Точки відновлення зникли: налаштування, яке Windows постійно вимикає

Що насправді відбувається, коли «зникають» точки відновлення

Точки відновлення Windows побудовані на основі Volume Shadow Copy Service (VSS). System Restore (функція, з якою ви взаємодієте) фактично використовує знімки VSS плюс набір відстеження стану системи: гнізда реєстру, певні системні файли, драйвери та метадані конфігурації. Це не повний бекап, не «образ диска» і точно не машина часу, яка ігнорує ransomware.

То чому ж точки відновлення зникають?

• System Protection фактично вимкнено для системного диска, часто після оновлення ОС, застосування політики або «оптимізації».
• Квота місця на диску надто мала. Точки зберігаються в області «shadow storage». Коли вона заповнюється, Windows видаляє старі знімки. Якщо квота крихітна, точки створюються й одразу ж витісняються.
• VSS у поганому стані (writers зависли, сервіси вимкнені, помилки провайдера). Точки відновлення створюються з помилками або не залишають нічого придатного.
• Інструменти очищення їх чистять: Disk Cleanup, Storage Sense, сторонні «клінері», деякі OEM-набори обслуговування.
• Знімки shadow copies видаляють навмисно адміністративними діями (включно зі скриптами) або через певні робочі процеси оновлення/фічеру апгрейду.

Що робить це нестерпним: Windows може виглядати нормально, поки не знадобиться відкат. Точки відновлення — як вогнегасники: ніхто не виділяє на них бюджет, доки кухня не загориться.

Цитата на згадку: «Надія — не стратегія.» — генерал Гордон Р. Салліван. Операційні люди не придумали цю фразу, але ми її взяли собі в серце.

І ще жарт наостанок: System Restore — парашут, який помічаєш лише після стрибка.

Цікаві факти та історичний контекст (так, це важливо)

1. System Restore з’явився в Windows ME (2000), а потім став масовим у Windows XP. Це викликало суперечки, бо ранні версії могли роздувати використання диска і інколи відновлювали разом із системою шкідливе ПЗ.
2. VSS з’явився в епоху Windows XP/Server 2003 і став стандартним шаром для бекапів, точок відновлення та «Previous Versions» на рівні файлів.
3. Точки відновлення — не те саме, що «Previous Versions», хоча обидва використовують shadow copies. Previous Versions залежить від наявності знімків для файлів; System Restore залежить від увімкненого захисту та від рішення ОС, що саме відстежувати.
4. Фічеру-апгрейди Windows часто скидають або вимикають налаштування захисту на деяких системах, особливо коли змінюється розмітка диска або «ідентифікація» системного тому стає нечіткою.
5. Shadow storage прив’язаний до кожного тому, і його можна розмістити на іншому томі. Це корисно — і водночас джерело плутанини «я ввімкнув це на C:, то чому знімки зникли?».
6. VSS використовує «writers» (компоненти, що готують дані для знімка). Коли writers зависають, ПК може працювати, але відмовлятися робити знімки.
7. Деякі корпоративні образи навмисно вимикають System Restore, щоб зменшити варіативність підтримки або тому що вони покладаються на повне іміжування/MDM-rollback. Якщо така політика застосовується випадково до невпорядкованих машин, це призводить до сюрпризів.
8. Disk Cleanup історично мав опції, які можуть видаляти точки відновлення (залишаючи лише найновішу). Люди натискають «Clean up system files», ніби це безкоштовні гігабайти.
9. System Restore не захищає файли користувача так, як користувачі вважають. Воно призначене для відновлення стану системи, а не для повернення вашого файлу звіту, перезаписаного опів на добу.

Швидка діагностика: покроковий план

Це послідовність «не кип’ятити океан». Виконуйте її по порядку. Вона швидко знаходить вузьке місце і уникає переслідування привидів.

1) Підтвердіть статус System Protection для системного тому

Якщо воно Вимкнено, усе інше — бічний квест. Увімкніть і задайте розумну квоту.

2) Перевірте квоту shadow storage і поточне використання

Якщо максимальний розмір крихітний або встановлено 0/«незадане, але фактично голодне», точки будуть крутитися й зникати.

3) Перевірте стан VSS (writers + сервіси)

Writers в стані помилки або вимкнені сервіси означають, що знімки не будуть створюватися, навіть якщо інтерфейс каже, що все працює.

