EN RU

Организация инкрементального бэкапа Windows с защитой от удалённого удаления

От /
Оглавление
  1. 1. Введение
  2. 2. Решение для обычного пользователя
  3. 3. Решение для разработчика
  4. 4. Решение для системного администратора
  5. 5. Глоссарий

1. Введение

Инкрементное резервное копирование[^1] важной папки – надежный способ защитить данные от потери. В нашем случае требуется настроить еженедельный бэкап скрытой папки C:\work_files (≈1 ТБ документов, фото, видео) с компьютера Windows 10 (IP 192.168.1.50) на другой компьютер Windows 11 (IP 192.168.2.100). Копирование должно происходить по расписанию – каждую пятницу в 23:00. Ключевое требование безопасности – созданные резервные копии не должны быть уязвимы для удаленного удаления с других машин (включая сам исходный ПК). То есть, даже если злоумышленник или вирус[^2] получит доступ к исходному компьютеру, он не сможет стереть или зашифровать[^3] резервные копии на целевом хранилище.

В этой статье мы подробно рассмотрим, как профессиональный администратор, все этапы и варианты решения данной задачи. Материал структурирован по группам пользователей с разным уровнем подготовки: обычный пользователь, разработчик и администратор. В каждом разделе вы найдете подробнейшие инструкции, преимущества и недостатки различных методов, а также рекомендации. Секции и подразделы пронумерованы для удобства навигации, а технические термины снабжены сносками с пояснениями (см. Глоссарий в конце статьи).

2. Решение для обычного пользователя

Этот раздел ориентирован на читателей без глубоких технических знаний. Мы опишем наиболее простые и надежные способы организации инкрементного резервного копирования папки C:\work_files с минимальными настройками и использованием встроенных средств Windows либо бесплатных простых программ.

2.1. Обзор встроенных возможностей Windows

Windows 10/11 предоставляет несколько штатных средств резервного копирования. Для обычного пользователя особенно подходит функция История файлов Windows[^4]. Она выполняет автоматическое сохранение измененных файлов с возможностью вернуться к предыдущим версиям данных. Проще говоря, История файлов будет периодически копировать файлы из выбранных папок (в нашем случае – C:\work_files) на указанный диск или сетевое хранилище, сохраняя разные версии по времени. Если вы случайно удалили или повредили файл, его можно легко восстановить через интерфейс Истории файлов.

Преимущества Истории файлов: минимум настроек, наглядное восстановление через Проводник, автоматическое ведение версий (например, можно “отмотать” состояние папки на вчерашний день). Кроме того, эта функция встроена в Windows 10/11, что исключает необходимость установки сторонних программ.

Ограничения: История файлов по умолчанию резервирует только библиотеки пользователя (Документы, Изображения и т.п.), но вы легко можете добавить свою папку C:\work_files в список резервируемых через настройки[^5]. Также важно отметить, что расписание Истории файлов гибко настраивается, но не позволяет указать конкретный день недели и время – обычно доступны интервалы от каждые 10 минут до ежедневно, но не реже. По умолчанию копирование выполняется каждый час. Таким образом, нельзя напрямую задать “раз в неделю по пятницам 23:00”, как требуется; однако можно установить интервал “ежедневно” и просто знать, что в пятницу в 23:00 ПК будет включен с подключенным хранилищем. Либо после первоначального полного бэкапа отключать Историю файлов и включать её вручную перед пятничным резервным копированием – но это менее удобно и чревато забывчивостью.

Еще одно штатное средство – Резервное копирование и восстановление (Windows 7)[^6] (находится в Панели управления Windows 10/11). Оно позволяет создать расписание автоматического бэкапа выбранных папок или всего системы на сетевой ресурс. В отличие от Истории файлов, здесь можно задать точное расписание (например, еженедельно в определенный день и время). Однако работать с этим инструментом сложнее: он создаёт резервную копию в виде набора файлов архива (или образа диска), и для восстановления данных используется специальный мастер Windows. Для обычного пользователя это менее наглядно, чем История файлов. Тем не менее, преимущество – чёткое расписание (в нашем случае можно настроить каждую пятницу 23:00) и возможность полного образа системы. Недостатки – резервная копия хранится в проприетарном формате (блоками), из-за чего просматривать файлы напрямую трудно; кроме того, данная функция считается устаревшей и обозначается как “Windows 7”, хотя до сих пор присутствует и работает в Windows 10/11.

2.2. Настройка простого резервного копирования на сетевой диск

Рассмотрим пошагово наиболее простой сценарий – использование Истории файлов для резервного копирования папки C:\work_files на компьютер Windows 11 по сети. Предположим, на Windows 11 (192.168.2.100) уже создана общая сетевой папка[^7] для бэкапов (например, \\192.168.2.100\Backup), доступная из сети с учетными данными.

Шаг 1: На компьютере Windows 10 откройте Панель управления → Система и безопасностьИстория файлов. В левом меню нажмите «Выбрать диск», затем «Добавить сетевое расположение». Укажите путь к общей папке на Windows 11 (например, \\192.168.2.100\Backup), введите имя пользователя и пароль, под которым можно записывать в эту папку. После подключения сетевого диска Windows может запросить включение обнаружения сети – согласитесь, если требуется, чтобы компьютеры видели друг друга.

Шаг 2: Убедитесь, что носитель для Истории файлов выбран (в списке дисков должно отображаться подключенное сетевое хранилище). Далее нажмите «Включить», чтобы активировать функцию Истории файлов. Windows начнет первую полную копию файлов из стандартных библиотек. Нам нужно добавить нашу папку: слева выберите «Дополнительные параметры», затем «Добавить папку» в разделе «Резервировать данные из следующих папок». Выберите C:\work_files. При необходимости через «Исключить папки» можно убрать ненужные подпапки, если такие имеются (например, временные файлы).

Шаг 3: Настройте частоту копирования и время хранения версий. В окне дополнительных параметров есть выпадающие списки: «Сохранять копии файлов» и «Хранить сохраненные версии». Выберите желаемый интервал – например, если хотите минимизировать нагрузку, можно поставить «Ежедневно» (хотя по умолчанию стоит «Каждый час»). Период хранения версий можно оставить «навсегда» или указать, например, «1 год», в зависимости от свободного места на целевом диске. Имейте в виду: при объеме 1 ТБ данных и частых изменениях, хранилище должно быть достаточно большим, либо старые версии со временем будут автоматически удаляться по мере заполнения.

Шаг 4: Нажмите «Сохранить изменения» (если такая кнопка есть) и убедитесь, что История файлов работает. Можно вручную запустить резервное копирование, нажав «Создать копию данных» (Backup now) – Windows начнет копировать файлы. Первая полная копия 1 ТБ может занять продолжительное время (несколько часов, в зависимости от скорости сети). Желательно выполнить первый бэкап не в рабочее время. Убедитесь, что на целевом компьютере папка Backup начала заполняться (Windows создаст там структуру \\192.168.2.100\Backup\<имя_компьютера>\Data\C\… со файлами вашей папки).

Пример настроек Истории файлов Windows 10: выбор сетевого диска и интервала сохранения версий.

