3. Вариант C — Cobian Backup (простая схема)
3.4. Как восстановить файлы
3.5. Проверки и советы

3.1. Вариант A — История файлов Windows (просто и наглядно)

Подходит, если ок — ежедневные автоматические копии (точно задать “пятница 23:00” невозможно). Если критично именно пятница 23:00 — см. Варианты B/C.

3.1.1. На 192.168.2.100 подготовьте сетевую папку только для Истории файлов (например, \\192.168.2.100\FH), но не ту, где будет серьёзный основной бэкап.
3.1.2. На 192.168.1.50: Панель управления → История файлов → Выбрать диск → Добавить сетевое расположение. Укажите \\192.168.2.100\FH и введите учётные данные.
3.1.3. Нажмите Включить.
3.1.4. Добавьте папку C:\work_files в список резервируемых (Дополнительные параметры → Добавить папку).
3.1.5. Частоту поставьте Ежедневно (или чаще). Первую полную копию лучше запустить вручную кнопкой “Создать копию”.
3.1.6. Для восстановления откройте нужную папку в Проводнике и нажмите История.

Важно: История файлов — удобный дополнительный слой. Для строгого требования “неудаляемости из сети” используйте основной бэкап из [§7.1] или [§7.2].

3.2. Вариант B — FreeFileSync: одностороннее обновление (Update)

3.2.1. Установите FreeFileSync (бесплатно).
3.2.2. Слева задайте C:\work_files, справа — путь назначения (например, локальная папка D:\Backups\work_files\mirror).
3.2.3. Режим синхронизации — Update (только добавляет/обновляет, не удаляет[^9]).
3.2.4. Нажмите Сравнить → Синхронизировать.
3.2.5. Сохраните задание как Batch и добавьте его в Планировщик заданий на 192.168.2.100 (см. подсказки в интерфейсе) на пятницу 23:00.

Примечание: лучший вариант — pull: запускайте FreeFileSync на 192.168.2.100, а доступ к C:\work_files открывайте по сети только на чтение (см. [§5.3.1]). Так исходник не сможет удалить резервные копии.

3.3. Вариант C — Cobian Backup (простой мастер)

3.3.1. Установите Cobian Backup / Cobian Reflector (бесплатно).
3.3.2. Создайте задачу: Источник — C:\work_files. Назначение — локальный путь на 192.168.2.100 (D:\Backups\work_files\weekly).
3.3.3. Тип — Incremental (раз в месяц — Full, еженедельно — Incremental).
3.3.4. Расписание — пятница 23:00.
3.3.5. Сервис запуска — под svc_backup.
3.3.6. Проверяйте логи, делайте пробное восстановление.

3.4. Как восстановить файлы

  • История файлов: открыть нужную папку → История → выбрать дату/файл → Восстановить.
  • FreeFileSync/Cobian: файлы лежат “как есть” — скопируйте обратно в C:\work_files (или используйте встроенные мастера восстановления, если есть).

3.5. Проверки и советы

  • Ежемесячно проверяйте: размер бэкапа растёт, свежая дата в отчёте, пробное восстановление 1–2 файлов.
  • Не держите папку бэкапов постоянно открытой по сети с источника. Чем меньше “видимость” — тем безопаснее.
  • Раз в квартал делайте офлайн‑копию (см. [§5.8]).

4. Раздел для разработчика

Для тех, кому близки скрипты/CLI, нужна гибкость и воспроизводимость.
Оглавление раздела:

4.1. Robocopy + Планировщик: push/pull‑скрипты[^10][^11]
4.2. PowerShell + VSS: копирование “с теневой копии”[^8]
4.3. WSL + rsync: инкрементные снапшоты с --link-dest[^15][^16]
4.4. Duplicati (CLI/API): шифрование, версии
4.5. Логи, уведомления и idempotency

4.1. Robocopy + Планировщик (push/pull)

Pull‑подход (рекомендуется): запуск на 192.168.2.100, чтение \\192.168.1.50\work_ro, запись в локальный D:\Backups\work_files.