4) Подивіться на поведінку видалення: очищення, політика, скрипти

Storage Sense, завдання очищення, «оптимізатори» та деякі корпоративні скрипти регулярно видаляють shadow copies, щоб звільнити місце.

5) Зіставте з подіями

VSS і System Restore записують свої скарги в журнал подій. Event log — це місце, де Windows визнає, що сталося.

Практичні завдання: команди, результати та рішення (12+)

Ось завдання, які я фактично виконую. Кожне містить: команду, приклад виводу, що це означає і що робити далі.

Завдання 1 — Перелік наявних точок відновлення (якщо є)

cr0x@server:~$ powershell -NoProfile -Command "Get-ComputerRestorePoint | Select-Object SequenceNumber, Description, CreationTime | Format-Table -Auto"
SequenceNumber Description                     CreationTime
-------------- -----------                     ------------
           132 Windows Update                  1/31/2026 2:14:07 AM
           131 Installed NVIDIA Graphics Driver 1/30/2026 6:02:33 PM

Що це означає: Якщо це повертає рядки, System Restore має хоча б метадані. Якщо воно падає з помилкою («Cannot find path» або «System Restore is disabled»), це підказка.

Рішення: Немає точок у списку? Перейдіть до перевірок System Protection і VSS. Деякі системи мають VSS-знімки без SR-метаданих; не ототожнюйте їх автоматично.

Завдання 2 — Перевірте, чи System Restore вимкнено політикою у реєстрі

cr0x@server:~$ powershell -NoProfile -Command "Get-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore' -ErrorAction SilentlyContinue | Format-List"
DisableConfig : 1
DisableSR     : 1
PSPath        : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

Що це означає: DisableSR=1 означає, що System Restore вимкнено політикою. Це поширено в доменних середовищах або після скриптів «затвердження безпеки».

Рішення: Якщо такі ключі є, ви не «виправляєте» це в інтерфейсі. Потрібно виправляти політику (GPO/MDM/baseline) або видалити ключ, якщо це допустимо.

Завдання 3 — Перевірка конфігурації System Protection через WMI (швидка перевірка)

cr0x@server:~$ powershell -NoProfile -Command "Get-CimInstance -Namespace root/default -ClassName SystemRestoreConfig | Select-Object -Property * | Format-List"
RPLifeInterval : 7776000
DiskPercent    : 3
PSComputerName :

Що це означає: Показує конфіг System Restore, наприклад відсоток диска, відведений під нього. DiskPercent дуже низький — тривожний знак для сучасних систем.

Рішення: Якщо DiskPercent 1–3% на завантаженому робочому місці, збільште його. Якщо клас не повертає даних, SR може бути вимкнений або зламаний.

Завдання 4 — Перелік наявних shadow copies (VSS-знімків)

cr0x@server:~$ vssadmin list shadows
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2013 Microsoft Corp.

Contents of shadow copy set ID: {6f5d1fe9-8d8d-4f1c-9b3a-6efaf7fadc1b}
   Contained 1 shadow copies at creation time: 2/3/2026 9:12:21 AM
      Shadow Copy ID: {c5e65b1e-0cbd-4f2d-96c2-4a0b9a3d6d62}
         Original Volume: (C:)\\?\Volume{11111111-2222-3333-4444-555555555555}\
         Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy12
         Originating Machine: DESKTOP-OPS1
         Service Machine: DESKTOP-OPS1
         Provider: 'Microsoft Software Shadow Copy provider 1.0'
         Type: ClientAccessible
         Attributes: Persistent, Client-accessible, No auto release, Differential

Що це означає: Якщо знімки існують, але точок відновлення немає, можливо VSS використовується для бекапів/Previous Versions, а System Restore вимкнено. Або метадані точок відновлення відсутні.

Рішення: Якщо зовсім немає shadows, ви або їх не створюєте, їх видаляють, або VSS терпить невдачу. Продовжуйте до перевірки сховища/квоти та writers.

Завдання 5 — Інспекція використання та квоти shadow storage (це пояснює «зникнення»)

cr0x@server:~$ vssadmin list shadowstorage
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2013 Microsoft Corp.

Shadow Copy Storage association
   For volume: (C:)\\?\Volume{11111111-2222-3333-4444-555555555555}\
   Shadow Copy Storage volume: (C:)\\?\Volume{11111111-2222-3333-4444-555555555555}\
   Used Shadow Copy Storage space: 1.421 GB (1%)
   Allocated Shadow Copy Storage space: 1.500 GB (1%)
   Maximum Shadow Copy Storage space: 1.500 GB (1%)

Що це означає: Максимальний розмір — 1.5GB. Для сучасної інсталяції це нічого. Одне оновлення може перевернути це.

