Как выполнить откат системы (восстановление)

В РАЗРАБОТКЕЛАБОРАТОРИЯНЕ ОБЯЗАТЕЛЬНО

Как выполнить откат системы (восстановление из точки восстановления)

Восстановление системы — инструмент операционной системы Windows, позволяющий вернуть конфигурацию компьютера к состоянию, зафиксированному в выбранной точке восстановления. Точка восстановления содержит снимок системных файлов, реестра, установленных программ и параметров Windows на момент её создания. Личные файлы (документы, изображения, видео и т.п.) в точку не включаются, однако их расположение на диске учитывается — при восстановлении состояние пользовательских папок (например, Рабочий стол, Документы) возвращается к содержимому на момент создания точки.

Точки восстановления создаются автоматически перед значимыми событиями: установкой обновлений Windows, драйверов, приложений или вручную пользователем. Общий объём, выделяемый для точек восстановления, ограничен (по умолчанию — до 10 % от объёма системного диска), старые точки удаляются по мере заполнения.

Ниже приведены подробные, практически значимые примеры использования восстановления системы. Каждый пример включает:

Сценарий, при котором восстановление применяется;
Предварительную проверку условий (включена ли защита системы, есть ли подходящая точка);
Пошаговую последовательность действий;
Ожидаемый результат;
Дополнительные рекомендации при нештатной ситуации.

Пример 1. Восстановление после неудачной установки драйвера видеокарты

Сценарий
После обновления драйвера NVIDIA экран компьютера стал чёрным при загрузке Windows. В безопасном режиме система запускается, но полноценная работа невозможна.

Предварительная проверка
Защита системы для диска C: включена (проверяется в Свойства системы → Защита системы). В списке точек восстановления присутствует точка, созданная непосредственно перед обновлением драйвера (дата и время совпадают с моментом запуска обновления; описание — «Установка драйвера устройства»).

Процедура восстановления в безопасном режиме

Перезагрузите компьютер.
Во время загрузки трижды принудительно прервите процесс (удерживая кнопку питания 5–7 секунд, пока не выключится питание). После третьего прерывания Windows запускает Автоматическое восстановление.
Выберите Поиск и устранение неисправностей → Дополнительные параметры → Восстановление системы.
Система предложит выбрать учётную запись и ввести пароль (если требуется).
Далее открывается стандартный интерфейс восстановления:
- Нажмите Далее;
- В списке точек выберите подходящую (по дате и описанию);
- Нажмите Далее;
- Подтвердите выбор диска C:;
- Нажмите Готово → Да для запуска отката.

Ожидаемый результат

Драйвер NVIDIA откатывается на предыдущую версию.
Рабочий стол загружается в стандартном режиме с исходным разрешением.
Файлы пользователя остаются без изменений.
В Диспетчере устройств в свойствах видеокарты в разделе Драйвер отображается предыдущая версия.

Дополнительные рекомендации

Перед повторной установкой драйвера отключите автоматическое обновление драйверов в Параметры → Обновление и безопасность → Дополнительные параметры → Параметры доставки обновлений → Дополнительные параметры → Не включать драйверы в обновления.
Рекомендуется вручную создавать точку восстановления перед установкой сторонних драйверов:
```
Checkpoint-Computer -Description "Перед установкой драйвера NVIDIA 536.99" -RestorePointType MODIFY_SETTINGS
```

Пример 2. Откат после удаления системного приложения (например, «Калькулятор» или «Блокнот»)

Сценарий
Пользователь выполнил команду PowerShell Get-AppxPackage *windowscalculator* | Remove-AppxPackage и удалил встроенный калькулятор. При этом стандартные способы восстановления через Параметры → Приложения → Необязательные компоненты не предлагают переустановку.

Предварительная проверка
Точка восстановления существует и датируется днём до удаления. Описание: «Изменение параметров системы» — характерно для действий в PowerShell.

Процедура восстановления в штатном режиме

Нажмите Пуск, введите «восстановление системы», выберите Создание точки восстановления.
На вкладке Защита системы нажмите Восстановить…
В мастере:
- Выберите Выбрать другую точку восстановления → Далее;
- Включите флажок Показать другие точки восстановления, чтобы увидеть все доступные;
- Отсортируйте список по дате и выберите точку перед удалением;
- Нажмите Далее → Готово → Да.

