Wiederherstellungspunkte erstellen und den System sichern
In Windows gibt es die Funktion Systemwiederherstellung, über die mittels Wiederherstellungspunkte, das aktuelle System gesichert wird. Sollte das System nicht mehr funktionieren, kann man das System auf den Wiederherstellungspunkt zurücksetzen. Dabei kann bei Verfügbarkeit zwischen mehreren Wiederherstellungspunkten ausgewählt werden. So lässt sich die Zeit zurückdrehen, ohne dabei das Betriebssystem, und die Programme neu installieren zu müssen. Die Systemwiederherstellung befindet sich im Bereich Computerschutz, der über die Systemeigenschaften aufgerufen wird.
In Windows 7 werden Wiederherstellungspunkte vor wichtigen Änderungen automatisch erstellt, z.B. vor der Installation von Treibern, Updates oder Programmen. Sollte z.B. nach der Installation eines Programms das System nicht mehr funktionieren, kann man den Zustand vor der Installation herstellen. Zusätzlich wird das System einmal pro Woche automatisch gesichert. Bei Bedarf kann man auch einen eigenen Wiederherstellungspunkt manuell erstellen. Hierfür wird auf die Schaltfläche Erstellen geklickt, die man im unteren Bereich des Registers Computerschutz findet.
Im nächsten Schritt erfolgt eine Abfrage. Hier muss man einen Namen für den Wiederherstellungspunkt eingeben. Dieser sollte sinnvoll vergeben sein, damit man weiß, was sich dahinter verbirgt, am besten mit einem Datum. Nachdem man wieder die Schaltfläche Erstellen betätigt hat, dauert es eine gewisse Zeit und man bekommt eine Meldung über die erfolgreiche Erstellung einer Sicherung.
Systemwiederherstellung konfigurieren
In der Standardeinstellung sichert Windows das Laufwerk C. Andere Laufwerke sind von der Sicherung ausgenommen. Jedes Laufwerk kann individuell konfiguriert werden. Hierfür wählt man das Laufwerk aus und klickt auf die Schaltfläche Konfigurieren. Im nächsten Fenster können dann wie abgebildet die Einstellungen vornehmen. Im oberen Bereich sind drei Optionen verfügbar.
- Systemeinstellungen und vorherige Dateiversionen wiederherstellen: Diese Einstellung bietet den größten Schutz. Bevor das System durch neue Programme, Treiber oder Updates verändert wird, erstellt Windows automatisch einen Wiederherstellungspunkt. Bei Bedarf können diese Änderungen über die Systemwiederherstellung wieder rückgängig gemacht werden. Zusätzlich werden Versionen von Dateien und Ordnern gesichert.
- Nur vorherige Dateiversionen wiederherstellen: Mit dieser Einstellung wird die Systemwiederherstellung quasi deaktiviert. Sobald Programme Treiber oder Updates installiert werden, wird kein Wiederherstellungspunkt gesetzt. Es werden lediglich Versionen von Dateien und Ordnern gesichert.
- Computerschutz deaktivieren: Mit dieser Einstellung wird der Computerschutz komplett deaktiviert, alle Wiederherstellungspunkte werden gelöscht und keine neue erstellt.
Speicherplatzbelegung und Löschen von Wiederherstellungspunkten
Widerherstellungspunkte belegen natürlich Speicherplatz und benötigen dabei mindestens 300MB freien Speicher. Beim Setzen eines Wiederherstellungspunktes wird natürlich nicht die komplette Größe des aktuell belegten Speicherplatzes in Anspruch genommen sondern bis zu 15% des Speicherplatzes auf dem Datenträger. Die Systemwiederherstellung kann nicht auf Festplatten angewendet werden, die kleiner als 1GB sind.
Im Konfigurationsfenster ist ein Schieberegler, über den der maximal verfügbare Speicherplatz für Wiederherstellungspunkte reserviert wird. Wird diese Grenze überschritten, werden beim Setzen von Wiederherstellungspunkten automatisch die zuerst erstellen Sicherungen gelöscht und nur die zuletzt erstellten Sicherungen sind verfügbar.
