Comment activer / désactiver les points de restauration

Comment activer / désactiver les points de restauration

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Comment activer / désactiver les points de restauration

Points de restauration - compréhension générale
Activation / Désactivation / Réactivation
Windows XP
Windows Me ( Millennium Edition)
Ressources


Points de restauration - compréhension générale
  • Comment fonctionnent les points de restauration sous Windows XP / Windows 2000.
    La restauration du système est une fonctionnalité de Windows XP similaire à la «Dernière bonne configuration connue» de Windows NT et Windows 2000. Il s'agit de sauvegarde(s) de l'ensemble des fichiers sensibles de Windows (une photo du système) chaque fois qu'une modification ou un évènement dit "critique" est apporté à un seul d'entre eux. Ces fichiers sont stockés dans un espace particulier de chaque partition de vos volumes appelé "Système Volume Information". Cet espace est un répertoire (une directory) caché (hidden) et, si le système de gestion de fichiers de la partition est de type NTFS, ce répertoire est protégé en écriture. Nul utilitaire ne peut alors y accéder en écriture, y compris les utilitaires de sécurité comme les antivirus ou les anti-trojans qui n'y ont accès qu'en lecture uniquement (pas d'autorisation d'y faire une modification).

    Dans cet espace, les sous-répertoires, qui constituent autant de points de reprise, sont gérés automatiquement, en fonction de la taille réservée à cet espace, sous forme de liste. Lors de l'ajout d'un point de restauration et si l'espace réservé est déjà entièrement mobilisé, le plus ancien point de restauration est poussé dehors (détruit) au profit du nouveau (gestion de liste dite FIFO - First In First Out - premier entré premier sorti).

    L'inscription de modifications dans cet espace se fait par incrémentation : le système Windows, après avoir fait un premier point de restauration "complet" (image 1 ci-dessous) ne note plus, pour les suivants, que les modifications faites (image 2 ci-dessous) sinon, la taille occupée par ces images du système serait considérable.

    Restauration du système windows - point de restauration initial


    Restauration du système windows - point de restauration suivant

    A la différence de Windows NT et Windows 2000 et de leur «Dernière bonne configuration connue» (état que Windows NT et Windows 2000 déterminent comme étant correct), Windows XP effectue, conserve et vous donne la possibilité de restaurer le système à plusieurs états précédents. C'est à dire que le système de points de restauration de Windows XP maintient plusieurs points de restauration au lieu d'un seul.

  • Taille des points de restauration (surfaces disques utilisées)
    Le premier point de restauration est intégral et prend beaucoup de place. Les points suivant sont des sauvegardes différentielles (on ne sauvegarde que les différences par rapport au point précédent et la place occupée est moindre). La taille en elle-même est fonction de votre système et de ce qui y est installé mais un premier point pesant 100 à 120 Mo est normal, les points suivants pèsent généralement 1 à 2 Mo. Exemple :

    Désactivation (effacement total) puis réactivation des points de restauration histoire de sonder la taille de C:\System Volume Information sur une machine dont la partition c:\ ne contient que le système Windows XP Pro sous SP2 et les applications et pilotes qui se logent obligatoirement dans le système (sans pouvoir être installées ailleurs - voir Recommandations pour l'installation d'applications afin que le système ne soit jamais pollué).

    La taille du point de restauration initial ainsi créé est de 121 Mo (126 887 203 octets) ce qui est donc un minimum.

    Pour les points de restauration suivants, voir, par exemple, les 2 captures d'écran ci-dessus qui montrent 11,7 Mo et 1,73 Ko.


  • Comment entrer dans les répertoires des points de restauration "System Volume Information"
    Totalement déconseillé !
    Ajouter un utilisateur connu du système aux autorisations d'accès et donnez-lui le contrôle total. EN images :

    Restauration du système windows - point de restauration suivant

    Restauration du système windows - point de restauration suivant

    Restauration du système windows - point de restauration suivant

    Restauration du système windows - point de restauration suivant

    L'utilisateur à désormais accès au répertoire des points de restauration.


  • Comment forcer la création d'un point de restauration (Windows XP Home)
    Vous pouvez avoir intérêt à créer un point de restauration lorsque vous prévoyez d'apporter au système des modifications risquées ou susceptibles de rendre l'ordinateur instable.