Пример backup_workfiles.cmd (pull, без удалений):

@echo off
set SRC=\\192.168.1.50\work_ro
set DST=D:\Backups\work_files\mirror
:: Только новые/измененные, без удаления на приёмнике:
robocopy "%SRC%" "%DST%" /E /XO /COPY:DAT /R:2 /W:5 /FFT /LOG+:D:\Backups\logs\work_robo.log /NP
  • /E — с подкаталогами; /XO — исключать более старые в источнике (копировать новые/изменённые); без /MIR и без удаления.
  • /COPY:DAT достаточно для пользовательских файлов; при необходимости добавьте атрибуты/ACL (/COPYALL), но помните о правах назначения.

Планировщик (на 192.168.2.100):

schtasks /create /sc weekly /d FRI /st 23:00 ^
  /tn "Backup_WorkFiles_Robocopy" ^
  /tr "C:\Scripts\backup_workfiles.cmd" ^
  /ru "COMPUTERNAME\svc_backup" /rp "Пароль"

Push‑подход нежелателен; если используете — публикуйте буферную шару на 192.168.2.100, а затем локальным процессом перемещайте в защищённый каталог (см. [§5.3.2]).

4.2. PowerShell + VSS (копирование с тени)

Для копирования открытых файлов и/или “замороженного” состояния:

  1. Создать shadow‑копию:
$vol = "C:\"
$shadow = (Get-WmiObject Win32_ShadowCopy -List).Create($vol, "ClientAccessible")
$shadowID = ($shadow.ShadowID)
$shadowPath = (Get-WmiObject Win32_ShadowCopy | ? {$_.ID -eq $shadowID}).DeviceObject
  1. Смонтировать как букву (через subst или mklink), затем robocopy из тени:
    robocopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyX\work_files D:\Backups\work_files\mirror /E /XO ...
  2. Удалить тень после копирования.

Для стабильности используйте проверенные модули/обёртки (ShadowCopy module) и обработку ошибок/лога.

4.3. WSL + rsync: инкрементные снапшоты (--link-dest)

Идея: на 192.168.2.100 под WSL[^15] (например, Ubuntu) монтируем SMB‑шару источника только на чтение, а в локальном D:\Backups\work_files\snapshots\YYYY‑MM‑DD создаём “снимки” с жёсткими ссылками на неизменённые файлы. Это даёт настоящие инкрементные “версии” без дубликатов данных.

  1. Установите WSL и дистрибутив:
wsl --install -d Ubuntu
  1. Создайте каталог монтирования и целевой каталог (в WSL):
sudo mkdir -p /mnt/src
sudo mkdir -p /mnt/backup/snapshots
  1. Смонтируйте SMB‑ресурс источника 192.168.1.50 (предварительно расшарьте C:\work_files как read‑only — см. [§5.3.1]):
sudo mount -t cifs //192.168.1.50/work_ro /mnt/src \
  -o username=work_ro_user,vers=3.0,ro,uid=1000,gid=1000,iocharset=utf8,file_mode=0444,dir_mode=0555
  1. Примонтируйте NTFS‑путь назначения в WSL (WSL видит D:\ как /mnt/d):
# Бэкап‑каталоги на NTFS
sudo mkdir -p /mnt/d/Backups/work_files/snapshots
  1. Скрипт /usr/local/bin/backup_workfiles.sh:
#!/usr/bin/env bash
set -euo pipefail

SRC="/mnt/src"
DST="/mnt/d/Backups/work_files/snapshots"
DATE="$(date +%F)"
CUR="$DST/$DATE"
LAST="$(ls -1 $DST | grep -E '^[0-9]{4}-[0-9]{2}-[0-9]{2}$' | tail -n 1 || true)"

mkdir -p "$CUR"

RS_OPTS="-aH --no-perms --no-owner --no-group --info=progress2 --partial"

if [ -n "$LAST" ] && [ -d "$DST/$LAST" ]; then
  rsync $RS_OPTS --link-dest="$DST/$LAST" "$SRC"/ "$CUR"/
else
  rsync $RS_OPTS "$SRC"/ "$CUR"/
fi