Man kann Wiederherstellungspunkte auch selbst löschen. Entweder indem man den Computerschutz deaktiviert oder über die Funktion Datenträger bereinigen. Wenn man den Computerschutz deaktiviert, werden alle Sicherungen gelöscht. Wenn man stattdessen den Weg über die Datenträgerbereinigung geht, werden alle Wiederherstellungspunkte bis auf den letzten gelöscht. Hierfür ruft man die Datenträgerbereinigung (Rechtsklick auf Datenträger - Eigenschaften - Bereinigen) auf.
Hier klickt man auf die Schaltfläche Systemdateien bereinigen.
Im Register Weitere Optionen wählt man bei Systemwiederherstellung und Schattenkopien wieder die Schaltfläche Bereinigen.
Vorherige Dateiversionen wiederherstellen
Eine wichtige Frage ist, was genau mit der Option Vorherige Dateiversionen wiederherstellen passiert. Mit den Wiederherstellungspunkten werden entgegen vieler Annahmen keine gelöschten oder geänderten Dateien wiederhergestellt. Wurde die erste Option Systemeinstellungen und vorherige Dateiversionen wiederherstellen gewählt, werden nur systemrelevante Änderungen wie z.B. Programminstallationen berücksichtigt und bei einer Systemwiederherstellung rückgängig gemacht.
Mit Vorherige Dateiversionen wiederherstellen (in den ersten beiden Optionen) ist gemeint, dass Windows eine aktuelle Version von Dateien und Ordnern erstellt. Hat man Änderungen an diesen vorgenommen, können die Änderungen über die Eigenschaften wieder rückgängig gemacht werden. Diesen Schritt muss man pro Datei oder Ordner durchführen. Es können auch nicht beliebig viele Änderungen rückgängig gemacht werden, sondern stets auf den Zustand, der bei der Erstellung des Wiederherstellungspunktes vorhanden war. Wenn man z.B. heute um 12:00 Uhr einen Wiederherstellungspunkt setzt, die Datei um 13:00, 14:00 und um 15:00 ändert, kann man nur auf die Version von 12:00 wiederherstellen.
Hierfür öffnet man das Kontextmenü (Rechtsklick) der Datei oder des Ordners, klickt auf Eigenschaften und wählt im Register Vorgängerversionen die entsprechende Version aus und klickt auf die Schaltfläche Wiederherstellen. Mit der Schaltfläche Kopieren verbleibt die neue Version am aktuellen Ort und die Vorgängerversion kann woanders kopiert werden. Wenn man sich die Version, die wiederhergestellt werden soll, zuerst anschauen möchte, kann man sie auch über die Schaltfläche Öffnen ansehen. Besonders wenn viele Wiederherstellungspunkte gesetzt sind, weiß man oft nicht mehr, welche Version nun die richtige ist.
Funktionsweise der Wiederherstellungspunkte
Wiederherstellungspunkte sind kein Ersatz für eine regelmäßige Sicherung des Datenträgers bzw. von zumindest wichtigen Daten. Denn die Funktion ist nur nutzbar, wenn man Windows zumindest im abgesicherten Modus starten kann. Wenn das System überhaupt nicht gestartet werden kann oder gar die Festplatte kaputt ist, hilft diese Funktion nicht mehr weiter. Nur eine klare Backupstrategie mit einer Kombination aus regelmäßigen Systemabbildern, inkrementellen bzw. differentiellen Backups und Wiederherstellungspunkten kann einen guten Schutz bieten.