    1. Accédez à l'Assistant Restauration système via Démarrer > Programmes > Accessoires > Outils système > Restauration système
    2. Si la restauration du système est désactivée, réactivez-la.
    3. Sélectionner "Créer un point de restauration" et clic sur le bouton "Suivant"
    4. Clic sur le bouton "Créer"
    5. Clic sur "Fermer"

  • Comment forcer la création d'un point de restauration (Windows XP Pro)
    Vous pouvez avoir intérêt à créer un point de restauration lorsque vous prévoyez d'apporter au système des modifications risquées ou susceptibles de rendre l'ordinateur instable.

    1. Accédez à l'Assistant Restauration système via Démarrer > Panneau de configuration > Performances et maintenance > Système > Restaurer le système
    2. Si la restauration du système est désactivée, réactivez-la.
    3. Sélectionner "Créer un point de restauration" et clic sur le bouton "Suivant"
    4. Clic sur le bouton "Créer"
    5. Clic sur "Fermer"


  • Comment voir et utiliser les points de restauration actuels sous Windows XP
    Il est possible de voir ces points de restauration en faisant
    Démarrer > Panneau de configuration > Performances et maintenance > Restaurer le système > Restaurer mon ordinateur à une heure antérieure > Suivant...
    Un calendrier s'affiche dans lequel les jours en sur-brillance indiquent l'existence d'un ou de plusieurs points de restauration ce jour là. Vous pouvez utiliser l'assistant Restauration du système pour sélectionner un point de restauration et restaurer votre ordinateur à un état antérieur, dans lequel il fonctionnait correctement (sans perte de vos fichiers de données personnelles tels que les documents Microsoft Word, l'historique de navigation, les dessins, les favoris ou les messages électroniques). Vous pouvez avoir intérêt à créer un point de restauration lorsque vous prévoyez d'apporter au système des modifications risquées ou susceptibles de rendre l'ordinateur instable.




  • Comment détruire sélectivement un point de restauration sous Windows XP
    Il est possible de détruire sélectivement des points de reprise sur une partition. Pour cela, vous devez, es qualité "Administrateur", prendre les droits de contrôle total sur l'objet, droits qui sont réservés, normalement, à l'entité supérieure, le "Système". Sans prise de droits, le fait de cliquer sur un "Système Volume Information" vous rejette sans appel :




    Faire un clic droit sur un "Système Volume Information" > Propriété > Sécurité > Ajouter > Avancé > Rechercher > Sélectionnez votre compte > Clic sur "Ok" > Clic à nouveau sur "Ok" > Cocher la case "Contrôle total" > "Appliquer" > "Ok"

    Vous avez désormais accès au contenu de ce répertoire. Faire la même chose pour les autres partitions. Il n'est pas nécessaire d'avoir des points de restauration ("Système Volume Information") sur les partitions ne contenant pas de fichiers système.

    Attention - la destruction d'un point de restauration est sans appel. Les fichiers sont immédiatement détruits définitivement, sans passer par la case "corbeille" et sa possibilité d'avoir "des remords".




  • Conséquences d'une restauration après installation d'un programme ou d'un patch
    Si vous effectuez une restauration à un point de restauration antérieur à l'installation d'un programme ou d'un patch, ce programme ne fonctionnera plus après la restauration ou le patch sera perdu. Pour utiliser ce programme, vous devrez le réinstaller. Pour bénéficier du patch vous devrez le ré-exécuter.

    La restauration du système ne remplace pas le processus de désinstallation d'un programme. Pour éliminer complètement les fichiers installés par un programme, vous devez supprimer ce programme soit à l'aide de l'option Ajout/Suppression de programmes du Panneau de configuration, soit en exécutant le programme de désinstallation correspondant.


  • Comment annuler une restauration
    Vous pouvez annulez la dernière restauration en sélectionnant Annuler ma dernière restauration. Si vous avez effectué récemment une restauration, l'option Annuler ma dernière restauration est affichée dans la liste Restauration du système. Vous pouvez utiliser cette option pour annuler votre plus récente restauration. Cette option est disponible uniquement si vous avez effectué une restauration.


Activation / Désactivation / Réactivation
  • Pourquoi désactiver temporairement les points de restauration?
    Bien qu'il soit recommandé de conserver cette fonctionnalité active en permanence, il est des cas où il convient de la désactiver temporairement. C'est le cas lors de l'infestation par certains virus, RATs, Keyloggers et autres malveillances. C'est le revers de la médaille et il convient donc de détruire les points de restauration puisqu'ils sont infectés en levant momentanément la fonctionnalité. Exemple :

    Restauration du système windows - point de restauration suivant

    Cette capture d'écran montre un point de restauration infecté par un Downloader. Elle n'a pu être possible que parce qu'un disque système a été copié en tant que sous-répertoire d'un autre volume sinon l'explorateur de Windows utilisé ici n'y aurait pas eu accès (voir, éventuellement, la méthode pour dévérouiller l'accès).