Рішення: Збільшіть квоту. Якщо на C: бракує місця, розгляньте переміщення shadow storage на інший том (обережно).

Завдання 6 — Збільшити квоту shadow storage до розумного значення

cr0x@server:~$ vssadmin resize shadowstorage /for=C: /on=C: /maxsize=15GB
Successfully resized the shadow copy storage association.

Що це означає: Ви надали VSS простір для збереження кількох точок відновлення.

Рішення: Якщо диск малий (наприклад, 128GB), обирайте пропорційно (8–12GB). Якщо кінцеві точки великі й ви покладаєтесь на SR, 15–30GB — розумний вибір.

Завдання 7 — Перевірити, чи сервіси VSS запущені і не вимкнені

cr0x@server:~$ powershell -NoProfile -Command "Get-Service VSS,swprv | Select-Object Name,Status,StartType | Format-Table -Auto"
Name  Status  StartType
----  ------  ---------
VSS   Running Manual
swprv Stopped Manual

Що це означає: VSS запущено. Microsoft Software Shadow Copy Provider (swprv) — Manual і зупинений, що нормально до виклику.

Рішення: Якщо будь-який з них встановлено як Disabled, це проблема. Встановіть Manual, запустіть VSS і повторіть тест створення точки.

Завдання 8 — Перевірити стан VSS writers (детектор «чому не вдається»)

cr0x@server:~$ vssadmin list writers
Writer name: 'System Writer'
   Writer Id: {e8132975-6f93-4464-a53e-1050253ae220}
   Writer Instance Id: {5d1aa4f8-8b6c-4a35-8571-34a13b2bfc4d}
   State: [1] Stable
   Last error: No error

Writer name: 'WMI Writer'
   Writer Id: {a6ad56c2-b509-4e6c-bb19-49d8f43532f0}
   Writer Instance Id: {0d54d70a-7f44-4af6-8a0f-778a85b54d1c}
   State: [9] Failed
   Last error: Timed out

Що це означає: Один із writers у стані Failed. Точки відновлення можуть не створюватися або бути неповними, коли критичні writers зламані.

Рішення: Виправте сервіс, від якого залежить цей writer (часто це проблеми з репозиторієм WMI, таймаути провайдера або залежні сервіси). Принаймні перезапустіть сервіси та перевірте знову. Якщо writer лишається в помилці, не можна вважати систему «виправленою», навіть якщо UI каже «On».

Завдання 9 — Переглянути події System Restore та VSS (припиніть гадати)

cr0x@server:~$ powershell -NoProfile -Command "Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='VSS'; StartTime=(Get-Date).AddDays(-7)} | Select-Object TimeCreated,Id,LevelDisplayName,Message | Select-Object -First 5 | Format-List"
TimeCreated      : 1/31/2026 2:14:10 AM
Id               : 8193
LevelDisplayName : Error
Message          : Volume Shadow Copy Service error: Unexpected error calling routine CoCreateInstance.  Error: [0x80040154]

TimeCreated      : 1/31/2026 2:14:08 AM
Id               : 12289
LevelDisplayName : Error
Message          : Volume Shadow Copy Service error: Error calling a routine on a Shadow Copy Provider.

Що це означає: 0x80040154 — «Class not registered» у термінах COM. Це часто вказує на поламані реєстрації провайдера або пошкоджені компоненти.

Рішення: Якщо ви бачите повторювані помилки провайдера VSS, не просто збільшуйте квоти. Відновіть стек VSS (перевірка компонентного сховища, прибирання провайдерів) і розгляньте видалення сторонніх провайдерів, якщо вони є.

Завдання 10 — Створити точку відновлення вручну і спостерігати помилки

cr0x@server:~$ powershell -NoProfile -Command "Checkpoint-Computer -Description 'Manual restore point for testing' -RestorePointType 'MODIFY_SETTINGS'"

Що це означає: Відсутність виводу зазвичай означає успіх. Якщо команда викидає виняток («System Restore is disabled» або «The restore point could not be created»), у вас є прямий сигнал невдачі.

Рішення: Якщо ручне створення не вдалось, мова про конфігурацію/політику/здоров’я VSS, а не про «Windows забув». Поверніться до writers, сервісів та ключів політики.