# Обновляем "последний" ярлык (опционально)
ln -sfn "$CUR" "$DST/latest"

# РОТАЦИЯ: хранить 8 недель (56 дней)
find "$DST" -maxdepth 1 -type d -regextype posix-extended \
  -regex ".*/[0-9]{4}-[0-9]{2}-[0-9]{2}" -mtime +56 -print0 | xargs -0 -r rm -rf

echo "Backup OK: $CUR"
sudo chmod +x /usr/local/bin/backup_workfiles.sh
  1. Планировщик задания (в Windows):
schtasks /create /sc weekly /d FRI /st 23:00 ^
  /tn "Backup_WorkFiles_rsync" ^
  /tr "wsl.exe -d Ubuntu -e bash -lc '/usr/local/bin/backup_workfiles.sh'" ^
  /ru "COMPUTERNAME\svc_backup" /rp "Пароль"

Почему это отлично соответствует требованиям:
Pull: инициатор — 192.168.2.100;
— Назначение — локально (не расшарено) ⇒ удалить извне нельзя;
Инкрементные версии без дубликатов (hardlink‑снапшоты);
— Ротация контролируема в скрипте.

4.4. Duplicati (CLI/API)

  • Создайте задачу “Local folder or drive” → источником \\192.168.1.50\work_ro, назначением D:\Backups\work_files\duplicati.
  • Включите шифрование (пароль храните в менеджере секретов), инкремент и ретеншн (например, 8 недель).
  • Управляйте через duplicati-cli в Планировщике.
  • Плюс: сжатие, шифрование, проверка целостности. Минус: проприетарный формат блоков, восстановление — через Duplicati.

4.5. Логи и уведомления

  • Robocopy: /LOG+:path.log и анализ кодов завершения (ERRORLEVEL).
  • PowerShell/rsync: перенаправляйте stdout/stderr в файлы, интегрируйте почтовые уведомления.
  • Делайте idempotent сценарии: повторный запуск не должен вредить.

5. Раздел для системного администратора

Уровень enterprise: политика доступа, архитектуры pull/push, сравнение средств, мониторинг/ретеншн/DR.
Оглавление раздела:

5.1. Политика доступа (NTFS[^12]/ACL[^13]/Share[^14])
5.2. “Неудаляемость” из сети — принципы
5.3. Архитектура pull на 192.168.2.100 (рекомендуется)
5.4. Windows Backup (wbadmin[^19])
5.5. Veeam Agent Free / UrBackup / FreeFileSync headless
5.6. Ротация, ретеншн, офлайн‑копия (WORM[^20])
5.7. Мониторинг, оповещения, тест‑восстановление (DR)
5.8. Частые ошибки и как их исключить

5.1. Политика доступа

  • Назначение (Win11): D:\Backups\work_files без публикации по SMB. NTFS: svc_backupModify минус Delete/DC (см. [§2.3]).
  • Источник (Win10): расшарьте C:\work_files как read‑only (share: Read; NTFS: Read). Создайте work_ro_user.
  • Push‑буфер (если нужен): публикуйте временную шару \\192.168.2.100\inbox с правами записи (Modify), затем локальный агент перемещает в D:\Backups\work_files (под svc_backup). Inbox — на ином каталоге, не в целевой папке бэкапов.

5.2. “Неудаляемость” из сети

  • Главное правило: бэкапы недоступны по сети (нет SMB‑шары) ⇒ физически нечего удалять снаружи.
  • Если по технологии нужно сетевое назначение — используйте NTFS Deny Delete/DC + share только Change (без Full Control), тщательно тестируйте перезапись (некоторые инструменты используют “замену через удаление”).
  • Для Ransomware[^2]: ограничьте учётные данные (временные токены, не храните админские пароли в задачах), применяйте разделение ролей.

5.3. Архитектура pull (рекомендуется)

5.3.1. Настройка источника (Win10)

  • Создайте локального work_ro_user.
  • NTFS на C:\work_files: Read & Execute для work_ro_user.
  • Share work_ro: только Read для work_ro_user.
  • Брандмауэр: разрешить SMB (только приватная сеть), при возможности — правило на исходные IP 192.168.2.100.

5.3.2. Настройка приёмника (Win11)

  • NTFS и svc_backup — как в [§2.3].
  • WSL+rsync ([§4.3]) или robocopy ([§4.1]) с планом на пятницу 23:00.
  • Никаких открытых SMB на D:\Backups\work_files.

