Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Comment activer / désactiver les points de restauration

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Comment activer / désactiver les points de restauration

Cette page n'est pas encore écrite.

Assiste.com

Dossier : Restauration système et Points de restauration

Dossier : Restauration système et Points de restauration

Restaurer le système - Voir et utiliser les points de restauration

Points de restauration - compréhension générale

Activation / Désactivation / Réactivation
Windows XP
Windows Me ( Millennium Edition)
Ressources

Comment détruire sélectivement un point de restauration sous Windows XP
Il est possible de détruire sélectivement des points de reprise sur une partition. Pour cela, vous devez, es qualité "Administrateur", prendre les droits de contrôle total sur l'objet, droits qui sont réservés, normalement, à l'entité supérieure, le "Système". Sans prise de droits, le fait de cliquer sur un "Système Volume Information" vous rejette sans appel :




Faire un clic droit sur un "Système Volume Information" > Propriété > Sécurité > Ajouter > Avancé > Rechercher > Sélectionnez votre compte > Clic sur "Ok" > Clic à nouveau sur "Ok" > Cocher la case "Contrôle total" > "Appliquer" > "Ok"

Sous Windows Vista, 7, 8 : Faire un clic droit sur un "Système Volume Information" > Propriété > Sécurité > Continuer > Accepter la demande d'autorisation d'élévation de privilèges > Ajouter > Avancé > Rechercher > Sélectionnez votre compte > Clic sur "Ok" > Clic à nouveau sur "Ok" > Cocher la case "Contrôle total" > "Appliquer" > "Ok"

Vous avez désormais accès au contenu de ce répertoire. Faire la même chose pour les autres partitions. Il n'est pas nécessaire d'avoir des points de restauration ("Système Volume Information") sur les partitions ne contenant pas de fichiers système.

Attention - la destruction d'un point de restauration est sans appel. Les fichiers sont immédiatement détruits définitivement, sans passer par la case "corbeille" et sa possibilité d'avoir "des remords".




Conséquences d'une restauration après installation d'un programme ou d'un patch
Si vous effectuez une restauration à un point de restauration antérieur à l'installation d'un programme ou d'un patch, ce programme ne fonctionnera plus après la restauration ou le patch sera perdu. Pour utiliser ce programme, vous devrez le réinstaller. Pour bénéficier du patch vous devrez le ré-exécuter.

La restauration du système ne remplace pas le processus de désinstallation d'un programme. Pour éliminer complètement les fichiers installés par un programme, vous devez supprimer ce programme soit à l'aide de l'option Ajout/Suppression de programmes du Panneau de configuration, soit en exécutant le programme de désinstallation correspondant.


Comment annuler une restauration
Vous pouvez annulez la dernière restauration en sélectionnant Annuler ma dernière restauration. Si vous avez effectué récemment une restauration, l'option Annuler ma dernière restauration est affichée dans la liste Restauration du système. Vous pouvez utiliser cette option pour annuler votre plus récente restauration. Cette option est disponible uniquement si vous avez effectué une restauration.


Activation / Désactivation / Réactivation
  • Pourquoi désactiver temporairement les points de restauration?
    Bien qu'il soit recommandé de conserver cette fonctionnalité active en permanence, il est des cas où il convient de la désactiver temporairement. C'est le cas lors de l'infestation par certains virus, RATs, Keyloggers et autres malveillances. C'est le revers de la médaille et il convient donc de détruire les points de restauration puisqu'ils sont infectés en levant momentanément la fonctionnalité. Exemple :

    Restauration du système windows - point de restauration suivant

    Cette capture d'écran montre un point de restauration infecté par un Downloader. Elle n'a pu être possible que parce qu'un disque système a été copié en tant que sous-répertoire d'un autre volume sinon l'explorateur de Windows utilisé ici n'y aurait pas eu accès (voir, éventuellement, la méthode pour dévérouiller l'accès).

    • Des fichiers systèmes sont infectés par un nouveau virus pas encore détecté par votre antivirus.