Завдання 11 — Перевірити заплановані завдання, що впливають на створення точок

cr0x@server:~$ schtasks /Query /TN "\Microsoft\Windows\SystemRestore\SR" /V /FO LIST
Folder: \Microsoft\Windows\SystemRestore
HostName:                             DESKTOP-OPS1
TaskName:                             \Microsoft\Windows\SystemRestore\SR
Next Run Time:                        2/4/2026 12:00:00 AM
Status:                               Ready
Logon Mode:                           Interactive/Background
Last Run Time:                        2/3/2026 12:00:00 AM
Last Result:                          0x0
Author:                               Microsoft Corporation
Task To Run:                          %windir%\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation

Що це означає: Завдання існує і останній результат 0x0 (успіх). Якщо воно відсутнє або падає, автоматичне створення може не працювати.

Рішення: Якщо відсутнє — можна створювати точки вручну, але автоматика зламана. Якщо падає — дослідіть історію завдання й журнали подій, чому.

Завдання 12 — Перевірити вільне місце і чи під тиском диск C:

cr0x@server:~$ powershell -NoProfile -Command "Get-PSDrive C | Select-Object Name,Free,Used | Format-List"
Name : C
Free : 6829434880
Used : 243915735040

Що це означає: Близько 6.8GB вільного. Це «одне кумулятивне оновлення Windows від катастрофи». Низький вільний простір спричинює агресивне очищення і витіснення знімків.

Рішення: Якщо вільного місця мало — виправляйте це: розширте розділ, видаліть непотрібне, перенесіть дані або змініть стратегію зберігання. Нема місця — нема знімків.

Завдання 13 — Виявити сторонніх провайдерів VSS (часте джерело дивності)

cr0x@server:~$ vssadmin list providers
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2013 Microsoft Corp.

Provider name: 'Microsoft Software Shadow Copy provider 1.0'
   Provider type: Software
   Provider Id: {b5946137-7b9f-4925-af80-51abd60b20d5}
   Version: 1.0.0.7

Що це означає: Тільки Microsoft-провайдер присутній. Добре. Якщо бачите додаткових провайдерів (агенти бекапу, інструменти зберігання), вони можуть ламати VSS або змінювати семантику збереження.

Рішення: Якщо сторонній провайдер є і ви бачите помилки VSS, скоординуйте дії з власником цього ПЗ. Не видаляйте його «всліпу» на робочих флотах.

Завдання 14 — Перевірити налаштування Storage Sense, що можуть тригерити очищення

cr0x@server:~$ powershell -NoProfile -Command "Get-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\StorageSense\Parameters\StoragePolicy' -ErrorAction SilentlyContinue | Format-List"
01 : 1
04 : 1
08 : 1

Що це означає: Storage Sense увімкнено (01) і налаштовано на певні дії очищення. Це прямо не говорить «видаляти точки відновлення», але корелює з агресивним звільненням місця на системах з малим простором.

Рішення: Якщо точки зникають у дні «очищення», перегляньте Storage Sense і корпоративні політики очищення. Переконайтеся, що ви не знищуєте засіб відкату заради кількох гігабайтів.

Кореневі причини, через які Windows вимикає цю функцію (або поводиться так, ніби вимкнув)

1) Фічеру-апгрейди скидають стан захисту

Великі оновлення Windows не делікатні. Вони перетасовують системні файли, переписують конфігурацію завантаження і інколи по-новому трактують, який том є «системним». У цьому процесі System Protection може опинитися вимкненим або його налаштування скидаються до за замовчуванням. Якщо ви керуєте флотом — передбачайте, що це іноді трапляється, і перевіряйте після хвиль оновлень.

2) Групова політика / MDM-бейзлайни вимикають його

Підприємства часто вимикають System Restore, бо віддають перевагу стандартизованим образам і бо точки відновлення ускладнюють скрипти підтримки. Це може бути раціональним рішенням — якщо у вас є альтернативний шлях відкату. Невдала ситуація виникає, коли політика вимикає його на машинах, що не мають тієї альтернативи, наприклад ноутбуки керівництва чи польові пристрої.

3) «Оптимізації» та рутини очищення видаляють shadow copies

Деякі роботи з очищення вважають shadow copies кешем. Це не кеш. Це стан. Видалення їх — не «обслуговування», а ліквідація важеля відкату. Disk Cleanup та сторонні інструменти можуть видаляти всі точки, окрім найновішої, або повністю витирати знімки.