Ожидаемый результат

Приложение «Калькулятор» появляется в меню Пуск.
Команда Get-AppxPackage -Name Microsoft.WindowsCalculator возвращает сведения о пакете.
Все связанные компоненты (например, обновления приложения) восстанавливаются в состояние на момент точки.

Важно
Восстановление системы возвращает только системные приложения, распространяемые как AppX-пакеты в составе Windows. Установленные из Microsoft Store приложения (например, Telegram Desktop) при откате не восстанавливаются — они удаляются из системы как сторонние. Для их возврата требуется повторная установка из Store.

Пример 3. Возврат после массового удаления файлов с рабочего стола (включая скрытые системные)

Сценарий
Пользователь запустил скрипт, удаливший все файлы на рабочем столе, включая служебные (desktop.ini, ярлыки, layout.ini). Часть документов не была синхронизирована с облаком.

Предварительная проверка
Для диска C: включена защита системы. Существует точка восстановления от предыдущего дня. Пользовательская папка C:\Users\<Имя>\Desktop входит в том, что отслеживается механизмом восстановления (по умолчанию — да).

Процедура восстановления

Запустите Восстановление системы (через sysdm.cpl или поиск в Пуске).
Выберите точку, предшествующую удалению.
Перед подтверждением нажмите Поиск затрагиваемых программ.
- В списке отобразятся:
  - Изменения в реестре, связанные с оболочкой (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders);
  - Состояние папки Desktop (путь C:\Users\<Имя>\Desktop).
Подтвердите откат.

Ожидаемый результат

Все файлы и папки, существовавшие на рабочем столе на момент создания точки, восстанавливаются в исходное расположение и с исходными атрибутами (включая скрытые и системные).
Ярлыки (.lnk) и desktop.ini возвращаются; внешний вид рабочего стола соответствует состоянию на момент точки.
Документы, удалённые после создания точки (например, в течение нескольких часов), не восстанавливаются — только те, что присутствовали до точки.

Уточнение о пользовательских данных
Восстановление системы не предназначено как основной инструмент резервного копирования. Однако оно эффективно возвращает состояние пользовательских папок, если:

файлы находились в стандартных локациях (Desktop, Documents, Downloads);
точка создана после последнего сохранения файла;
сама папка не исключена из мониторинга (что по умолчанию не происходит).

Если файлы были в нестандартном каталоге (например, D:\Projects\Temp), их откат не выполняется — точка восстановления отслеживает только системный диск и только папки профиля пользователя.

Пример 4. Откат после повреждения реестра вследствие сбоя питания

Сценарий
При выключении компьютера без корректного завершения работы произошёл сбой записи в базу реестра SYSTEM. При загрузке Windows отображает сообщение «Реестр повреждён. Требуется восстановление» и предлагает автоматическое исправление, которое завершается неудачей.

Предварительная проверка
Защита системы включена. В папке C:\System Volume Information находятся файлы точек восстановления (видны только из-под SYSTEM или в безопасном режиме с командной строкой).

Процедура восстановления через командную строку (без GUI)

Загрузитесь в Автоматическое восстановление (как в Примере 1).
Выберите Поиск и устранение неисправностей → Дополнительные параметры → Командная строка.
Выполните:
```
rstrui.exe
```
Откроется графический интерфейс восстановления.
(Если rstrui.exe недоступен — используем альтернативу:)
```
cd %windir%\system32\restore
start rstrui.exe
```
Дальнейшие шаги — как в Примере 1.

Резервный вариант: ручное восстановление из копии реестра
Если графический интерфейс недоступен:

В командной строке выполните:

copy C:\Windows\System32\config\RegBack\SYSTEM C:\Windows\System32\config\SYSTEM
copy C:\Windows\System32\config\RegBack\SOFTWARE C:\Windows\System32\config\SOFTWARE

Перезагрузите компьютер.
(Этот способ работает, только если включено резервное копирование реестра — опция «Включить резервное копирование файлов реестра» в sysdm.cpl → Защита системы → Настроить)

Ожидаемый результат

Система загружается без ошибок.
Параметры реестра соответствуют состоянию на момент последнего успешного резервного копирования (обычно — при создании последней точки восстановления).
Установленные программы, параметры сетей, ярлыки — в исходном состоянии.