5.4. Windows Backup (wbadmin)

  • GUI: Панель управления → Backup and Restore (Windows 7). Выбрать Back up: добавить папку \\192.168.1.50\work_ro (через сетевой путь) или локально смонтированный путь, назначение — локальная папка D:\Backups\work_files\wb. Расписание — пятница 23:00.
  • CLI (пример на файлы/папки):
wbadmin start backup -backuptarget:D: -include:\\192.168.1.50\work_ro -quiet
  • Плюс: блок‑уровневый инкремент, проверка, восстановление через мастер. Минус: формат наборов, ретеншн менее гибкий, зависит от политики очистки.

5.5. Бесплатные решения уровня admin

  • Veeam Agent Free: файловые/образные бэкапы, VSS, инкремент, проверка целостности. Задание: пятница 23:00, источник — \\192.168.1.50\work_ro, назначение — D:\Backups\work_files\veeam.
  • UrBackup: сервер на 192.168.2.100, клиент на 192.168.1.50 (или агентless pull); дедуплицированные инкрементные версии, веб‑GUI, политики хранения.
  • FreeFileSync (Headless): батч‑профиль в режиме Update или Versioning, запуск через Планировщик (сервисная учётка).

5.6. Ротация, ретеншн, офлайн‑копия

  • Ретеншн: минимум 8 недель (2 месяца) для еженедельных бэкапов.
  • Офлайн/WORM: раз в месяц полный архив на внешний диск, затем отключить и убрать в сейф[^20].
  • Проверка:
  • периодический scrub (проверка контрольных сумм, если поддерживает ПО),
  • тест‑восстановления: выборочно раз в месяц, полно — ежеквартально.

5.7. Мониторинг и DR

  • Планировщик: флаги завершения, повтор при сбое, почтовые оповещения (PowerShell Send-MailMessage или webhook).
  • Журналы событий: фильтры по источникам (VSS, wbadmin, Veeam Agent, Task Scheduler).
  • DR‑план: пошаговое восстановление на “чистый” ПК (драйверы, локальные учётки, расшаривание, восстановление бэкапа).

5.8. Частые ошибки

  • Расшарили каталог бэкапов → уязвим для удалённого удаления.
  • Выдали Full Control сервисной учётке → можно удалять.
  • Использовали /MIR в robocopy → случайное/вредоносное удаление на источнике удаляет и в бэкапе.
  • Не проверяли восстановление → сюрпризы в критический момент.
  • Нет ретеншна → перезаписали единственную копию.

6. Gigabyte Smart Backup (Smart Recovery 2): оценка и настройка

6.1. Что это. Утилита производителя (Gigabyte) для снимков состояния диска/файлов с инкрементами (обычно ежечасно). Интегрируется в Gigabyte Control Center.

6.2. Настройка в нашем контексте.

  • Источник 192.168.1.50: установить утилиту (если материнская плата поддерживает), выбрать источник (раздел/папку), назначение — сетевой путь \\192.168.2.100\GigaSB (требуется опубликованный ресурс).
  • Расписание — фиксированное (как правило, почасовое), точное “пятница 23:00” задать нельзя.

6.3. Плюсы: автоматизм, многоверсионность “из коробки”.
6.4. Минусы в нашем сценарии: нет нужного расписания; потенциальные конфликты с VSS/восстановлением системы; непрозрачные форматы; нагрузка при 1 ТБ; требуется открытый сетевой ресурс (риски для безопасности).
6.5. Вердикт: использовать только как дополнительный слой и только после тестового восстановления. Основной бэкап — по методам [§4.3] или [§5.3]/[§4.1].