4) Тиск місця на диску примушує витіснення

VSS має квоту. Коли її досягають, старі знімки видаляються. Якщо ваша квота крихітна, ви фактично маєте «точки відновлення» на кілька хвилин. Якщо диск майже повний, Windows також робить безжальні рішення. Їй важливіше, щоб ОС продовжувала працювати, ніж щоб майбутній ви був задоволений.

5) Збої VSS writer/provider

Створення точки відновлення залежить від ланцюжка компонентів: сервіси, COM-реєстрації, writers та провайдери. Один зламаний writer може блокувати весь процес знімків або створювати недієздатні точки, які неможливо застосувати.

Другий (і фінальний) жарт: Помилки VSS — це спосіб Windows сказати «Я старався», водночас тихо нічого не роблячи.

Три корпоративні міні-історії з практики

Міні-історія №1: Інцидент через хибне припущення

Середовище: змішаний флот ноутбуків Windows 10 і Windows 11 плюс кілька робочих станцій для CAD. Команда видала оновлення драйвера для док-станції. Воно не було зловмисним. Воно було… амбітним.

До обіду кількість звернень до служби зросла: зовнішні монітори чорніли, USB-пристрої відключались, машини періодично зависали. Інженер на виклику зробив те, що зробив би кожен розсудливий: «Не переймайтесь, відкотимо через точки відновлення». Але точок відновлення не було на великій частині пристроїв.

Припущення було тонким: «Windows завжди зберігає точки відновлення». Насправді System Protection було вимкнено місяці тому у базовому профілі стандартизації, призначеному для лабораторних машин, які перевстановлювалися щотижня. Той профіль пізніше використали для ноутбуків. Ніхто не помітив, бо все працювало — поки не перестало.

Виправлення не було героїчним. Вони повернули політику для OU ноутбуків, знову увімкнули захист, встановили квоту, що витримає два кумулятивні оновлення, і додали крок перевірки після змін: переконатися, що на тестових пристроях є хоча б одна свіжа точка відновлення перед розгортанням. Урок був принизливий: якщо механізм безпеки не моніториться явно, його фактично немає.

Міні-історія №2: Оптимізація, що дала зворотний ефект

Інша контора, інша потреба «звільнити місце». SSD заповнювались, і хтось вирішив розгорнути агресивний скрипт очищення. Він видаляв тимчасові файли, кеші браузера, старі завантаження оновлень і — бо здавалося логічним у той момент — shadow copies.

Скрипт спрацював чудово. Графіки вільного місця пішли вгору. Усі аплодували. Через два тижні погане оновлення Windows спричинило проблеми з завантаженням на підмножині машин. Варіанти відновлення швидко звузились: ключі BitLocker були в наявності, звісно, але точки відновлення були б найчистішим способом відкату для багатьох систем.

Їх не стало, бо скрипт регулярно їх видаляв. Гірше, скрипт запускався одразу після Patch Tuesday — саме тоді, коли точки відновлення найбільше потрібні. Оптимізація досягла метрики (вільне місце), саботуючи результат (швидке відновлення).

Виправлення полягало в тому, щоб розглядати shadow copies як захищену місткість. Вони переробили політику очищення, щоб цілитись у відомо безпечні області і встановили мінімальні пороги вільного місця, але більше ніколи не масово не видаляють shadow copies. Повернення не було технічним — воно було про пріоритети.

Міні-історія №3: Нудна, але правильна практика, що врятувала день

Фінансова організація мала старомодну практику: перед міцевим закриттям вони запускали стандартний «чеклист стабільності» на критичних робочих станціях. Один пункт був нестерпно нудний: перевірити, що System Protection ввімкнено для C: і що існує хоча б одна точка відновлення, створена за останні сім днів.

Під час чергового закриття вийшло оновлення прикладного ПЗ з драйвером ядра. Воно викликало періодичні BSOD на машинах із певною прошивкою контролера зберігання. Не на всіх — але на достатній кількості, щоб бути дорого.

Оскільки точки відновлення існували і мали достатню квоту, команда ПК швидко відкатала системи, стабілізувала роботу і потім виправила корінь проблеми (комбінація прошивки і драйвера). Ніяких хвиль перевстановлення. Ніяких «відправити ноутбук в ІТ і чекати три дні». Просто нудна гігієна принесла дивіденди.