Шаг 5: Проверка восстановления. После завершения бэкапа попробуйте удалить тестовый файл из C:\work_files и восстановить его: откройте папку C:\work_files в Проводнике, на вкладке «Главная» нажмите кнопку «История» – откроется интерфейс Истории файлов с доступными резервными версиями этой папки. Найдите удаленный файл (он должен отображаться в предыдущей версии папки) и нажмите кнопку восстановления – файл вернется на место[1]. Этот тест убедит вас, что резервное копирование настроено правильно и данные защищены.

Примечание: хотя мы настроили интервал (например, ежедневно), Windows все равно не позволяет указать точное время старта. Обычно История файлов выполняется когда компьютер включен и прошло заданное время с последнего сеанса. Чтобы приблизиться к запуску именно в пятницу 23:00, можно поступить так: либо включать компьютер в это время (что неудобно), либо дополнительно использовать Планировщик заданий, чтобы просыпать компьютер и запускать резервирование (сложно для новичка), либо рассмотреть альтернативные решения ниже. Тем не менее, для большинства бытовых ситуаций пусть бэкап выполняется ежедневно – хуже от этого не будет, а шанс потери данных снизится.

2.3. Простые бесплатные программы для резервного копирования

Помимо встроенных функций Windows, существуют сторонние бесплатные утилиты с дружественным интерфейсом, которые могут оказаться проще и удобнее для обычного пользователя. Рассмотрим кратко пару популярных вариантов:

  • Cobian Backup – одна из известных бесплатных программ резервного копирования для Windows. Позволяет настроить задачи копирования файлов по расписанию (в том числе инкрементально) на другой диск или сетевую папку. Вы можете указать папку-источник (C:\work_files), папку-назначение (\\192.168.2.100\Backup\work_files), тип копирования – инкрементный (будут копироваться только новые и измененные файлы после последнего полного бэкапа), и расписание – например, еженедельно по пятницам в 23:00. Cobian Backup поддерживает работу как служба Windows (то есть может выполнять задания в фоне, даже если пользователь не вошел), умеет использовать Volume Shadow Copy для копирования открытых файлов[^8], а также может сжимать и шифровать архивы. Плюсы: бесплатна и довольно надежна, гибкие настройки, ведет лог-файлы операций; минусы: интерфейс только на английском (но понятный), разработчик прекратил поддержку старых версий (последняя – Cobian Backup 11, однако есть форк Cobian Reflector). Тем не менее, программа широко применяется и пользователи отмечают ее эффективность для сетевых бэкапов.
  • FreeFileSync – бесплатная утилита с открытым исходным кодом для синхронизации папок. Она может быть полезна для резервного копирования, поскольку умеет делать одностороннюю синхронизацию (например, обновлять резервную папку на другом компьютере, добавляя новые/измененные файлы). FreeFileSync работает на уровне файлов: при каждом запуске он сравнивает исходную и резервную папки и копирует только изменившиеся или новые файлы – то есть фактически выполняет инкрементальное обновление[^9]. Важное отличие режимов: Update (обновление) будет только добавлять/обновлять файлы в папке назначения, не удаляя файлы, которых уже нет в исходнике. Такой режим идеально подходит, чтобы защититься от случайного или вредоносного удаления исходных данных – резервная копия ничего не стирает сама. (Впоследствии вы можете чистить старые файлы вручную или настроить механизм версионирования – FreeFileSync позволяет сохранять удаленные/измененные файлы в отдельной папке с метками времени[^10].) Как использовать: Вы настраиваете в программе пару папок (левая – C:\work_files, правая – сетевой ресурс на Windows 11), выбираете вариант синхронизации “Update”. Затем можно сохранить это задание как батч-файл и добавить в Планировщик Windows задачу на каждую пятницу 23:00, запускающую FreeFileSync в тихом режиме с этим батчем. Плюсы: программа полностью бесплатна, на русском языке, наглядно показывает какие файлы копируются; поддерживает версионирование (перемещение удаленных файлов в архивную папку). Минусы: нет встроенного расписания – нужно использовать Планировщик заданий; отсутствует сжатие и шифрование – копирует “как есть”; для непрофессионала настройка может показаться чуть сложнее, чем просто нажать “Включить”, как в случае с Историей файлов.
  • Другие программы: Существует много бесплатных решений для резервного копирования. Среди них: AOMEI Backupper Standard, EaseUS Todo Backup Free, Macrium Reflect Free, MiniTool ShadowMaker Free, Duplicati, UrBackup и др. Они различаются подходом – некоторые делают точные образы системы, другие копируют отдельные папки с возможностью хранения нескольких версий. К примеру, Duplicati – мощный открытый инструмент, работающий через веб-интерфейс, умеет шифровать и загружать инкрементные резервные копии на удаленные хранилища (включая сетевые папки и облако). Однако подобные инструменты имеют более сложный интерфейс, что выходит за рамки задач обычного пользователя. Тем не менее, если у вас есть интерес, вы можете изучить их возможности. Главное при выборе программы – убедиться, что она поддерживает инкрементный режим копирования (для экономии времени и места) и может работать по расписанию.

2.4. Контроль и безопасность для начинающих пользователей

В завершение раздела дадим несколько советов по эксплуатации настройки резервного копирования для обычного пользователя:

  • Регулярно проверяйте журнал или статус резервного копирования. В Истории файлов Windows отображается статус и время последней успешной копии. Убедитесь, что последние резервные версии соответствуют текущим датам. Если используете стороннюю программу – она обычно ведет лог-файл; время от времени открывайте его или настройте уведомления (некоторые ПО умеют отправлять email по результатам).
  • Тестируйте восстановление. Не реже раза в месяц пробуйте восстановить один-два файла из резервной копии (не самые важные, конечно). Так вы будете уверены, что при реальной проблеме знаете, как вернуть данные, и что резервные копии не повреждены.
  • Защита от удаления. Полностью обезопасить резервные копии от всякого воздействия сложно, но есть простое правило: не открывайте напрямую папку с бэкапом с исходного компьютера, если это не требуется. Например, не монтируйте сетевой диск постоянно – пусть он подключается только на время резервного копирования. Меньше шансов, что вредоносная программа на исходном ПК “заглянет” в хранилище. История файлов, например, сама подключается к сетевой папке когда нужно, и обычно вирус-шифровальщик не нацелен на такую специфику.
  • Физическая изоляция. Если есть возможность, храните хотя бы одну копию офлайн (например, на отключенном внешнем диске). Понимаем, что в нашем сценарии резервирование идет на другой компьютер постоянно в сети, но обычному пользователю можно посоветовать раз в какое-то время копировать особо ценные файлы еще и на внешний носитель и отключать его. Это страховка на случай, если пострадают и основной, и резервный компьютеры (например, от мощного вируса или сбоя электрики).

Следуя этим советам, даже не слишком подготовленный пользователь сможет создать надежную систему резервного копирования “на случаи жизни” и спать спокойно, зная что его данные не пропадут бесследно.