Пример 5. Восстановление после заражения вредоносным ПО, изменившим автозагрузку и параметры браузера

Сценарий
После посещения подозрительного сайта в браузере появилась навязчивая реклама, домашняя страница заменена, в диспетчере задач обнаружены процессы с именами вроде svch0st.exe, winlogons.exe. Антивирус удалил файлы, но реестр остаётся изменённым: при перезагрузке вредоносные настройки восстанавливаются.

Предварительная проверка
Точка восстановления существует и датируется до посещения сайта. В описании — «Установка обновлений» (от Windows Update), что гарантирует «чистое» состояние реестра и автозагрузки.

Процедура восстановления

Запустите Восстановление системы в обычном режиме.
Выберите точку, предшествующую инциденту.
Перед подтверждением нажмите Поиск затрагиваемых программ.
- В списке отобразятся изменения в:
  - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
  - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main;
  - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
Подтвердите откат.

Ожидаемый результат

Ключи автозагрузки возвращаются к состоянию на момент точки. Процессы svch0st.exe и аналоги не запускаются.
Домашняя страница браузера, поисковая система, параметры прокси — исходные.
Системные службы восстанавливают корректные пути и параметры запуска.
Файлы вируса, удалённые антивирусом, физически отсутствуют, но их следы в реестре и планировщике задач устраняются.

Дополнительно
Если вредоносное ПО успело создать свою точку восстановления (редко, но возможно при наличии привилегий SYSTEM), отключите в мастере восстановления опцию «Проверить наличие затронутых программ» — она иногда скрывает подозрительные точки. Список всех точек можно получить в PowerShell:

Get-ComputerRestorePoint | Sort-Object -Property CreationTime -Descending | Format-List SequenceNumber, CreationTime, Description, RestorePointType

Точки с типом APPLICATION_INSTALL или MODIFY_SETTINGS, созданные в момент заражения, можно пропустить вручную.

Пример 6. Откат после неудачного обновления Windows 11 (23H2), приведшего к сбою драйвера печати

Сценарий
После установки накопительного обновления KB5032189 печатающие устройства перестали работать: драйвер PrintConfig.dll повреждён, служба Диспетчер очереди печати не запускается, в журнале событий — ошибка 7023. Откат обновления через Параметры → Обновление и безопасность → История обновлений → Удалить обновления недоступен (обновление старше 10 дней).

Предварительная проверка
Windows автоматически создаёт точку восстановления перед каждым накопительным обновлением. В списке точек — запись «Установка обновления Windows» с точным номером KB.

Процедура восстановления

Запустите rstrui.exe от имени администратора (через Выполнить → rstrui).
Выберите точку с описанием, содержащим KB5032189.
Убедитесь, что затрагивается диск C:.
Запустите откат.

Ожидаемый результат

Пакет обновления KB5032189 удалён из системы.
Служба Диспетчер очереди печати запускается без ошибок.
Драйвер PrintConfig.dll возвращается к предыдущей версии (проверяется через Get-Item "$env:windir\System32\spool\drivers\x64\3\PrintConfig.dll" | Select-Object VersionInfo).
История обновлений в Панели управления больше не содержит KB5032189.

Важно
После отката Windows может попытаться повторно установить то же обновление. Чтобы предотвратить это:

В Параметры → Обновление и безопасность → Дополнительные параметры → Параметры доставки обновлений включите «Приостановить обновления на 7 дней»;
Используйте Средство устранения неполадок Центра обновления Windows;
При необходимости — заблокируйте установку KB через Групповую политику (Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Центр обновления Windows → Не устанавливать определённые обновления).

Пример 7. Восстановление после сбоя конфигурации виртуальной машины Hyper-V (ошибка 0x80070057)

Сценарий
Пользователь вручную отредактировал XML-файл конфигурации виртуальной машины (*.vmcx), ввёл некорректное значение ProcessorCount, после чего гипервизор перестал запускать ВМ — ошибка «Параметр задан неверно» (код 0x80070057). Стандартный сброс настроек через Диспетчер Hyper-V не помогает.