Мораль: помпезна реакція на інцидент — це податок. Тиха підготовка — дивіденд.

Типові помилки: симптом → корінь проблеми → виправлення

1) Симптом: «Не створено жодної точки відновлення»

Корінь проблеми: System Protection вимкнено для C: (або для системного тому).

Виправлення: Увімкніть System Protection для правильного тому, потім створіть тестову точку. Підтвердіть її наявність через Get-ComputerRestorePoint.

2) Симптом: Точки з’являються ненадовго, потім зникають протягом дня

Корінь проблеми: Максимальний розмір shadow storage дуже малий; VSS миттєво витісняє старі знімки.

Виправлення: Збільшіть квоту (vssadmin resize shadowstorage). Переконайтесь, що на диску достатньо вільного місця для квоти.

3) Симптом: UI показує захист «On», але створення не вдається

Корінь проблеми: Збої VSS writers, проблеми провайдера або вимкнені сервіси.

Виправлення: Перевірте vssadmin list writers, перегляньте журнали VSS, відновіть сервіси/компоненти. Потім повторіть Checkpoint-Computer.

4) Симптом: Точки відновлення зникли одразу після запуску Disk Cleanup

Корінь проблеми: Очищення видалило точки або залишило тільки найновішу.

Виправлення: Перегляньте практику очищення. Розглядайте точки відновлення як захищений ресурс. Збільшіть квоту, щоб нормальна робота не ставила вас у «лотерею очищення».

5) Симптом: Точки зникли після оновлення функцій Windows

Корінь проблеми: Апгрейд скинув налаштування захисту або зробив старі знімки недійсними.

Виправлення: Після оновлення перевіряйте: чи увімкнено захист, створіть нову точку відновлення. Не розраховуйте, що старі переживуть великий апгрейд.

6) Симптом: На доменних машинах System Protection знову і знову вимикається

Корінь проблеми: Політика застосовується через реєстрові ключі або доменну GPO.

Виправлення: Виправте базовий профіль. Не боріться локально з політикою — вона переможе при кожному оновленні конфігурації.

7) Симптом: Previous Versions працює, але System Restore — ні (або навпаки)

Корінь проблеми: Різні споживачі VSS. Один може бути ввімкнений, а інший фактично вимкнений.

Виправлення: Перевірте обидва: список точок відновлення і vssadmin list shadows. Конфігуруйте System Protection явно для системного тому.

8) Симптом: Точки відновлення частіше не працюють на ноутбуках, ніж на десктопах

Корінь проблеми: Мало вільного місця, часті переходи живлення і агресивні політики очищення сильніше б’ють по мобільних пристроях.

Виправлення: Збільшіть квоти, встановіть мінімальний поріг вільного місця і не запускайте очищення одразу після розгортання патчів.

Контрольні списки / покроковий план

Чеклист A — Одна машина, прямо зараз (15–30 хвилин)

1. Підтвердіть системний том: Зазвичай C:, але перевірте, чи Windows встановлено в іншому місці.
2. Перевірте список точок відновлення за допомогою Get-ComputerRestorePoint. Якщо порожньо — продовжуйте.
3. Перевірте ключі політики у HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore.
4. Перевірте квоту shadow storage за допомогою vssadmin list shadowstorage.
5. Змініть квоту на розумне число (8–30GB залежно від розміру диска і частоти змін).
6. Перевірте VSS writers через vssadmin list writers.
7. Перегляньте журнали VSS за останній тиждень. Шукайте повторювані ID як 8193, 12289, 13.
8. Створіть ручну точку відновлення за допомогою Checkpoint-Computer.
9. Знову перегляньте список точок. Якщо нова існує — пайплайн відновлено.

Чеклист B — Гігієна флоту (що стандартизувати)

1. Визначте політику збереження точок: цільова квота і мінімальна очікувана свіжість (наприклад, хоча б одна точка за останні 7 днів на кінцевих пристроях, де це дозволено).
2. Встановіть узгоджені квоти залежно від класів дисків. Крихітні квоти викликають циклічність і хибну впевненість.
3. Припиніть видалення shadow copies у базових профілях очищення, якщо ви не маєте надійнішого механізму відкату і ви це серйозно плануєте.
4. Перевірка після оновлень: після фічеру-апгрейдів підтверджуйте, що захист увімкнений і створіть нову точку.
5. Моніторьте здоров’я VSS writers на репрезентативних машинах; зламаний writer часто передує збоям бекапів.
6. Навчіть службу підтримки: «Немає точок відновлення» — це діагностична ситуація, а не містичне прокляття.