3. Решение для разработчика

В этой части мы предполагаем, что читатель обладает техническими навыками и желанием настроить более кастомизированное решение резервного копирования. Разработчик или продвинутый пользователь может предпочесть сценарии, требующие работы с командной строкой, скриптами или открытым ПО, предоставляющим большой контроль над процессом. Мы рассмотрим, как можно реализовать задачу средствами PowerShell/robocopy, а также коснемся использования некоторых продвинутых инструментов, которые могут быть встроены в собственные сценарии или приложения.

3.1. Сценарий резервного копирования с помощью Robocopy и PowerShell

Опытные пользователи Windows наверняка знакомы с утилитой Robocopy[^11] – это мощная консольная программа для копирования файлов и синхронизации директорий, входящая в состав Windows. С ее помощью можно написать свой скрипт, выполняющий инкрементное резервное копирование папки по расписанию. Преимущество такого подхода – полный контроль над тем, что происходит, и отсутствие зависимости от графических программ.

Рассмотрим пример: нам нужно каждую пятницу в 23:00 запускать копирование всех новых и измененных файлов из C:\work_files на сетевую папку \\192.168.2.100\Backup\work_files. При этом, как требовало условие, мы хотим избежать удалений файлов из бэкапа по командам с основной машины (т.е. не стирать автоматически из резервной копии файлы, удаленные на исходнике).

Простой подход: использовать robocopy в режиме добавления. Базовая команда может выглядеть так:

robocopy «C:\work_files» «\\192.168.2.100\Backup\work_files» /E /XO

Расшифровываем: ключ /E заставляет копировать все поддиректории, включая пустые; /XO (eXclude Older) – пропускает файлы, которые уже существуют в папке назначения с более новой или такой же датой, т.е. копируются только новые или измененные файлы. Таким образом, при каждом запуске robocopy будет обновлять резервную папку, докопируя недостающие файлы или обновляя изменившиеся, но ничего не удаляя из назначения. Это удовлетворяет наш критерий – если на исходнике что-то стерто, в резервной копии оно останется (правда, может накопиться “мусор” из удаленных старых файлов, но это лучше, чем потеря нужных данных). Этот метод фактически реализует инкрементное копирование на уровне файлов.

Если бы мы хотели полную синхронизацию с удалением ушедших файлов, применили бы ключ /MIR или /PURGE – но при нашем условии безопасности делать этого не стоит (robocopy с /MIR удалит из резервной папки все файлы, которых нет на исходнике, что при заражении вирусом может привести к потере и резервной копии).

Поместим команду robocopy в скрипт. Создайте текстовый файл backup_workfiles.cmd и добавьте в него строку выше (можно несколько строк, если нужно копировать разные папки). При необходимости можно добавить параметры: например, /FFT /DST для надежности сравнения по времени на разных файловых системах, /NP /NDL для компактного лога, >> «%USERPROFILE%\backup.log» для вывода отчета в файл. Разработчик может оптимизировать команду по своему усмотрению; команда robocopy /? выведет описание всех ключей.

Теперь нужно настроить задачу в Планировщике Windows, чтобы этот скрипт выполнялся по расписанию. Откройте Планировщик заданий (Task Scheduler), создайте новую задачу: «Создать задачу…». В разделе Триггеры добавьте триггер: еженедельно, пятница, время 23:00. В Действиях укажите запуск: Program: cmd.exe, аргументы: /c «C:\Scripts\backup_workfiles.cmd». В разделе Настройки установите галочку «Выполнять независимо от входа пользователя» (это важно, чтобы задача сработала даже если вы не залогинены на момент времени), и опцию «Запуск с наивысшими правами» (robocopy может потребовать админ-доступ, особенно если копируются системные файлы, хотя в нашем случае пользовательские данные). Также на вкладке Условия можно отключить “выполнять, только если компьютер работает от сети” или включить пробуждение ПК для выполнения (если ваш ПК в спящем режиме в это время).

После сохранения задачи – всё. Каждый вечер пятницы система будет автоматически запускать robocopy, который обновит резервную копию. В логе (если вы настроили вывод) можно будет посмотреть результат – сколько файлов скопировано, не произошло ли ошибок доступа и т.п.

Советы для скрипта robocopy: — Убедитесь, что у скрипта есть доступ к сетевой папке. Самый простой способ – указывать путь в формате \\192.168.2.100\Backup\work_files и предоставить в Планировщике задачу под учетной записью, у которой есть права на запись в эту папку. Если компьютеры в одной домашней группе или у вас на целевом ПК создана учетная запись с таким же логином/паролем, проблем не будет. В противном случае можно добавить в начале скрипта команду подключения сетевого диска с логином, например:

net use \\192.168.2.100\Backup /USER:BackupUser Pa$$w0rd

(заменив на реальные имя пользователя и пароль), а затем robocopy. Это явно откроет сессию к шару перед копированием. После копирования можно отключить: net use \\192.168.2.100\Backup /delete.

  • Если нужно копировать открытые файлы (например, если кто-то забыл закрыть документ), robocopy сам по себе не умеет использовать Volume Shadow Copy. Однако разработчик может обойти это: есть готовые утилиты HoboCopy, ShadowSpawn или можно написать PowerShell-скрипт, который создает теневую копию диска VSS, монтирует ее как временную букву и оттуда запускает robocopy. Это продвинутый сценарий, требующий дополнительных шагов, но в принципе реализуемый. Для целей папки с документами и медиа, как правило, VSS не критичен, т.к. большинство файлов не держатся открытыми постоянно.
  • При желании можно усложнить логику скрипта: например, вести ротацию полных копий. Разработчик может настроить, чтобы раз в месяц делался полный бэкап в новую папку (например, Backup_full_2023-09-01), а промежуточные недели копировались инкрементно туда же или в отдельные дифференциальные папки. Такие сценарии требуют скриптового программирования (создание папок с датой, удаление самых старых и т.д.), но позволяют сочетать преимущества полного и инкрементного метода. Впрочем, это уже ближе к администрированию резервного копирования и будет рассмотрено в следующем разделе.

Проверка и использование: Скриптовый подход, конечно, менее “дружественный” – у вас нет красивого интерфейса восстановления. Восстанавливать придется вручную, копируя файлы из резервной папки обратно. Зато структура резервных данных понятна и прозрачна – это просто копия файлов. Разработчик может даже написать небольшое приложение или скрипт для удобства сравнения папок и восстановления выборочных файлов (например, с помощью PowerShell сравнить хеши или даты файлов между рабочей и резервной папкой). Главное – протестировать свой скрипт в разных ситуациях и убедиться, что он делает именно то, что нужно.