    • Le système détecte une modification de ses fichiers et considère qu'il s'agit d'une mise à jour donc il effectue un point de restauration. Si vous disposez d'un système de contrôle d'intégrité en temps réel, vous êtes averti de la tentative de modification critique mais, à moins d'être un utilisateur avancé, vous ne savez pas quoi décider et vous acceptez.

    • Plus tard vous détectez un mauvais comportement de votre ordinateur et effectuez une recherche de virus. Votre antivirus (ou votre anti-trojans), désormais à jour, nettoie votre système mais n'a pas accès aux fichiers des points de restauration qui sont totalement protégés par Windows tant que la fonctionnalité de points de restauration est active. Ceci est une pure mesure de prudence de la part de Windows : il n'est pas question de permettre la levée de l'ultra protection des points de restauration et la modification des fichiers qui la constituent par une quelconque tâche externe. Eventuellement, l'antivirus peut les analyser et y détecter l'infestation mais vous dit qu'il ne peut la réparer. Il y a désormais divergence entre fichiers systèmes et fichiers de restauration.

    • Vous redémarrez votre ordinateur. Celui-ci détecte une modification entre ses fichiers courants désinfectés et ceux de son dernier point de restauration. Il pense, à tort, à une corruption des fichiers et les restaure en utilisant ceux infestés lors du dernier point de restauration.

    • Tout ceci vous étonne et vous fait écrire des messages incendiaires contre tel ou tel antivirus puis lancer des appels au secours sur divers forums. En réalité l'antivirus (ou l'anti-trojans) est empêché de réparer par Windows lui-même.

  • De l'exemple ci-dessus on conclut que

    • un antivirus (ou un anti-trojan) peut analyser les fichiers des points de restauration mais pas les modifier

    • un antivirus (ou un anti-trojan) ne pouvant modifier les fichiers des points de restauration il ne reste qu'une solution : la destruction pure et simple des fichiers des points de restauration. Soit les points de restauration sont propres et intouchables, soit ils sont corrompus et il n'est pas question de tenter de les réparer, ce qui ouvrirait la porte à toutes les attaques. La destruction du dernier point de restauration entraîne la destruction de tous les précédents. Il n'est pas question, dans ce cas, d'utiliser la possibilité de détruire sélectivement certains points de reprise et pas d'autres.


  • Conditions requises pour pouvoir activer / désactiver / réactiver :
    Vous devez être connecté en tant qu'administrateur pour faire cette manipulation sinon l'onglet "Restauration du système" ne s'affichera pas. Si vous ne savez pas comment vous connecter en tant qu'administrateur, contactez votre administrateur réseau (si vous êtes sur un réseau) ou la personne qui a installé votre ordinateur.


Windows XP
  • Désactiver la restauration du système de Windows XP :
    Ces instructions s'appliquent si vous utilisez le "Menu Démarrer" par défaut de Windows XP, et ne s'appliquent pas si vous utilisez le "Menu Démarrer classique".

    • Pour réactiver le menu par défaut, cliquez avec le bouton droit sur Démarrer, puis sur Propriétés, puis cochez "Menu Démarrer" (et non pas "Menu Démarrer classique"). Cliquez sur OK.



    • Cliquez sur Démarrer.

    • Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.



    • Cliquez sur l'onglet «Restauration du système».

    • Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs» comme le montre cette illustration :



    • Cliquez sur Appliquer. Le message suivant apparaît :



    • Comme le dit le message, ceci supprimera tous les points de restauration existants. Comme dit plus haut, il n'est pas question d'autoriser un programme externe à modifier les fichiers des points de reprise, fusse pour les réparer. Pour faire cela, cliquez sur Oui.

    • Cliquez sur OK.

    • Effectuez ce que vous avez à faire (antivirus ou anti-trojans etc. ...). Lorsque vous avez terminé, redémarrez l'ordinateur et suivez les instructions de la section suivante pour réactiver la restauration du système.


  • Activer / réactiver la restauration du système de Windows XP:
    • Cliquez sur Démarrer.
    • Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
    • Cliquez sur l'onglet «Restauration du système».
    • Désélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs».
    • Cliquez sur Appliquer puis sur OK.