Предварительная проверка
Точка восстановления создана непосредственно перед редактированием (вручную пользователем, с описанием «Перед изменением CPU в Ubuntu-VM»). Защита системы включена для диска с виртуальными машинами (например, D:).

Процедура восстановления (включая несистемный диск)

Откройте Свойства системы → Защита системы.
Убедитесь, что для диска D: (где расположены ВМ) включена защита. Если нет — откат повлияет только на диск C:, что недостаточно.
Нажмите Восстановить…
В мастере:
- Выберите нужную точку;
- На шаге «Выбор дисков для восстановления» убедитесь, что отмечен диск D: (галочка активна);
- Нажмите Далее → Готово.

Ожидаемый результат

Файл конфигурации ВМ (VM_NAME\Virtual Machines\GUID.vmcx) возвращается к состоянию на момент точки.
Виртуальная машина запускается без ошибок.
Снимки (checkpoint’ы) и виртуальные диски (.vhdx) не затрагиваются — они не входят в состав точки восстановления.

Примечание по архитектуре
Точки восстановления отслеживают изменения в:

Системных файлах;
Реестре;
Установленных приложениях;
Файлах в папках профиля пользователя и на отслеживаемых дисках.
Файлы .vhdx, .vhd, .iso — не резервируются. Для их защиты требуется отдельное резервное копирование.

Пример 8. Откат после некорректного применения групповой политики в домене (локальный компьютер)

Сценарий
На автономном ПК (не в домене) пользователь применил локальный GPO через gpedit.msc, отключив Проводник, Диспетчер задач и Редактор реестра. После перезагрузки интерфейс сводится к пустому рабочему столу. Вход в систему возможен, но управление ограничено.

Предварительная проверка
Точка восстановления существует (автоматически создана при изменении политики — тип MODIFY_SETTINGS). Даже без видимого интерфейса rstrui.exe доступен через Выполнить (Win+R).

Процедура восстановления без GUI

Нажмите Win + R, введите rstrui.exe, нажмите Enter.
(Если вызов блокируется политикой, используйте командную строку:)
- Win + X → Windows PowerShell (администратор);
- Выполните Start-Process "rstrui.exe"
В открывшемся окне:
- Выберите «Выбрать другую точку восстановления»;
- Найдите точку с описанием «Изменение групповой политики»;
- Подтвердите откат.

Ожидаемый результат

Политики возвращаются к значениям по умолчанию:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 0
Проводник, диспетчер задач, редактор реестра — доступны.
Изменения, внесённые через gpedit.msc, аннулируются.

Резервный способ (если rstrui недоступен)
В командной строке (администратор):

reg load HKLM\TempHive C:\Windows\System32\config\SOFTWARE
reg delete "HKLM\TempHive\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f
reg delete "HKLM\TempHive\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /f
reg unload HKLM\TempHive

После перезагрузки политики сброшены. Этот способ подтверждает: восстановление системы эквивалентно массовому откату записей реестра и файлов.

Пример 9. Восстановление на компьютере, где отключено автоматическое создание точек

Сценарий
Пользователь ранее отключил защиту системы («Защита отключена» в sysdm.cpl), но сохранил одну ручную точку — «Перед чисткой диска». Требуется выполнить откат, несмотря на отключённую автоматику.

Проверка наличия точек при отключённой защите
Даже при отключённой защите:

Ручные точки восстановления сохраняются до тех пор, пока не удалены явно или не исчерпан диск;
Служба Служба теневого копирования томов (VSS) остаётся запущенной.

Проверить наличие:

vssadmin list shadows

Если команда возвращает записи — точки физически существуют.

Процедура включения защиты и запуска отката

В sysdm.cpl → Защита системы нажмите Настроить для диска C:.
Выберите Включить защиту системы.
- Установите максимальный объём (например, 15 %);
- Нажмите Применить.
Вернитесь в основное окно, нажмите Восстановить…
В списке отобразятся все сохранённые точки, включая созданные до отключения защиты.
Выполните стандартный откат.