3.2. Использование Open-Source инструментов и кастомных решений

Помимо написания своих скриптов, разработчик может заинтересоваться открытыми системами резервного копирования, которые можно интегрировать в свое окружение или расширить под свои нужды. Вот несколько идей:

  • Duplicati (CLI/API): Утилита Duplicati, помимо графического интерфейса, предоставляет командную строку и даже REST API для управления бэкапами. Разработчик может установить Duplicati как службу, настроить через веб-интерфейс резервное копирование C:\work_files на \\192.168.2.100\Backup\duplicati с нужным расписанием, шифрованием и версионностью, а затем управлять заданиями программно (например, вызывать принудительно запуск через команду duplicati-client или API). Duplicati хранит резервные копии в виде сжатых и, при включении, зашифрованных блоков, что экономит место. Сценарий использования: можно написать скрипт, который по событию (скажем, перед деплоем проекта или по Git-хуку) запускает резервное копирование важной директории – Duplicati выполнит инкрементный бэкап быстро, сохранив только разницу. Впоследствии через ту же утилиту можно восстановить нужную версию файлов.
  • Настройка резервирования в коде приложения: Если вы – разработчик ПО и хотите защитить данные приложения (например, файловое хранилище), можно встроить простые методы бэкапа прямо в приложение. Например, ваш программный сервис может раз в неделю архивировать нужную папку (с помощью System.IO.Compression в .NET или через вызов 7zip в процессе) и копировать архив на удаленный сервер по SMB или SFTP. Такие “самодельные” решения требуют, конечно, тщательной проработки (особенно проверка успешности копирования, предотвращение бесконечного роста хранилища, удаление старых архивов и т.п.).
  • Использование Git/LFS для версионности файлов: Нестандартный подход – если большая часть данных текстовая или код, можно рассмотреть системы контроля версий. Например, инициализировать локальный git-репозиторий в C:\work_files и раз в неделю делать коммит и пуш на удаленный репозиторий (например, на сервере 192.168.2.100 поднять Git-сервер или использовать частный репозиторий). Но для 1 ТБ данных (особенно бинарных фото/видео) git не подходит – он плохо работает с большими двоичными файлами и репозиторий будет раздут. Разве что с Git LFS, но всё равно это сложный и неоправданный путь для бэкапа документов и мультимедиа. Поэтому мы упоминаем его только как любопытную возможность для специфических случаев (например, резервирование исходных кодов, конфигураций и мелких файлов, где нужна история изменений). В целом же для мультимедийных файлов лучше применять перечисленные выше методы.
  • UrBackup / BackupPC (клиент-серверное решение): Разработчик может развернуть на Windows 11 сервер резервного копирования (существуют open-source системы, например UrBackup) и на Windows 10 – клиент этого сервера. Тогда резервирование будет происходить по модели “сервер запрашивает у клиента данные”. Это интересный вариант, потому что исходный компьютер здесь пассивен – инициатива от сервера, и вредонос на клиенте не сможет легко затронуть серверный архив (при условии, что на клиенте нет доступа к учетке сервера). UrBackup, например, поддерживает инкрементное копирование файлов с дедупликацией и версионированием. Однако настроить и управлять такой системой несколько сложнее, это уже ближе к админской деятельности.

Подводя итог для разработчика: у вас есть свобода построить систему резервного копирования своими руками или адаптировать существующие инструменты. Критично помнить при этом о основной цели – сохранности данных – и учитывать “угрозы” вроде ошибок скрипта, неверных параметров (чтобы не произошло, что скрипт очищает не ту папку), а также безопасности (например, хранить пароли доступа к сети в защищенном виде или под учетной записью, не допуская утечки). В обмен на усилия по настройке вы получаете гибкость – бэкап как часть вашего рабочего процесса, с возможностью автоматизации под свои задачи (скажем, отправлять уведомление в Slack или по e-mail после каждой успешной резервной копии, интегрировать проверку бэкапа в pipeline и т.д.).

4. Решение для системного администратора

В этом разделе мы рассмотрим задачу на профессиональном уровне системного администрирования. Администратор отвечает за надежность и безопасность бэкапа, поэтому мы детально разберем различные методы с точки зрения корпоративных практик: управление расписанием, доступами, хранением версий, защитой от несанкционированного доступа и восстановления после сбоев. Предположим, что администратору доступны как средства Windows, так и сторонний бесплатный софт, и его цель – внедрить оптимальное решение с минимальными затратами.

4.1. Анализ требований и инфраструктуры

Перед выбором инструмента администратор оценивает исходные данные и ограничения:

  • Объем данных 1 ТБ означает, что резервное копирование (особенно первое, полное) потребует значительного времени и места на целевом хранилище. По гигабитной локальной сети 1 ТБ теоретически копируется за ~3 часа, но с накладными расходами и проверками реально может быть 5–8 часов. Инкрементные копии будут быстрее, зависят от объема изменений за неделю. Администратору важно убедиться, что окно резервного копирования (nightly window) достаточно – в нашем случае ночь с пятницы на субботу. Если 1 ТБ копируется, например, 6–7 часов, то старт в 23:00 завершится к утру субботы, что приемлемо.
  • Оба компьютера на NTFS – это хорошо, т.к. NTFS поддерживает хранение прав доступа, метаданных, и совместим с Volume Shadow Copy. При копировании Windows->Windows обычно проблем с именами файлов, разрешениями и атрибутами меньше. Тем не менее, администратор должен учесть: если на исходной папке C:\work_files настроены особые NTFS-права, их тоже можно сохранить. Некоторые инструменты (File History, Windows Backup) сохраняют ACL, другие – нет. При копировании robocopy можно добавить ключ /COPYALL для копирования всех атрибутов и ACL, если надо точное зеркало. Но важно: доступ к резервной копии на целевой машине мы хотим ограничить, поэтому, возможно, нет смысла копировать туда все ACL исходных файлов – можно ограничиться тем, что вся папка бэкапа будет доступна лишь админу целевой машины.
  • Сетевая изоляция и доступ: Важнейший аспект – требование, чтобы с машины-источника (и вообще с чужих машин) нельзя было удалить резервные копии на целевой машине. В среде предприятия или продвинутой домашней сети есть понятие принципа наименьших привилегий: процесс резервного копирования должен иметь только те права, которые нужны для записи резервных данных, и не более. А остальные пользователи – и тем более сама исходная машина – не должны иметь административного доступа к хранилищу бэкапов. Практически это можно реализовать так:
  • Выделить на Windows 11 отдельного пользователя, например backup_user, которому дать разрешение на запись в папку D:\Backup\work_files (права Create files/Write Data, Append Data, Read Data) но запретить удаление (отключить Delete и Delete Subfolders and Files в NTFS-разрешениях). Через общую папку на уровне SMB дать этому пользователю доступ Change (изменение). Тогда, если бэкап-софт на Windows 10 будет работать под учеткой backup_user, он сможет записывать файлы. Удалить или переименовать существующие файлы он не сможет – и вирус на исходнике, даже получив доступ к общему ресурсу, не сумеет стереть или зашифровать уже созданные резервные файлы (попытки удаления будут отклонены). Важно: этот подход нужно тщательно тестировать – некоторые программы при перезаписи файла могут требовать права удаления (пример – Microsoft Office при сохранении файла делает временный файл и удаляет оригинал). Рекомендуется настроить, чтобы бэкап-программа либо всегда создавала новые файлы (например, с версионными именами), либо работала в режимах, не требующих удаления. В противном случае, ограничение на удаления может приводить к сбоям бэкапа. Администратор может проверить это, запустив тестовое задание: если логи показывают ошибки доступа на удаление – придётся ослабить ограничения или выбрать другой подход.
  • Альтернативно (или дополняюще), администратор может настроить схему, когда инициатором резервного копирования выступает целевой сервер (Windows 11) – то есть реализовать “pull”-стратегию, а не “push”. Например, не давать вообще исходной Windows 10 доступ на запись в хранилище. Вместо этого на Windows 11 создать запланированное задание, которое само подключается к общему ресурсу Windows 10 (или через административный доступ \\192.168.1.50\C$\work_files под учеткой администратора домена/машины) и копирует данные к себе (на локальный диск). В таком случае, даже если исходный ПК скомпрометирован, он “не знает” о процессе – инициатива от сервера, и у исходного ПК нет прав лазить в папку с бэкапами. Однако при таком решении сложнее настроить аутентификацию, особенно если нет домена: нужно создать одинаковую учетку или хранить пароль сервиса. Тем не менее, это очень эффективный метод защиты резервных данных от атак с исходника – злоумышленник на исходнике не сможет удаленно уничтожить резервную копию, потому что исходник даже не может ее напрямую изменить.
  • Дополнительно, администратор позаботится об отдельном хранилище бэкапов. Если на целевом PC Windows 11 есть отдельный физический диск для резервных копий – отлично (не храните бэкап на том же диске, где основная ОС Windows 11 – сбой диска погубит и оригиналы, и копии). Желательно настроить и теневое копирование (Shadow Copies) на самом сервере бэкапов – Windows 11 Pro позволяет включить теневые копии тома D:. Тогда даже если файлы бэкапа будут изменены или удалены, можно попробовать откатить том к предыдущему состоянию. Это уже дополнительный уровень защиты.
  • Расписание и мониторинг: Администратор, настроив задачу на пятницу 23:00, скорее всего, убедится, что оба компьютера будут включены в это время. В корпоративной практике часто используют Wake-on-LAN или планировщик, чтобы пробуждать машину-источник к началу резервного окна. Также настраивается мониторинг – например, событие о завершении бэкапа (успех или ошибка) можно ловить и отсылать уведомление админу. В Windows Backup при ошибке появится событие в журнале, а сторонние программы (Cobian, etc.) могут отправлять email-отчет. Администратор должен регулярно просматривать эти отчеты.