7. Сводные пошаговые сценарии (чек‑листы)

7.1. Рекомендуемый сценарий (pull, WSL + rsync + снапшоты)

  1. Win11: создать D:\Backups\work_files, права по [§2.3], не публиковать по сети.
  2. Win10: расшарить C:\work_files как read‑only пользователю work_ro_user.
  3. Win11: установить WSL (Ubuntu), смонтировать //192.168.1.50/work_ro в /mnt/src (ro).
  4. Разместить скрипт /usr/local/bin/backup_workfiles.sh (см. [§4.3]).
  5. Планировщик (Win11): задача на пятницу 23:00 (см. команды в [§4.3]).
  6. Тест: ручной запуск → проверка нового снапшота D:\Backups\work_files\snapshots\YYYY‑MM‑DD.
  7. Ретеншн: хранить ≥ 8 недель (регулируется в скрипте).
  8. DR‑тест: ежемесячно пробное восстановление 1–2 файлов.

7.2. Альтернатива (pull, robocopy — “обновление без удаления”)

  1. Win11: подготовить права как в [§2.3], не публиковать бэкап.
  2. Win10: расшарить work_ro (read‑only).
  3. Win11: backup_workfiles.cmd с robocopy /E /XO (см. [§4.1]).
  4. Планировщик: каждую пятницу 23:00.
  5. Ротация: раз в месяц копировать содержимое mirror в archive\YYYY‑MM (локально) и чистить mirror (по процедуре).

7.3. Альтернатива (FreeFileSync — Update/Versioning)

  1. Win11: создать профиль FFS: слева \\192.168.1.50\work_ro (RO), справа D:\Backups\work_files\ffs.
  2. Режим Update или Versioning (удаляемое — в ffs\_Versions).
  3. Сохранить как Batch и запланировать на пятницу 23:00.

8. Приложения: скрипты, шаблоны прав, контрольные листы

8.1. Пример XML задачи Планировщика (фрагмент)

<Task version="1.4" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <Triggers>
    <CalendarTrigger>
      <ScheduleByWeek>
        <DaysOfWeek><Friday/></DaysOfWeek>
        <WeeksInterval>1</WeeksInterval>
      </ScheduleByWeek>
      <StartBoundary>2025-09-12T23:00:00</StartBoundary>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-21-...</UserId>
      <RunLevel>HighestAvailable</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <StartWhenAvailable>true</StartWhenAvailable>
    <ExecutionTimeLimit>PT12H</ExecutionTimeLimit>
    <WakeToRun>true</WakeToRun>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>wsl.exe</Command>
      <Arguments>-d Ubuntu -e bash -lc "/usr/local/bin/backup_workfiles.sh"</Arguments>
    </Exec>
  </Actions>
</Task>

8.2. Шаблон NTFS/Share‑политики

  • Назначение: NTFS: Administrators, SYSTEM — Full; svc_backup — Modify минус Delete/DC (явный Deny).
  • Источник: NTFS: work_ro_user — Read & Execute; Share: work_ro_user — Read.
  • Назначение не публиковать по SMB.

8.3. Контрольный лист “Готовность”

  • [ ] D:\Backups\work_files создан, права настроены.
  • [ ] Бэкап не опубликован по сети.
  • [ ] Источник work_ro доступен на чтение с 192.168.2.100.
  • [ ] Планировщик: пятница 23:00.
  • [ ] Сделан первый полный бэкап.
  • [ ] Проверено восстановление тестового файла.
  • [ ] Ретеншн/ротация включены.
  • [ ] Журналы/уведомления работают.

9. Глоссарий (термины со сносками)

[^1]: Инкрементное резервное копирование — копируются только изменения с последнего бэкапа (после одного полного). Экономит время/место, требует цепочки для полного восстановления.

[^2]: Вирус‑шифровальщик (ransomware) — вредонос, шифрующий файлы и часто затрагивающий доступные сетевые ресурсы. Противодействие: изоляция бэкапа, принцип наименьших привилегий, офлайн‑копии.

[^3]: Шифрование/Дедупликация — защита содержимого бэкапа (шифрование) и устранение повторяющихся блоков (дедупликация) для экономии места.

[^4]: История файлов Windows (File History) — встроенная функция версиирования пользовательских файлов с периодическим копированием на диск/сеть и простым интерфейсом восстановления.

[^5]: Библиотеки/Профиль пользователя — стандартные каталоги (Документы, Изображения и т. д.), автоматически учитываемые в Истории файлов; сторонние папки (напр. C:\work_files) добавляются вручную.