Ожидаемый результат

Ручная точка становится доступной для выбора;
Откат выполняется корректно, несмотря на длительный период без автоматических снимков;
После отката защита системы остаётся включённой (если не отключить вручную).

Пример 10. Автоматизированный откат с использованием PowerShell (для администрирования и обучения)

Сценарий
Администратору требуется выполнить откат нескольких идентичных рабочих станций в учебной лаборатории после эксперимента с реестром. Ручной запуск мастера на каждой машине неэффективен. Требуется скрипт, который:

Проверяет доступность точек восстановления;
Выбирает последнюю по времени;
Инициирует откат без участия пользователя.

Подготовка
На всех целевых машинах:

Включена защита системы;
Разрешено выполнение локальных скриптов (Set-ExecutionPolicy RemoteSigned -Scope CurrentUser);
Учётная запись имеет права администратора.

Скрипт: автоматический откат к последней точке

# Получаем список точек восстановления, сортируем по времени (свежая — первая)
$points = Get-ComputerRestorePoint | Sort-Object CreationTime -Descending

if ($points.Count -eq 0) {
    Write-Error "Точки восстановления отсутствуют. Проверьте, включена ли защита системы."
    exit 1
}

$latest = $points[0]
Write-Host "Выбрана точка восстановления: $($latest.Description) от $($latest.CreationTime)"

# Запуск отката без подтверждения (режим тихой установки)
# -RestorePoint переключает контекст на точку; -Confirm:$false отключает диалоги
Start-Process "$env:windir\System32\rstrui.exe" -ArgumentList "/RestorePoint:$($latest.SequenceNumber)" -Wait

Особенности реализации

Параметр /RestorePoint:<номер> принимает SequenceNumber — уникальный идентификатор точки.
Start-Process … -Wait блокирует выполнение скрипта до завершения отката (включая перезагрузку).
После перезагрузки скрипт завершается, следующие команды (если есть) выполняются уже в новом сеансе — для чейнинга требуется внешнее управление (например, через задачу Планировщика).

Проверка результата после перезагрузки
Добавьте в автозагрузку (например, в shell:startup) проверочный скрипт:

# Сравниваем текущее состояние с ожидаемым
$expectedVersion = (Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").ReleaseId
if ($expectedVersion -ne "22H2") {
    # Запись в журнал событий
    Write-EventLog -LogName "Application" -Source "LabAutoRestore" -EntryType Information -EventId 1001 -Message "Откат завершён. Версия ОС: $expectedVersion"
}

Примечание для образовательного проекта
Этот пример демонстрирует:

Интеграцию GUI-инструментов (rstrui.exe) в автоматизированные процессы;
Использование SequenceNumber как идемпотентного идентификатора состояния;
Безопасное управление системными изменениями через проверки и логирование.

Пример 11. Откат в enterprise-среде через Microsoft Endpoint Configuration Manager (SCCM)

Сценарий
В корпоративной сети развернуто обновление конфигурации политик через SCCM. На 3 % устройств возникли конфликты с локальными приложениями. Требуется откат конфигурации без физического доступа к устройствам.

Архитектурные требования

На клиентах включена защита системы и служба Служба теневого копирования томов (VSS);
В SCCM настроен пункт управления «Восстановление системы» (через Управление конфигурацией → Мониторинг → Устранение неполадок);
Точки восстановления доступны в коллекции «Клиенты с доступными точками».

Процедура отката через SCCM Console

В консоли SCCM откройте Мониторинг → Развертывания.
Найдите развертывание, вызвавшее сбой (например, «Политика безопасности v3»).
Щёлкните правой кнопкой → Создать задачу устранения неполадок.
В мастере:
- Выберите «Восстановить систему до точки перед развертыванием»;
- Укажите коллекцию устройств с ошибками;
- Отметьте «Выполнить немедленно» и «Перезагрузить после восстановления».
Запустите задачу.

Фоновый механизм
SCCM генерирует команду:

rstrui.exe /RestorePoint:<ID> /Quiet

и доставляет её через агент CMPivot как Run script.
Лог выполнения: C:\Windows\CCM\Logs\Restore.log.