    • Des fichiers systèmes sont infectés par un nouveau virus pas encore détecté par votre antivirus.

    • Le système détecte une modification de ses fichiers et considère qu'il s'agit d'une mise à jour donc il effectue un point de restauration. Si vous disposez d'un système de contrôle d'intégrité en temps réel, vous êtes averti de la tentative de modification critique mais, à moins d'être un utilisateur avancé, vous ne savez pas quoi décider et vous acceptez.

    • Plus tard vous détectez un mauvais comportement de votre ordinateur et effectuez une recherche de virus. Votre antivirus (ou votre anti-trojans), désormais à jour, nettoie votre système mais n'a pas accès aux fichiers des points de restauration qui sont totalement protégés par Windows tant que la fonctionnalité de points de restauration est active. Ceci est une pure mesure de prudence de la part de Windows : il n'est pas question de permettre la levée de l'ultra protection des points de restauration et la modification des fichiers qui la constituent par une quelconque tâche externe. Eventuellement, l'antivirus peut les analyser et y détecter l'infestation mais vous dit qu'il ne peut la réparer. Il y a désormais divergence entre fichiers systèmes et fichiers de restauration.

    • Vous redémarrez votre ordinateur. Celui-ci détecte une modification entre ses fichiers courants désinfectés et ceux de son dernier point de restauration. Il pense, à tort, à une corruption des fichiers et les restaure en utilisant ceux infestés lors du dernier point de restauration.

    • Tout ceci vous étonne et vous fait écrire des messages incendiaires contre tel ou tel antivirus puis lancer des appels au secours sur divers forums. En réalité l'antivirus (ou l'anti-trojans) est empêché de réparer par Windows lui-même.

  • De l'exemple ci-dessus on conclut que

    • un antivirus (ou un anti-trojan) peut analyser les fichiers des points de restauration mais pas les modifier

    • un antivirus (ou un anti-trojan) ne pouvant modifier les fichiers des points de restauration il ne reste qu'une solution : la destruction pure et simple des fichiers des points de restauration. Soit les points de restauration sont propres et intouchables, soit ils sont corrompus et il n'est pas question de tenter de les réparer, ce qui ouvrirait la porte à toutes les attaques. La destruction du dernier point de restauration entraîne la destruction de tous les précédents. Il n'est pas question, dans ce cas, d'utiliser la possibilité de détruire sélectivement certains points de reprise et pas d'autres.


  • Conditions requises pour pouvoir activer / désactiver / réactiver :
    Vous devez être connecté en tant qu'administrateur pour faire cette manipulation sinon l'onglet "Restauration du système" ne s'affichera pas. Si vous ne savez pas comment vous connecter en tant qu'administrateur, contactez votre administrateur réseau (si vous êtes sur un réseau) ou la personne qui a installé votre ordinateur.


Windows XP
  • Désactiver la restauration du système de Windows XP :
    Ces instructions s'appliquent si vous utilisez le "Menu Démarrer" par défaut de Windows XP, et ne s'appliquent pas si vous utilisez le "Menu Démarrer classique".

    • Pour réactiver le menu par défaut, cliquez avec le bouton droit sur Démarrer, puis sur Propriétés, puis cochez "Menu Démarrer" (et non pas "Menu Démarrer classique"). Cliquez sur OK.



    • Cliquez sur Démarrer.

    • Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.



    • Cliquez sur l'onglet «Restauration du système».

    • Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs» comme le montre cette illustration :



    • Cliquez sur Appliquer. Le message suivant apparaît :



    • Comme le dit le message, ceci supprimera tous les points de restauration existants. Comme dit plus haut, il n'est pas question d'autoriser un programme externe à modifier les fichiers des points de reprise, fusse pour les réparer. Pour faire cela, cliquez sur Oui.

    • Cliquez sur OK.

    • Effectuez ce que vous avez à faire (antivirus ou anti-trojans etc. ...). Lorsque vous avez terminé, redémarrez l'ordinateur et suivez les instructions de la section suivante pour réactiver la restauration du système.


  • Activer / réactiver la restauration du système de Windows XP:
    • Cliquez sur Démarrer.
    • Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
    • Cliquez sur l'onglet «Restauration du système».
    • Désélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs».
    • Cliquez sur Appliquer puis sur OK.