[^6]: Windows Backup (Backup and Restore (Windows 7)) — классический мастер бэкапов/образов; поддерживает планирование и инкремент на блоковом уровне; восстановление через мастер.

[^7]: SMB/Сетевая папка (шара) — общий доступ к папке по сети (\\host\share), управляется share‑правами и NTFS‑правами.

[^8]: VSS/Volume Shadow Copy — механизм мгновенных снимков тома; позволяет копировать “замороженное” состояние, включая открытые файлы.

[^9]: FreeFileSync — режимы: Mirror (зеркалирование с удалением лишнего в приёмнике), Update (только добавление/обновление, без удаления), Versioning (удаляемое кладётся в архив‑папку).

[^10]: Robocopy — встроенная утилита Windows для высоконадежного копирования/синхронизации; ключи /E, /XO, /MIR и др.; логирование, повторные попытки.

[^11]: Планировщик заданий Windows (Task Scheduler) — служба и консоль для запуска задач по расписанию (еженедельно, в конкретное время, с правами службы).

[^12]: NTFS — файловая система Windows, поддерживает ACL, атрибуты, жёсткие ссылки, шифрование (EFS), квоты.

[^13]: ACL/Списки контроля доступа — набор правил (ACE), определяющих права субъектов на объект (папку/файл): Read, Write, Modify, Delete, и пр.

[^14]: Share‑разрешения — права на уровне SMB‑шары (Read/Change/Full Control), комбинируются с NTFS: эффективные права = минимум из обоих.

[^15]: WSL (Windows Subsystem for Linux) — подсистема для запуска Linux в Windows; позволяет использовать Linux‑утилиты (rsync и пр.) поверх NTFS.

[^16]: rsync — утилита синхронизации файлов, поддерживает инкремент, --link-dest (hardlink‑снапшоты), подробный контроль и фильтрацию.

[^17]: Журнал USN (NTFS USN Journal) — журнал изменений файловой системы; некоторые решения используют его для быстрого определения изменённых файлов.

[^18]: DFS‑R — служба распределённой репликации в Windows Server; не равно бэкап, а репликация (может разнести ошибочное удаление).

[^19]: wbadmin — CLI для Windows Backup: запуск, управление, восстановление бэкапов из командной строки/скриптов.

[^20]: WORM (Write Once Read Many) — режим/носитель “записал однажды — читаешь многократно”, защищает от модификаций/удалений; аналог — отключённый внешний диск.

[^21]: Правило 3‑2‑1 — 3 копии, 2 разных носителя, 1 — офлайн/вне площадки; золотой стандарт устойчивости.

Приложение: Быстрое сравнение методов

МетодПлюсыМинусыВыполнение требования “не удаляется удалённо”
WSL + rsync (pull, снапшоты)Версии, экономия места, гибкостьТребует установки WSL/настроекДа: назначение не опубликовано; инициатива у 192.168.2.100
robocopy (pull, /E /XO)Встроенное, прозрачно (файлы “как есть”)Нет версионности “из коробки”Да (как выше)
Windows Backup (wbadmin)Блок‑инкремент, мастер восстановленияФорматы наборов, гибкость ретеншнаДа, если локально и не шарим
FreeFileSync (Update/Versioning)Наглядно, бесплатноПланирование через Task SchedulerДа, при pull и локальном назначении
DuplicatiШифрование, сжатие, ретеншнВосстановление через ПОДа (pull/локально)
Veeam Agent FreeEnterprise‑надёжностьБольше ресурсов/опцийДа (pull/локально)
UrBackupДедуплицированные версии, веб‑GUIРазвёртывание сервера+клиентаДа (сервер‑pull)
Gigabyte Smart BackupАвтоматизм, частые точкиНет недельного расписания, рискиСложно: обычно требует сетевую шару

Итог: Для ваших условий оптимальны pull‑сценарии на 192.168.2.100WSL + rsync (снапшоты и ротация) или robocopy /E /XO (обновление без удаления) по расписанию по пятницам в 23:00, без публикации хранилища и с NTFS‑запретом Delete/DC для сервисной учётки. Это выполняет как технические, так и организационные требования безопасности и восстановимости.

Разработка и продвижение сайтов webseed.ru
Прокрутить вверх