Ожидаемый результат

На всех целевых устройствах выполняется откат к точке, созданной автоматически перед развертыванием (SCCM инициирует Checkpoint-Computer перед применением политик);
Состояние системы возвращается к моменту, предшествующему развёртыванию;
Статус задачи в консоли меняется на «Успешно» после подтверждения от клиентов.

Преимущество перед локальным откатом

Централизованный аудит: в SCCM фиксируется, какая точка использована для какого устройства;
Соблюдается порядок: откат выполняется только для устройств с подтверждёнными ошибками (на основе кодов возврата);
Исключается человеческий фактор.

Пример 12. Сравнение: восстановление системы vs. сброс до исходного состояния vs. восстановление из образа

Критерий	Восстановление системы	Сброс до исходного состояния (`Reset this PC`)	Восстановление из системного образа (`wbadmin`)
Основа	Точка восстановления (снимок реестра + системных файлов)	Чистая установка Windows из `C:\Recovery`	Полный образ диска (VHDX, WIM)
Скорость	10–30 минут	30–90 минут	60–180 минут (зависит от объёма)
Сохранение файлов	Личные файлы сохраняются; программы, установленные после точки — удаляются	Можно выбрать: «Сохранить мои файлы» / «Удалить всё»	Всё содержимое диска — как в момент создания образа
Требования к диску	Не менее 300 МБ свободного места на `C:`	Не менее 8 ГБ	Доступ к внешнему носителю или сетевому хранилищу
Типичный сценарий	Откат после сбоя драйвера, вредоносного ПО, ошибки в реестре	Полная переустановка без потери документов	Восстановление после поломки диска, потери загрузчика
Ручное управление	Выбор конкретной точки по времени и описанию	Нет выбора времени — только текущее состояние	Выбор конкретного образа (дата, метка)
Зависимость от защиты системы	Обязательно включена ранее	Не требуется	Требуется наличие созданного образа

Рекомендация по выбору метода

Если известен момент стабильного состояния и требуется минимальное вмешательство — восстановление системы;
Если система не загружается, точек нет, но файлы важны — сброс с сохранением файлов;
Если требуется полное воспроизведение среды (включая программы, настройки, данные) — восстановление из образа.

Пример 13. Диагностика неудачного отката: чтение логов и восстановление после сбоя

Сценарий
Процесс восстановления прервался на 75 % с сообщением «Не удалось восстановить системные файлы». Компьютер перезагрузился, но изменения не применены.

Шаг 1. Анализ лога SrtTrail.txt
Файл расположен в:
C:\$Windows.~BT\Sources\Rollback\ или
C:\Windows\System32\LogFiles\Srt\SrtTrail.txt (если каталог $Windows.~BT удалён).

Ключевые фрагменты:

[0x80070057] Ошибка: Неверный параметр при восстановлении файла C:\Windows\System32\config\SOFTWARE
[Phase: RestoreRegistry] Failed to restore hive SOFTWARE

Указывает на повреждение реестра в точке восстановления.

Шаг 2. Проверка целостности точки
Выполните в PowerShell:

vssadmin list shadows

Найдите тень, соответствующую точке (по времени). Проверьте её состояние:

Теневой копии на томе C: найдено 3
Тень копии Том: C:\  
Тень копии ID: {a1b2c3d4-...}  
Содержимое: ClientAccessible  
Атрибуты: Persistent, No auto release  
Создана: 05.12.2025 14:30:22  
Состояние: [1] Постоянная

Если Состояние — [0] Предварительная, тень повреждена.

Шаг 3. Альтернативный откат через теневую копию
Если точка повреждена, но теневая копия цела:

Откройте проводник, перейдите в C:\.
Щёлкните правой кнопкой → Свойства → Предыдущие версии.
Выберите версию от нужной даты.
Нажмите Восстановить → Восстановить содержимое.
Это восстановит файлы напрямую из VSS, минуя rstrui.

Шаг 4. Ручное восстановление реестра из RegBack
Как в Примере 4, но с проверкой целостности:

cd %windir%\System32\config\RegBack
dir /a /-c *.?
:: Проверяем размеры: SOFTWARE и SYSTEM должны быть > 10 МБ
copy SYSTEM ..\SYSTEM
copy SOFTWARE ..\SOFTWARE

После копирования — перезагрузка.