Теперь перейдем к конкретным методам, доступным администратору, и оценим их профессионально.

4.2. Встроенные средства Windows (профессиональный взгляд)

Метод 4.2.1: История файлов (File History). Этот инструмент хорош простотой, но администратор обращает внимание на его ограничения. В корпоративной среде Историю файлов редко используют для серверных резервных копий – она рассчитана на рабочие станции и профили пользователей. В нашем сценарии (папка 1 ТБ на отдельном ПК) История файлов вполне работоспособна, но админ учтет:
Гибкость расписания: как уже отмечалось, нельзя указать раз в неделю в конкретное время. Приходится выбирать из фиксированных интервалов (максимум – “ежедневно”). Если строго требуется запуск в определенное время, этот инструмент не подойдет без костылей.
Сетевое хранилище: File History умеет писать на сетевой путь. При настройке через GPO или вручную админ укажет сетевую папку и учётные данные. Имейте в виду: под капотом История файлов подключается к удаленной SMB-папке от имени текущего пользователя. Если учетная запись пользователя не существует на сервере, нужно задать альтернативные креденшиалы. В доменной среде проще – можно использовать доменную учетку.
Безопасность резервных копий: если пользователь (или процесс) на исходном ПК обладает правами на сетевую шару, где лежит History, теоретически он может там файлы и удалить. История файлов не предусматривает защиту от этого – это просто файлы в папке \\server\share\FileHistory\…. Администратор может попытаться применить прием с запретом удаления (как описано выше) для учетной записи, под которой работает File History – но File History самой может потребоваться очищать старые версии, так что неизвестно, не нарушит ли это ее работу. В среде с высокими требованиями безопасности скорее всего выбирается другой метод, а не File History, либо резервное хранилище изолируется настолько, что компрометация клиента маловероятна.

Вывод: История файлов – хорошо для простых случаев и конечных пользователей, но у администратора вызывают вопросы прогнозируемость и безопасность. В качестве компромисса можно использовать ее на рабочих станциях (для локального быстрого восстановления), а на серверной стороне параллельно иметь более контролируемый бэкап.

Метод 4.2.2: Резервное копирование Windows (Windows Backup – “Backup and Restore (Windows 7)”). С админской точки зрения, старый добрый Windows Backup имеет плюс в том, что его можно управлять скриптами (wbadmin.exe) и он умеет делать как файлопопийные бэкапы, так и образ диска. Настроив задачу через Панель управления (как мы обсуждали ранее), администратор может выбрать нужную папку и задать еженедельное расписание. При первом запуске будет создан “полный набор” – папка WindowsImageBackup на сетевом ресурсе, внутри которой .zip или .vhd(x) файлы бэкапа. Каждый последующий запуск Windows Backup делает инкрементальное обновление этого набора – то есть добавляет новые файлы или измененные блоки в резервную копию. Это эффективно по месту и времени: изменилось мало – мало и запишется.

Проблема: доступ к этим инкрементным данным. Windows Backup хранит информацию о предыдущих копиях, но управлять ей не очень удобно. Например, нельзя легко удалить одну старую точку – удаляется сразу весь набор по расписанию. Восстановление возможно либо всего набора целиком, либо отдельных файлов через диалог “Восстановить мои файлы” (он позволяет выбирать файлы из бэкапа по дате). Для администратора это приемлемо, но не идеально: нужно следить, чтобы резервная копия периодически полностью обновлялась (Windows Backup сам раз в определенное число дней сделает новый полный бэкап, если старый слишком старый). К тому же, Windows Backup может столкнуться с проблемами при сохранении на сетевую шару, если та недоступна или не хватает места – важно мониторить события (в журнале система напишет EventID о неудаче).

С точки зрения безопасности, Windows Backup лучше, чем прямая копия, тем что результат – не просто открытые файлы, а особая директория с ограниченным доступом. Однако на сетевой папке это не помогает: файлы .vhd или .zip можно удалить, если есть права. Поэтому администратор должен снова полагаться на настройки прав доступа: можно настроить шару так, чтобы учетная запись, от которой запускается Backup (обычно это учетные данные, введенные при настройке, или учетная запись от имени которой работает Task Scheduler), не могла удалять файлы. Но если Windows Backup попытается почистить старые версии, что тогда? Впрочем, встроенный механизм скорее сам переименовывает/удаляет внутри каталога – запрет Delete может ему помешать. В официальной документации таких сценариев не предусмотрено – админ действует на свой страх и риск. Поэтому либо нужно гарантировать, что злоумышленник не доберется до папки (например, хранить учетные данные резервного копирования только на сервере, а на клиенте нет доступа), либо использовать другой подход (Offline backup или WORM-хранилище[^12]).

Вывод: Windows Backup подходит для нашего случая, он бесплатен, автоматизируем, умеет инкрементально. Но он морально устарел, и Microsoft не развивает его. В Windows 11 панель Backup and Restore (Windows 7) все еще доступна, но кто знает, уберут ли в будущем. Тем не менее, многие админы до сих пор используют wbadmin для серверных резервных копий на сетевые диски и вполне довольны.