      La restauration du système créera régulièrement des sauvegardes de fichiers système et fichiers de programme sélectionnés.



Windows Me ( Windows Millennium Edition )
Avec Windows Me (Windows Millennium Edition), Microsoft a inauguré un système de protection des fichiers et paramètres système. Le principe est de pouvoir repartir d'une situation saine à une date antérieure (uniquement côté système, applications installées et paramètres système - rien à voir avec les données utilisateur). Le fonctionnement de cette protection repose sur des sauvegardes faites automatiquement à intervalles réguliers. Le tout est stocké dans un dossier crypté du nom de _Restore. Il se trouve à la racine du disque système - généralement c:. C'est un dossier caché qui doit être révélé en appliquant : Explorateur de Windows > Outils > Options des dossiers > Affichage > Cochez "Afficher les fichiers et dossiers cachés" > Appliquer > Ok.

A priori, rien ni personne n'a accès à ce dossier qui, comme de bien entendu, peut contenir une sauvegarde d'un système qui a été préalablement infecté. Les utilitaires de sécurité, effectuant des éradications de malveillances, c'est-à-dire effectuant des modifications dans les fichiers, dont les fichiers système lorsqu'ils sont infectés, ne peuvent pas nettoyer les fichiers infectés se trouvant dans le dossier _Restore. Ils peuvent toutefois les lire et rapporter les erreurs qu'ils y trouvent. Un antivirus ou un anti-trojans peut donc produire un rapport indiquant ces infections dans _Restore\Temp ou _Restore\Archive mais signaler qu'il ne peut les réparer, même s'il sait, habituellement, réparer les fichiers compressés de type .zip ou .cab.

Il ne s'agit ni d'une erreur ni d'une faille de sécurité du système Windows Me. C'est la fonctionnalité "Restauration du système" de Windows Me (Windows Millennium Edition ) qui protège tous les dossiers et fichiers situés dans le dossier _Restore sur la partition système de Windows Me. Cette bibliothèque est protégée pour assurer l'intégrité des données. La fonctionnalité "Restauration du système" est la seule méthode disponible pour obtenir l'accès à cette bibliothèque. La fonctionnalité Restauration du système n'est pas conçue pour détecter une infection par des virus ou une activité de virus. Toutefois, ces fichiers sont inactifs et ne peuvent être utilisés que par la fonctionnalité "Restauration du système". Les malveillances qui s'y trouvent ne deviendraient actives qui si une restauration intervenait. Elles pourraient y rester jusqu'à leur disparition "naturelle" s'il n'y avait cet aspect psychologique devant la chose infectée, même inoffensive.

  • Contournement du problème - la fonctionnalité FIFO
    S'exécute en 3 étapes : purger au maximum _Restore; désinfecter au maximum le système; s'il subsiste quelque chose, purger intégralement les points de restauration (cette dernière étape peut être exécutée immédiatement, sans passer par les étapes 1 et 2, pour les internautes pressés et pour ceux habitués à travailler "à la hache").

    Cette méthode, FIFO ( First In First Out - Premier Entré Premier sorti), joue sur le fait que, chaque fois qu'un nouveau point de restauration est fait, et si la taille réservée à la bibliothèque _Restore est atteinte, le plus ancien point de restauration est poussé dehors (est détruit) afin de faire de la place au nouveau. La fonctionnalité FIFO démarre automatiquement dès que la taille de _Restore atteint 90% de sa taille maximale allouée et purge les fichiers les plus anciens jusqu'à ce que sa taille descende à 50% de sa taille maximale allouée.

    La méthode FIFO va donc consister à réduire la taille allouée ou minimum puis à bien nettoyer le système et enfin, uniquement s'il subsiste quelque chose, à provoquer une purge totale de _Restore.

    Etape 1 de la fonctionnalité FIFO
    Réduire la taille de l'espace alloué à la restauration : Panneau de configuration > Option Système > Onglet "Performances" > Bouton "Système de fichiers" > Onglet "Disque dur" > Curseur "Espace disque..." complètement à gauche > Appliquer > Cliquez sur OK, puis à nouveau sur OK pour fermer les propriétés du système.

    Vous devrez peut-être redémarrer votre ordinateur pour que ces modifications prennent effet.




    Si la taille maximale allouée est de 400 mégaoctets (Mo), 90% = 360 Mo donc FIFO est déclenché dès que la taille du contenu de _Restore atteint 360 Mo.