Профилактика

Включите резервное копирование реестра:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Configuration Management]
"EnablePeriodicBackup"=dword:00000001

Регулярно проверяйте целостность точек:

Get-ComputerRestorePoint | ForEach-Object {
    $seq = $_.SequenceNumber
    try {
        $null = Get-WinEvent -LogName "Microsoft-Windows-WindowsBackup/Operational" -FilterXPath "*[System[EventID=5]] and *[EventData[Data='$seq']]" -ErrorAction Stop
        Write-Host "Точка $seq — цела"
    } catch {
        Write-Warning "Точка $seq — требует проверки"
    }
}

Дополнительно

Блок 1. Визуальная схема потока данных при создании и применении точки восстановления

Схема описывает последовательность взаимодействия компонентов Windows при создании и использовании точки восстановления. Все операции выполняются в контексте службы Служба теневого копирования томов (Volume Shadow Copy Service, VSS) и подсистемы System Restore.

[Пользователь / Система]  
        │  
        ▼  
Инициирование создания точки  
(через Checkpoint-Computer, установку ПО, обновление Windows)  
        │  
        ▼  
Запуск провайдера VSS: SR (System Restore Provider)  
        │  
        ├──► Снимок реестра (HKEY_LOCAL_MACHINE\SYSTEM, SOFTWARE и др.)  
        │       └──► Архив в C:\Windows\System32\config\RegBack\ (если включено)  
        │  
        ├──► Список установленных компонентов  
        │       └──► Запись в базу состояний (%windir%\System32\Restore\{GUID}.dat)  
        │  
        └──► Теневое копирование файлов  
                ├── Файлы .dll, .exe, .sys из %windir%, %ProgramFiles%  
                ├── Файлы пользовательского профиля: Desktop/, Documents/, AppData/Local/ (частично)  
                └── Служебные файлы: bootmgr, BCD, pagefile.sys (metadata only)  
                        │  
                        ▼  
                Запись теневой копии (Shadow Copy)  
                        ├── Тип: ClientAccessible, Persistent  
                        ├── Хранилище: C:\System Volume Information\{GUID}  
                        └── Формат: блочные диффы (Copy-on-Write)  
                                │  
                                ▼  
                        Регистрация точки в реестре:  
                        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\  
                                RestorePointList\<SequenceNumber>  
                                        ├── CreationTime  
                                        ├── Description  
                                        ├── RestorePointType  
                                        └── RPNum  

При применении точки восстановления (откате):

[Пользователь → rstrui.exe]  
        │  
        ▼  
Чтение RestorePointList → выбор SequenceNumber  
        │  
        ▼  
Активация VSS-теневой копии {GUID}  
        │  
        ├──► Восстановление файлов из тени  
        │       ├── Замена файлов в %windir%\System32\, %ProgramFiles%\  
        │       └── Восстановление структуры папок профиля  
        │  
        └──► Восстановление реестра  
                ├── Загрузка hive-файлов из тени в HKLM\TempHive  
                ├── Слияние с текущим реестром (по ключам)  
                └── Фиксация изменений → перезагрузка  
                        │  
                        ▼  
Запись события в журнал:  
Application и System → Источник: "Microsoft-Windows-WindowsBackup", EventID 84  

Примечания к схеме

Каталог C:\System Volume Information защищён ACL: доступ только для SYSTEM и TrustedInstaller. Чтение возможно через vssadmin list shadows или в безопасном режиме.
Теневые копии хранятся в формате блоковых дифференциалов: при изменении блока оригинальный сектор сохраняется в тени — это обеспечивает экономию места.
Реестр восстанавливается по ключам, а не как бинарный образ: конфликты (например, новые ключи, отсутствовавшие в точке) разрешаются в пользу текущей системы.