Метод 4.2.3: Планировщик + Robocopy/Powershell (скрипт на уровне админа). Мы уже описали выше для разработчика, как сделать скрипт с robocopy. Администратор, в отличие от домашнего пользователя, может добавить к этому ряду дополнительные меры: — Использовать PowerShell и модуль Schedule.Tasks для создания задач, что позволит хранить учетки более безопасно. Либо использовать GPO (если домен) для развёртывания скрипта на нужном ПК. — Включить в скрипт проверку хеша или контроль “успешности” – например, после копирования вычислять сумму SHA-256 некоторых ключевых файлов и сравнивать с исходными, убедиться что копия не повреждена. Или сначала копировать в новую папку, а по окончании менять ссылки (атомарно, чтобы всегда была консистентная копия). — Реализовать ротацию: Админ может настроить, чтобы каждую неделю создавалась отдельная папка с датой, а раз в месяц старые автоматически удалялись. Это обезопасит от ситуации, когда обнаружилась проблема и нужно откатиться на две недели назад – а у нас каждый раз просто синхронизировалась одна папка. Наличие нескольких поколений резервных копий – хорошая практика. Средствами robocopy+PowerShell это решаемо (сценарий: папка Backup\Week1, Week2, … и копировать всегда в текущую, а старые переименовывать/чистить). — По части защиты от шифровальщиков – скрипт плюс политика доступа на шару могут выполняться так: скрипт от имени локального системного аккаунта целевого сервера обращается к исходнику по административной$-шаре (требует учетных данных админа исходника). Тогда исходник вообще не затрагивает целевой диск. Права на целевом диске ограничиваются только локальным системным/администратором. Таким образом, даже если на исходнике вирус, он никак не узнает о папке (нет обратного доступа).

Разумеется, все эти ухищрения требуют времени на настройку и тестирование. Администратор должен документировать созданные скрипты и задания, чтобы другое ответственное лицо могло при необходимости восстановить процесс.

4.3. Использование стороннего бесплатного ПО (профессиональный обзор)

Системный администратор часто рассматривает специализированные решения для резервного копирования, даже бесплатные, поскольку они экономят время и дают нужный функционал “из коробки”. Перечислим несколько и оценим, насколько они подходят под наши условия (Windows-to-Windows, 1 ТБ, инкремент, защита от удалений, расписание):

4.3.1. Cobian Backup / Cobian Reflector. Как уже говорилось, Cobian Backup 11 (Gravity) – классическая бесплатная программа резервного копирования файлов. От лица администратора: она может работать как Windows Service под учетной записью, которую мы укажем. Правильно будет создать на целевом сервере отдельного пользователя, дать ему write-права на шару, а службу Cobian на исходнике запустить именно под этим пользователем. Тогда Cobian будет выполнять копирование, а интерактивных входов с этой учеткой нет – вирусу сложнее воспользоваться. Cobian поддерживает инкрементный и дифференциальный режимы. Например, стратегия: полный бэкап раз в месяц, инкремент – каждую неделю. Программа сама следит за этими цепочками: при восстановлении достаточно указать последнюю инкрементальную копию – она подтянет предыдущие. Плюсы для админа: довольно богатые настройки (шифрование AES, сжатие Zip/7zip, предусловия/постусловия – можно настроить, например, запуск своей команды до/после бэкапа), логирование, запуск по расписанию (вплоть до вкл/выкл компьютера). Минусы: нет официальной поддержки, последний релиз Cobian Reflector хотя и свежий (2022), но сообщество небольшое. Бывали случаи, когда Cobian Backup пропускал файлы или падал – нужно тестировать. Также Cobian хранит пароли к сетям в своем конфиге (который можно зашифровать мастер-паролем). Администратор должен этот момент учесть.

4.3.2. Veeam Agent for Windows (Free). В корпоративной среде Veeam – известное решение. Бесплатный Agent позволит настроить резервное копирование либо всего диска, либо отдельных папок по расписанию на сетевую шару. Он поддерживает инкрементные копии с дедупликацией и сжатием. Фактически, Veeam Agent будет создавать на шаре файлы с резервными точками (vbk, vib – форматы Veeam). В бесплатной версии нет централизованного управления, но для одного случая это и не нужно. Преимущества: надежность уровня enterprise – Veeam проверяет целостность бэкапов, умеет делать “сквозное” шифрование, использование VSS, может создавать загрузочный recovery media. Недостатки: потребление ресурсов (для 1 ТБ может потребоваться много RAM при проверках), сложнее настроить из-за обилия опций, и главное – freeware Veeam Agent не поддерживает некоторые сценарии (например, не более одной задач на компьютер). Но для нашей задачи – одна задача – этого достаточно. Вопрос безопасности: Veeam Agent работает от имени локального SYSTEM (через Veeam Service), а к расшаренной папке подключается с сохраненными креденшиалами. Нужно опять же ограничить эти креды на удаление, насколько возможно.

4.3.3. Duplicati (на сервере). Админ может предпочесть, чтобы резервные копии сразу хранились в облаке или на втором сервере, зашифрованные. Duplicati позволяет отправлять инкрементные обновления на FTP/SSH/Cloud. В нашем случае можно поднять на Windows 11 FTP-сервер и настроить Duplicati на Windows 10: тогда исходник не монтирует SMB вообще. Вирусу труднее что-то сделать с FTP (по крайней мере, это нестандартно). Но тут уже инфраструктура усложняется.

4.3.4. UrBackup. Мы упоминали UrBackup – это бесплатный сервер резервного копирования (с веб-интерфейсом) плюс легкий клиент. Администратор может развернуть UrBackup Server на Windows 11, указать папку хранения (с поддержкой файлового дедуп, кстати), установить UrBackup Client на Windows 10 и настроить политику: раз в неделю полный бэкап, а по будням – инкрементные. UrBackup будет аккуратно складывать файлы: каждую резервную точку представляет как виртуальную папку с полнотой данных, но используя дедупликацию (т.е. инкремент внутри реализован как жесткие ссылки). Это довольно элегантно и позволяет легко просматривать любую точку во времени на сервере. Безопасность: клиент инициирует сессию к серверу, но можно настроить, чтобы сервер тянул – там двустороннее. Протокол свой, через TCP, не SMB, так что шифровальщик не сможет просто так “убить” бэкапы, если не захватит сервер. Минус: нужно потратить время на освоение UrBackup, плюс он тоже будет потреблять ресурсы, а 1 ТБ данных – проверить, хватит ли места (с учетом нескольких версий).

4.3.5. Другие: EaseUS, AOMEI, etc. Бесплатные редакции часто для домашнего использования, и администратор к ним относится с осторожностью: могут быть урезаны функции (например, не поддерживают сетевой бэкап или шифрование), и нет гарантий долгосрочной поддержки. Тем не менее, AOMEI Backupper Standard, например, поддерживает сетевой бэкап папок и планирование, и это вполне рабочий вариант. Они часто имеют понятный GUI – в небольших организациях админ может настроить и отдать на откуп ответственному пользователю, чтобы сам мог восстанавливать при мелких проблемах.