    Lancez l'explorateur de Windows, naviguez jusqu'à _Restore et faites un clic dessus avec le bouton droit de votre souris. Choisissez "Propriétés" et lisez la taille actuelle de votre bibliothèque _Restore. Supposons qu'elle soit de 200 Mo et la taille maximale allouée de 400 Mo. Réduisez la taille maximale allouée à son minimum, soit 200 Mo. FIFO va se déclencher automatiquement et purger vos fichiers de restauration les plus anciens jusqu'à ce que les fichiers conservés ne totalisent plus que 100 Mo. Voilà déjà une première partie du nettoyage de faite.

    Nota : si la taille actuelle est inférieure à 180 Mo (soit 90% du minimum de 200 Mo) FIFO ne sera pas lancé.

    Etape 2 de la fonctionnalité FIFO
    Exécuter tous vos utilitaires de nettoyage : antivirus, anti-trojans etc. ... Il se peut que plus rien ne soit trouvé : Les malveillances dans le système de points de restauration se trouvaient dans les plus anciens fichiers qui viennent d'être poussés vers la sortie (détruits). Vous avez alors terminé : inutile d'exécuter l'étape 3.

    Etape 3 de la fonctionnalité FIFO
    S'il reste des malveillances dans l'outil de restauration de Windows Me, purger intégralement le contenu de _Restore. Il va s'agir de désactivez et réactivez la fonctionnalité Restauration du système. Cette procédure supprime intégralement tous les points de restauration. N'utilisez pas cette méthode si cette suppression totale peut provoquer des problèmes. Lors de la réactivation de la fonctionnalité Restauration du système, la fonctionnalité créera un nouveau point de restauration et recommencera à surveiller votre ordinateur:

  1. Démarrer
  2. Paramètres
  3. Panneau de configuration
  4. Double-cliquez sur Système
  5. Onglet Performances
  6. Cliquez sur "Système de fichiers"
  7. Onglet "Dépannage"
  8. Activez la case à cocher "Désactiver la restauration du système"
  9. Cliquez sur Appliquer
  10. Désactivez la case à cocher "Désactiver la restauration du système"
  11. Cliquez à nouveau sur Appliquer
  12. Cliquez sur OK.
  13. Replacez, éventuellement, le curseur sur sa position d'origine ou appropriée
  14. Fermer les fenêtres ouvertes
  15. Redémarrez l'ordinateur lorsque vous êtes invité à le faire. Lors du redémarrage de l'ordinateur, la bibliothèque de données est purgée et la fonctionnalité Restauration du système recommence à surveiller votre système.



  • Suppression définitive de la fonctionnalité "Restauration du système".
    Cette opération est irréversible sauf à réinstaller Windows Me. Vous devez être à l'aise avec la manipulation de la base de registre. Faites :

    Démarrer > Exécuter > saisir la ligne suivante puis validez :
    rundll.exe setupx.dll,InstallHinfSection Uninstall 132 C:\Windows\Inf\PCHealth.inf

    Windows procède alors à la mise à jour de ses paramètres système - un indicateur de progression s'affiche. Une fois terminée, faites :
    Démarrer > Exécuter > Regedit > validez > Localisez toutes les occurrences de la clé PCHealth et détruisez-la puis faites de même pour la clé StateMgr.exe.

    Redémarrez

    Supprimez le dossier _RESTORE qui n'est désormais plus protégé.

    Redémarrez pour constater que _RESTORE n'est plus recréé.

    Nota : Cette manipulation provoque également la désactivation de MSInfo32 (un utilitaire de Windows). Elle inhibe également l'usage d'un icône d'Aide du menu Démarrer ce qui empêche l'accès à l'aide en ligne de Windows par cet intermédiaire (elles reste accessible par la touche F1). Vous pouvez alors supprimer cet icône en faisant :

    Démarrer > Exécuter > Regedit > validez > Localisez la hiérarchie
    accédez donc au registre grâce à l'éditeur Regedit et descendez l'arborescence suivante :
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    Dans le volet de droite, créez une valeur binaire NoSMHelp et attribuez-lui la valeur 01000000

    Redémarrez.

    Le dossier _Restore est protégé par défaut et empêche des programmes d'utiliser ou de manipuler les fichiers qu'il contient. Ces fichiers sont inactifs lorsqu'ils sont stockés dans la bibliothèque de données et ne peuvent être utilisés par aucun utilitaire autre que la fonctionnalité Restauration du système.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

Historique
 
   
Rédigé en écoutant :
Music