Блок 2. Таблица совместимости функции восстановления системы с версиями Windows

Версия Windows	Архитектура	Поддержка восстановления системы	Примечания
Windows 7	x86, x64	Полная	Точки создаются автоматически раз в 24 ч (при изменениях); максимальный объём — до 15 % диска.
Windows 8 / 8.1	x86, x64	Полная	Интеграция с Refresh your PC; точки сохраняются при сбросе с опцией «Сохранить файлы».
Windows 10 (1507–22H2)	x64, ARM64	Полная	Точки создаются перед каждым накопительным обновлением; поддержка PowerShell-управления (`Checkpoint-Computer`).
Windows 11 (21H2–24H2)	x64, ARM64	Полная	Работает при отключённом Secure Boot; ограничения при включённой Core Isolation (см. Блок 3).
Windows 10/11 Home Basic (N, KN, SE)	x64	Отсутствует	В редакциях N (без медиакомпонентов) и SE (для образования) функция «Защита системы» удалена на уровне образа ОС.
Windows Server 2012 R2–2022	x64	Отключена по умолчанию	Включается вручную через `sysdm.cpl`; не рекомендуется в production-средах (используется WSUS + резервное копирование).
Windows IoT Core / Enterprise LTSC	x64	Отсутствует	В LTSC функция удалена для минимизации поверхности атаки.

Подтверждённые факты

В Windows 11 SE (Special Edition) отсутствует раздел «Защита системы» в sysdm.cpl. Попытка вызова rstrui.exe завершается ошибкой «Функция недоступна в этой версии Windows».
В сборках Windows 10/11 N и KN (ЕС-версии) компонент System Restore исключён из образа — файл rstrui.exe отсутствует в %windir%\System32\.
ARM64-версии Windows 11 поддерживают точки восстановления полностью, включая совместимость с x64-приложениями через эмуляцию.

Блок 3. Ограничения восстановления системы в Windows 11, связанные с безопасностью ядра и загрузки

В Windows 11 реализованы механизмы, повышающие устойчивость системы к изменениям. Они влияют на работу восстановления системы.

3.1. Защита целостности ядра (Kernel-mode Code Integrity, KMCI) и изоляция ядра (Core Isolation)

При включённой Изоляции ядра → Защита памяти на основе технологий виртуализации (Hypervisor-Enforced Code Integrity, HVCI) драйверы и системные компоненты подписываются и проверяются при загрузке.
Если точка восстановления содержит драйвер, не соответствующий текущей политике HVCI (например, устаревший nvlddmkm.sys без WHQL-подписи), откат выполняется, но драйвер блокируется на этапе загрузки.
Система загружается в режиме «Безопасная загрузка с восстановлением» и автоматически откатывает только драйвер, не затрагивая остальные изменения.

Диагностика
Событие в журнале:

Журнал: System  
Источник: Microsoft-Windows-HVCI  
EventID: 13  
Сообщение: "Драйвер \Driver\nvlddmkm заблокирован политикой HVCI. Причина: отсутствие подписи Microsoft."

3.2. Безопасная загрузка (Secure Boot)

Secure Boot проверяет подпись загрузчика (bootmgfw.efi), диспетчера загрузки (winload.efi) и ядра (ntoskrnl.exe).
Точка восстановления не сохраняет состояние UEFI-переменных. Если Secure Boot включён, а в точке использовался кастомный загрузчик (например, от GRUB), откат не нарушает цепочку доверия — система загружает только подписанные Microsoft компоненты.
Физическое изменение состояния Secure Boot (в BIOS/UEFI) не отслеживается точками восстановления.

3.3. Защита от отладки и внедрения кода (Debugging Restrictions)

В домашних версиях Windows 11 отключена возможность загрузки неподписанных драйверов через bcdedit /set testsigning on.
Если точка восстановления создана в состоянии TESTSIGNING ON, после отката:
- Флаг TESTSIGNING сбрасывается в OFF;
- Драйверы в тестовом режиме не загружаются.
Это поведение задано в политике HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy → VerifiedAndReputablePolicy.

3.4. Рекомендации для стабильного отката в Windows 11

Перед созданием точки отключите Изоляцию ядра (временно):
Параметры → Система → Безопасность → Изоляция ядра → Выкл.
Используйте только WHQL-подписанные драйверы — их откат гарантированно совместим с HVCI.
При работе с кастомными загрузчиками (двойная загрузка) создавайте резервную копию BCD отдельно:
```
bcdedit /export C:\backup\bcd_20251206.bak
```
Восстановление системы не возвращает BCD в исходное состояние, если изменение выполнено вне установщика Windows.