Сводя воедино: для администратора ключевым является надежность и возможность восстановления. Он выберет то решение, которому доверяет, и которое вписывается в политику. Например, в среде Windows-приложений на десктопах – можно и Cobian. В серверной среде – скорее Veeam Agent или скрипт с wbadmin. Очень вероятно, что админ комбинирует: делает файловый бэкап (для быстрых восстановлений отдельных файлов) плюс периодически образ системы (на случай полного краха диска восстановить ОС целиком). К счастью, перечисленные методы не мешают друг другу – можно одновременно иметь включенную Историю файлов и, скажем, еженедельный Cobian, это лишь требует достаточного дискового пространства на приемнике.

4.4. Специальный случай: Gigabyte Smart Backup / Smart Recovery 2

Раз уж в условиях задачи упомянут “gigabyte smart backup”, рассмотрим и этот метод отдельно. Речь о фирменном ПО от Gigabyte (для материнских плат этой марки), которое позиционируется как утилита для резервного копирования системы. В новых версиях это называется Smart Recovery 2, интегрировано в приложение Gigabyte Control Center. По функционалу оно похоже на “Историю файлов”/“Точки восстановления”, но на уровне производителя: утилита отслеживает изменения и каждый час делает снимок выбранного раздела диска, сохраняя изменения файлов в образ (по сути, инкрементный образ). Пользователь может откатить систему к состоянию на час назад, день назад, и т.д., вплоть до еженедельных архивов, хранящихся месяцами. Smart Backup (Recovery2) умеет сохранять не только на локальный диск, но и на сетевое хранилище – в настройках можно выбрать сетевой путь и указать учетные данные. То есть теоретически, мы можем настроить на Windows 10 с платой Gigabyte эту утилиту: указать, что бэкапить нужно раздел C: (или конкретную папку? Интерфейс предлагает именно раздел/диск) и сохранять на сетевую шару \\192.168.2.100\Backup\Gigabyte. Утилита, спустя 10 минут после включения системы, сделает первый полный бэкап, а далее будет каждый час выполнять инкрементное обновление образа.

Оценка: с точки зрения администратора, у такого решения есть плюсы – автоматизм, мелкий интервал (риски потери снижены), многоверсионность “из коробки”. Но минусов больше: — Отсутствие гибкости: нельзя менять интервал (только каждый час). Нам нужно раз в неделю – не получится. Можно разве что отключать утилиту и включать по расписанию, но не факт что она позволит (не предназначено для этого). — Низкая прозрачность: это проприетарное ПО, не особо распространенное. Форумы полны жалоб, что оно работало нестабильно и конфликтовало, например, с точками восстановления Windows. Один пользователь отмечал, что Smart Backup ломал штатный System Restore, и после удаления проблемы исчезли. Для админа это красный флаг: нельзя доверять данные утилите, которая неочевидна и не поддерживается широко. — Производительность: ежечасное создание снапшотов 1 ТБ раздела – огромная нагрузка, особенно если много изменений. Да, работает фоново, но все же: могут забиваться диски, сеть, CPU. Для десктопа, возможно, приемлемо, но представьте, часовой бэкап 1 ТБ по сети – он просто не успеет завершиться до следующего часа! — Формат хранения: скорее всего, Smart Backup хранит свои снапшоты в виде цепочки образов (может, .dat или .vhd файлов). Восстановить без самой утилиты их будет сложно. Если система совсем упала, надо либо в BIOS было настроено (некоторые Gigabyte мамки позволяли восстановление из скрытого раздела), либо загружаться с WinPE и ставить Smart Recovery для отката. Это усложняет восстановление по сравнению с обычным копированием файлов.

Безопасность: как работает Smart Backup с правами? Предположительно, как системный сервис с высокими привилегиями (чтобы делать снимки диска). Он сохраняет на сетевую шару с указанными креденшалами – по сути, аналог Windows Backup. Уязвимость та же: если malware узнает логин/пароль (например, вы их сохраните), он может удалить файлы бэкапа. Единственное, формат, возможно, не очевиден для него (не .doc/.jpg, а какой-нибудь .GBI файл), но рассчитывать на это нельзя. В Reddit и на форумах нечасто встретишь, чтобы профессионалы рекомендовали эту утилиту – обычно советуют стороннее ПО или штатное вместо нее.

Вывод: Gigabyte Smart Backup – не лучший выбор для ответственного администратора. Его можно упомянуть пользователю, но с оговоркой: использовать разве что если совсем ничего другого нет, и то после создания полной копии попробовать восстановить отдельный файл – убедиться, что оно работает. Фактически, Smart Recovery2 – аналог точки восстановления Windows, но с расширением на пользовательские файлы. В контексте нашего задания (сеть, защита от удаления) он не приносит преимуществ, а только риски.

4.5. Резюме: сравнение методов и рекомендации админа

Обобщим рассмотренные методы с точки зрения плюсов/минусов в нашем сценарии:

  • Встроенные (История файлов / Windows Backup):
    Плюсы: бесплатны, интегрированы (минимум зависимостей), настройка через знакомые интерфейсы или командные утилиты; File History дает удобное восстановление пользователю, Windows Backup – эффективен по месту (инкремент на блоковом уровне).
    Минусы: ограниченное расписание (для File History), устаревший формат и неудобство извлечения отдельных файлов (Windows Backup), потенциальные сложности с доступами (нет встроенных механизмов защиты от удаления, требуется вручную настраивать права).
  • Скрипт (robocopy/Powershell):
    Плюсы: полностью кастомизируемый процесс – можно реализовать любые бизнес-правила (несколько копий, фильтрацию по типам файлов, уведомления и т.д.); ясность – на выходе обычные файлы, никаких проприетарных контейнеров; отсутствие лишнего ПО (используются компоненты Windows).
    Минусы: требует высокого уровня внимания и тестирования, потенциально ошибок скрипта (человеческий фактор); сложнее в сопровождении (новичку непонятно, что за .cmd крутится по ночам); не всегда оптимальна скорость (robocopy читает все файлы для сравнения, тогда как специализированные решения могут использовать журнал USN NTFS для быстрого определения изменений).
  • Стороннее ПО (Cobian, Veeam, etc.):
    Плюсы: удобство – графические интерфейсы, мастера настройки; дополнительные функции – сжатие, шифрование, проверка целостности; общее сообщество/поддержка (на форуме можно найти ответы по той же Cobian); некоторые из этих решений специально заточены под защиту от ransomware (например, могут временно монтировать сетевое хранилище только на время бэкапа и т.п.).
    Минусы: необходимость доверять стороннему ПО (вопросы безопасности самого ПО, например, шифрование без бэкдора и т.д.); нужно следить за обновлениями (особенно если обнаружатся баги); бесплатные версии иногда урезаны и могут внезапно перестать развиваться (Macrium Reflect Free объявили End-of-Life в 2023, хотя использовать можно, но обновлений не будет). Также некоторые программы используют проприетарные форматы для хранения – если софт исчезнет, вытаскивать данные придется восстанавливая среду. Хотя крупные игроки типа Veeam, скорее всего, никуда не денутся.
  • Gigabyte Smart Backup:
    Плюсы: автоматизация на уровне системы, практически не требует ручной настройки (если уже установлено APP Center); частое сохранение (каждый час) – при условии нормальной работы, потери данных минимальны; интеграция – Gigabyte заявляет о возможности быстрого отката всей системы к точке (что-то вроде аварийного восстановления).
    Минусы: негибко, не документировано широко; были замечания о нестабильности; избыточно частое для нашего сценария; неизвестно, как поведет себя при 1 ТБ и сети (может не рассчитано на такой объем, скорее на системный раздел ОС); потенциальный конфликт со штатными средствами Windows.