Чеклист C — Коли вам абсолютно потрібен відкат

1. Не покладайтесь на System Restore як на єдиний захист. Поєднуйте його з образуванням або реальною бекап-стратегією.
2. Перед ризиковими змінами (розгортання драйверів, агенти безпеки, компоненти ядра): створіть точку відновлення і підтвердіть її наявність.
3. Після ризикових змін: переконайтесь, що точки відновлення лишились і що shadow storage не насичений.
4. Тримайте запас вільного місця. Якщо на C: залишається менше 10–15GB на сучасних збірках — це ризик.

Питання та відповіді (FAQ)

1) Чому System Protection постійно вимикається?

Найпоширеніше: політика (GPO/MDM), фічеру-апгрейди, що скидають налаштування, або сторонні інструменти «оптимізації». Інколи воно не «вимкнено», а фактично марно через крихітну квоту.

2) Чи точки відновлення — це те саме, що бекапи?

Ні. Точки відновлення призначені для відкату стану системи (драйвери, реєстр, системні файли). Вони не надійний спосіб відновити дані користувача або повний стан диска.

3) Скільки місця виділити для точок відновлення?

Достатньо, щоб пережити нормальний рівень змін: оновлення, встановлення драйверів, зміни в додатках. На системному диску від 256GB+ 15–30GB зазвичай розумно для кінцевих пристроїв, що покладаються на SR. Потрібне число залежить від частоти змін і вільного простору.

4) Чому точки зникають після оновлення Windows?

Деякі оновлення створюють точки, інші — тригерять очищення або споживають стільки shadow storage, що старі точки витісняються. Фічеру-апгрейди можуть робити старі знімки недійсними або видаляти їх зовсім.

5) Чи Disk Cleanup або Storage Sense можуть видаляти точки відновлення?

Так. Disk Cleanup може видаляти точки (часто залишаючи лише найновішу). Storage Sense і поведінка при низькому вільному місці можуть опосередковано спричинити витіснення через тиск на дисковий простір.

6) У мене є VSS shadows, але System Restore нічого не показує. Чому?

VSS-знімки можуть створюватись засобами бекапу або для «Previous Versions», не маючи увімкненого System Restore. System Restore потребує увімкненого System Protection і відстежує метадані точок відновлення окремо.

7) Чи безпечно переносити shadow storage на інший диск?

Може бути безпечно, але це ускладнює систему. Якщо вторинний том знімний, ненадійний або дуже завантажений, ви можете замінити одну точку відмови іншою. Якщо робитимете це, моніторьте і документуйте.

8) Що означає, коли VSS writers у стані «Failed»?

Це означає, що один із компонентів, який має підготувати дані для знімків, нездоровий. Точки відновлення і бекапи можуть не створюватись або бути неповними. Виправте сервіс/компонент і повторно перевірте стан writer-ів.

9) Чи підприємствам слід вимикати System Restore?

Тільки якщо у вас є краща історія відкату, яка працює на реальних кінцевих пристроях під реальним навантаженням. Вимикати його без альтернативи — як знімати ремені безпеки, бо вам більше подобаються подушки безпеки.

10) Який найкращий тест, щоб підтвердити, що все працює?

Створіть ручну точку відновлення за допомогою Checkpoint-Computer, потім підтвердіть її наявність через Get-ComputerRestorePoint, і переконайтесь, що shadow storage має достатній запас місця.

Практичні наступні кроки

Якщо точки відновлення зникли — припиніть ставитися до цього як до невдачі долі. Це майже завжди конфігурація, квота або стан VSS.

1. Перевірте System Protection для системного тому і впевніться, що політика його не вимикає.
2. Виправте квоту shadow storage, щоб точки відновлення могли переживати нормальний цикл Windows.
3. Підтвердьте стан VSS writers та журнали подій; зламаний стек VSS зіпсує і точки відновлення, і бекапи.
4. Пошукайте поведінку очищення, що видаляє знімки, особливо одразу після патчування.
5. Інституціоналізуйте одну нудну перевірку: «Чи є у нас свіжі точки відновлення?» Включіть її в план змін.

Точки відновлення не блискучі. Windows їх навіть не дуже любить. Але коли вони потрібні — вони потрібні. Зробіть їх нудно надійними.