Wiederherstellungspunkte dienen lediglich dazu, ohne großen Aufwand schnell einen Systemzustand wiederherzustellen oder die eine oder andere Datei bzw. Ordner auf die Vorgängerversion zurückzusetzen. Man sollte auch von Recovery-Laufwerken, das bei vielen Computern auf einer extra Partition liegt, keine Wiederherstellungspunkte setzen. Wenn man die Spuren einer Software beseitigen möchte, sollte man zuerst die Software auf herkömmlichem Wege deinstallieren und danach die Systemwiederherstellung starten. Auch sollte man nicht erwarten, dass das System nach der Systemwiederherstellung exakt 1 zu 1 dem entspricht, als man den Wiederherstellungspunkt gesetzt hatte. Gelöschte Dateien können mit Wiederherstellungspunkten nicht wieder hergestellt werden, genauso werden neu hinzugekommene Dateien nicht gelöscht. Die Wiederherstellungspunkte ersetzen daher kein professionelles Antiviren-Programm, denn Viren können auch nach einer Systemwiederherstellung mittels Wiederherstellungspunkte überleben.
Die Gründe für all diese Dinge liegen in der Arbeitsweise der Systemwiederherstellung. Im Grunde genommen wird beim Erstellen eines Wiederherstellungspunktes ein Snapshot von der Registry erstellt. Danach werden Änderungen an bestimmten Dateitypen überwacht, die für das Funktionieren des Systems als notwendig erachtet werden. Die persönlichen Dateien die unter den Eigenen Dateien liegen, werden nicht berücksichtigt. Bei der Systemwiederherstellung erfolgt ein Abgleich der Registry und der überwachten Dateien und diese werden wieder auf den Wiederherstellungspunkt zurückgesetzt. Die Vorgehensweise bei der Wiederherstellung des Systems wird unter Systemwiederherstellung beschrieben.
Systemrelevante Dateitypen die überwacht werden
Welche systemrelevanten Dateitypen überwacht werden, stehen in der Datei filelist.xml, der sich im Windows Ordner unter System32 > Restore befindet, z.B. C:\Windows\System32\Restore\filelist.xml. Diese Datei wurde ab Windows Vista abgeschafft. Nachfolgend eine Auflistung der Dateitypen ab Vista.
| ~~C | COL | F32 | K01 | NMD | RDC | TRG |
| ~~D | COM | FAE | K02 | NOD | REF | TRO |
| 12A | CPB | FAM | K03 | NPM | REG | TSK |
| 1PA | CPL | FAS | KBD | NQM | RGS | TSP |
| 1ST | CQM | FFP | KNN | NQV | RH | TTF |
| 386 | CR | FIN | KO | NSI | RI | TTS |
| 8BA | CRL | FIO | L0 | NSW | RJS | TUB |
| 8BY | CRS | FLL | L2L | NTE | RO | TUM |
| 8LI | CRV | FLW | L2P | NU4 | ROB | TUW |
| A2A | CS | FMC | LAB | NUM | RPR | TV |
| AAS | CSB | FMP | LAM | NUS | RPS | TVC |
| AAX | CSI | FNT | LAST | NV | RSD | TWD |
| ABM | CSL | FON | LCA | OBE | RSP | TXR |
| ABR | CSW | FSG | LCK | OCM | RSRC | TYM |
| ACF | CTB | FSS | LDA | OCX | RTA | TZD |
| ACG | CTG | GCS | LEX | ODE | RTR | UBM |
| ACO | CTY | GDB | LGC | ODL | RU | UCM |
| ACS | CUS | GI_ | LGD | OLB | S98 | UCP |
| ADK | CW_ | GMS | LGE | OLD | SAM | UCT |