Рекомендация: Для заданной ситуации администратор, скорее всего, выберет комбинированный подход: 1. Настроить надежный еженедельный резервный копия средствами, которым он доверяет (например, Windows Backup или Cobian Backup) на сервер Windows 11. Это будет основная защита на случай сбоя или атаки. Хранить несколько последних поколений копий (например, 4 недели). Обязательно протестировать восстановление как отдельных файлов, так и всего набора. 2. Параллельно можно включить Историю файлов на пользовательском ПК Windows 10 для быстрого возврата случайно удаленных/измененных файлов в промежутках между еженедельными бэкапами. Она даст версионность каждые несколько часов на локальном уровне. И даже если что-то случится (шифровальщик отключит историю или удалит тени), у нас остается основной бэкап на другом хосте. 3. Максимально изолировать резервное хранилище: бэкапы должны лежать либо на выделенном диске, либо в каталоге с ограниченным доступом. Можно использовать метод pull – настроить задачу на Windows 11, которая сама ходит на Windows 10 и копирует (в среде AD можно организовать через DFS-R, но это зеркалирование, не совсем бэкап). 4. Рассмотреть офлайн-копию раз в месяц: администратор может хранить ежемесячный полный бэкап на внешнем носителе (например, USB-диск), который по окончании съемки отключается и убирается. Тогда даже катастрофа (пожар, вирус, сбой RAID) не уничтожит все копии. Да, это ручной процесс, но практика показывает его ценность как последнего рубежа.

В итоге цель – обеспечить правило “3-2-1” в резервном копировании[^13]: 3 копии данных, на 2 разных носителях, 1 из которых вне площадки (offsite) или офлайн. В нашем масштабе: оригинал на Windows 10, резервная на Windows 11, плюс, скажем, архивный жесткий диск с ежемесячным бэкапом в сейфе – уже выполнено.

Администратор должен задокументировать все настройки: расписание заданий, расположение резервных файлов, учетные записи и пароли доступа (в закрытом виде). Также убедиться, что пользователи знают процедуру восстановления – хотя бы кого спросить. И конечно, следить за логами: резервное копирование, которое не проверяется, имеет тенденцию неожиданно не работать в момент, когда оно срочно нужно.

5. Глоссарий

Инкрементное резервное копирование[^1]: (incremental backup) Резервное копирование, при котором сохраняются только изменения с момента последнего резервного копирования. Первый запуск создает полную копию, а каждый последующий – добавляет лишь новые и измененные данные. Для восстановления последнего состояния нужны исходная полная копия и все последующие инкрементные копии. Экономит место и время, но усложняет восстановление (требуется последовательность копий).

Вирус-шифровальщик[^2]: (ransomware) Вредоносная программа, которая шифрует файлы на компьютере жертвы, требуя выкуп за расшифровку. Опасна тем, что может уничтожить данные, включая подключенные резервные копии. Поэтому важно изолировать бэкап-хранилище.

Шифрование файловое/дедупликация[^3]: В контексте бэкапов – применение алгоритмов шифрования для защиты резервных копий от несанкционированного доступа, а дедупликация – устранение дублирующихся блоков данных для экономии места. Например, UrBackup использует дедупликацию на сервере для инкрементных резервных точек.

История файлов Windows[^4]: (File History) Встроенная функция Windows 8/10/11 для резервного копирования пользовательских файлов. Периодически сохраняет версии файлов в выбранное хранилище (диск или сетевой ресурс). Пользователь может восстанавливать предыдущие версии через удобный интерфейс. Требует отдельного диска/сетевой папки; по умолчанию копирует библиотеки пользователя.

Библиотеки/профиль пользователя[^5]: Стандартные папки Windows в профиле пользователя – Документы, Изображения, Видео, Рабочий стол и пр. История файлов по умолчанию отслеживает их. В нашем случае папка C:\work_files находится вне профиля, поэтому ее нужно добавить вручную в Историю файлов.

Резервное копирование и восстановление (Windows 7)[^6]: Классическое средство резервирования Windows (в Windows 10/11 доступно через Панель управления). Позволяет создавать образы системы и резервные копии файлов на внешний диск или в сеть по расписанию. Название “Windows 7” указывает на наследие из той версии ОС. Под капотом использует wbadmin. Может выполнять полный и дифференциальный бэкап (на самом деле – инкрементный на уровне блоков).

Сетевая папка (шара)[^7]: Общая папка, предоставленная по протоколу SMB/CIFS в локальной сети. Доступна по пути \\имя_компьютера\имя_папки. Для доступа могут требоваться учетные данные (логин/пароль). В нашем случае на Windows 11 нужно создать общую папку (например, Backup) и дать на нее права записи определенному пользователю.

Volume Shadow Copy (теневое копирование)[^8]: Технология моментальных снимков тома в Windows. Позволяет создать “замороженную” на момент копию файловой системы, даже если файлы открыты. Используется для резервного копирования открытых/заблокированных файлов (например, PST-файл почты, база данных). Многие бэкап-программы могут автоматически создавать VSS-снимок перед копированием.

FreeFileSync – режимы Mirror/Update[^9]: В FreeFileSync (и аналогичных) режим Mirror делает точное зеркало – удаляет в папке-назначении файлы, которых нет в источнике. Update – только обновляет/добавляет, ничего не удаляя. Для резервного копирования безопаснее Update или версия с хранением удаленных файлов (Versioning), чтобы случайное удаление не передалось на бэкап.

WORM-хранилище[^12]: “Write Once Read Many” – носитель или том, данные на котором можно один раз записать, а потом только читать (нельзя изменить/удалить). Например, оптические диски, специальные настроенные LTO-ленты или даже файл-сервер с политиками неизменности. Используется для защиты особо критичных бэкапов от удаления или изменения (в том числе самим администратором по ошибке или злоумышленником). В домашней среде частичный аналог – отключенный внешний диск с бэкапом.

Правило 3-2-1[^13]: Распространенный принцип резервного копирования: иметь 3 копии данных (1 основная + 2 резервных), хранить их как минимум на 2 разных типах носителей (например, диск и облако, или HDD и лента), и 1 копию хранить вне основной площадки (off-site) или хотя бы офлайн. Это повышает шанс выживания данных при любых форс-мажорах (кража, пожар, массовый сбой, вирус и т.д.). Применяя это правило, выстраивают многоуровневую систему резервного копирования.

Добавить комментарий

Разработка и продвижение сайтов webseed.ru
Прокрутить вверх