| ADW | D01 | GNG | LGF | OLE | SAX | UDC |
| ADX | D02 | GPD | LIC | OP | SCK | UDI |
| AFM | D03 | GS | LID | OPG | SCR | UDL |
| AID | D04 | GSF | LIM | OR5 | SCS | UDT |
| AIP | D05 | GST | LIVEREG | OSD | SECURITY | UID |
| ALT | D32 | GUIATN | LLI | OUT | SELFREG | UIL |
| AM | DATA | GUICMD | LMC | P2A | SFP | UK |
| AMB | DB0 | GVT | LMG | PAG | SG | ULG |
| APL | DB1 | GWD | LMP | PBC | SG0 | ULK |
| APM | DB2 | H16 | LNK | PBK | SG1 | UNT |
| APP | DC2 | HCT | LO~ | PBV | SHARED | US |
| APV | DCA | HDC | LRD | PC3 | SHR | USA |
| AR | DCF | HDI | LRS | PCI | SHX | USERPROFILE |
| ARX | DCI | HDP | LSM | PDI | SIF | USP |
| AS | DCL | HFX | LSO | PDR | SK | USR |
| AT | DDB | HGD | LSQ | PEN | SLL | UTX |
| ATC | DDD | HHC | LSS | PER | SMC | V10 |
| ATL | DEP | HHK | LSX | PFB | SMM | VBS |
| ATM | DES | HK0 | LT | PFM | SNP | VBX |
| ATN | DESKLINK | HK1 | LTS | PFR | SOF | VBZ |
| AW | DET | HK2 | LV | PH | SPC | VCPREF |
| AWE | DGM | HK3 | M20 | PHO | SPE | VDB |
| AWX | DIALOG | HLP | MANIFEST | PHX | SPM | VER |
| AX | DID | HM | MAPIMAIL | PID | SPT | VFM |
| B0 | DIR | HTA | MC | PIF | SPX | VFX |
| BAT | DISABLED | HTC | MCD | PL3 | SR | VIL |
| BCF | DIX | HTZ | MCM | PLY | SRC | VLX |
| BD | DLL | HU | MD2 | PMT | SRG | VM |
| BDR | DOB | HWL | MDM | PNF | SRT | VOF |
| BE | DOS | HYP | MDP | POC | SSM | VPH |
| BGB | DRC | IAT | ME | POF | SST | VPX |
| BGR | DRS | IBD | MFL | POL | ST4 | VQA |
| BID | DRV | ICD | MHK | PPD | STB | VQM |
| BIT | DS | ICM | MIL | PR4 | STD | VSC |
| BK1 | DSC | ICO | MLN | PROPERTIES | STF | VSH |
| BLD | DSK | ICR | MMC | PRX | STP | VWP |
| BM | DSN | ICW | MMM | PSC | SWB | VXD |
| BMA | DSR | ID | MMX | PSF | SYM | W32 |
| BND | DSX | IDS | MNC | PSP | SYN | W98 |
| BNF | DT | IFA | MNL | PT | SYS | WA_ |
| BOF | DTT | ILF | MNR | PTH | T32 | WBD |
| BPP | DUN | ILG | MNS | PTX | TAG | WBM |
| BPT | DVB | ILM | MOF | PV | TB | WCD |
| BPX | DWT | IN_ | MOR | Q0 | TDF | WDL |
| BT | DXT | INCL | MP | Q32 | TH | WDS |
| BTN | DYNCMD | INF | MPD | Q3X | THE | WINSYS |
| BUC | ECF | INI | MPT | QDAT | THK | WIPEINFO |
| CAG | EFF | INK | MSB | QJF | THS | WIPESLACK |
| CAO | EFM | INL | MSC | QRS | TID | WMZ |
| CAT | EID | INO | MSE | QTC | TIE | WPC |
| CBS | EL | INS | MSI | QTD | TIP | WPX |
| CC | ELM | INV | MST | QTW | TLB | WRF |
| CF | END | IP | MSK | QUE | TLD | WSL |
| CFG | ENU | IRS | MSO | QUF | TLF | WTB |
| CHA | ENV | ISA | MXT | QUT | TLT | WTR |
| CIK | EOT | ISS | MYDOCS | R0 | TLU | XLL |
| CL | EPF | ISU | N0 | R98 | TLX | XMX |
| CLW | ET | ITF | NAM | RAD | TMC | XRS |
| CLX | EX_ | J0 | NAME | RAT | TNL | XTU |
| CLY | EXA | JA | NDX | RC2 | TOL | ZFSENDTOTARGET |
| CMD | EXCLUDE | JBR | NEW | RCP | TPA | ZH |
| CNT | EXE | JCM | NFO | RCT | TR | ZH_TW |
| CNV | EXL | JGD | NIB | RDB | TRE | ZRW |