      La restauration du système créera régulièrement des sauvegardes de fichiers système et fichiers de programme sélectionnés.



Windows Me ( Windows Millennium Edition )
Avec Windows Me (Windows Millennium Edition), Microsoft a inauguré un système de protection des fichiers et paramètres système. Le principe est de pouvoir repartir d'une situation saine à une date antérieure (uniquement côté système, applications installées et paramètres système - rien à voir avec les données utilisateur). Le fonctionnement de cette protection repose sur des sauvegardes faites automatiquement à intervalles réguliers. Le tout est stocké dans un dossier crypté du nom de _Restore. Il se trouve à la racine du disque système - généralement c:. C'est un dossier caché qui doit être révélé en appliquant : Explorateur de Windows > Outils > Options des dossiers > Affichage > Cochez "Afficher les fichiers et dossiers cachés" > Appliquer > Ok.

A priori, rien ni personne n'a accès à ce dossier qui, comme de bien entendu, peut contenir une sauvegarde d'un système qui a été préalablement infecté. Les utilitaires de sécurité, effectuant des éradications de malveillances, c'est-à-dire effectuant des modifications dans les fichiers, dont les fichiers système lorsqu'ils sont infectés, ne peuvent pas nettoyer les fichiers infectés se trouvant dans le dossier _Restore. Ils peuvent toutefois les lire et rapporter les erreurs qu'ils y trouvent. Un antivirus ou un anti-trojans peut donc produire un rapport indiquant ces infections dans _Restore\Temp ou _Restore\Archive mais signaler qu'il ne peut les réparer, même s'il sait, habituellement, réparer les fichiers compressés de type .zip ou .cab.

Il ne s'agit ni d'une erreur ni d'une faille de sécurité du système Windows Me. C'est la fonctionnalité "Restauration du système" de Windows Me (Windows Millennium Edition ) qui protège tous les dossiers et fichiers situés dans le dossier _Restore sur la partition système de Windows Me. Cette bibliothèque est protégée pour assurer l'intégrité des données. La fonctionnalité "Restauration du système" est la seule méthode disponible pour obtenir l'accès à cette bibliothèque. La fonctionnalité Restauration du système n'est pas conçue pour détecter une infection par des virus ou une activité de virus. Toutefois, ces fichiers sont inactifs et ne peuvent être utilisés que par la fonctionnalité "Restauration du système". Les malveillances qui s'y trouvent ne deviendraient actives qui si une restauration intervenait. Elles pourraient y rester jusqu'à leur disparition "naturelle" s'il n'y avait cet aspect psychologique devant la chose infectée, même inoffensive.

  • Contournement du problème - la fonctionnalité FIFO
    S'exécute en 3 étapes : purger au maximum _Restore; désinfecter au maximum le système; s'il subsiste quelque chose, purger intégralement les points de restauration (cette dernière étape peut être exécutée immédiatement, sans passer par les étapes 1 et 2, pour les internautes pressés et pour ceux habitués à travailler "à la hache").

    Cette méthode, FIFO ( First In First Out - Premier Entré Premier sorti), joue sur le fait que, chaque fois qu'un nouveau point de restauration est fait, et si la taille réservée à la bibliothèque _Restore est atteinte, le plus ancien point de restauration est poussé dehors (est détruit) afin de faire de la place au nouveau. La fonctionnalité FIFO démarre automatiquement dès que la taille de _Restore atteint 90% de sa taille maximale allouée et purge les fichiers les plus anciens jusqu'à ce que sa taille descende à 50% de sa taille maximale allouée.

    La méthode FIFO va donc consister à réduire la taille allouée ou minimum puis à bien nettoyer le système et enfin, uniquement s'il subsiste quelque chose, à provoquer une purge totale de _Restore.

    Etape 1 de la fonctionnalité FIFO
    Réduire la taille de l'espace alloué à la restauration : Panneau de configuration > Option Système > Onglet "Performances" > Bouton "Système de fichiers" > Onglet "Disque dur" > Curseur "Espace disque..." complètement à gauche > Appliquer > Cliquez sur OK, puis à nouveau sur OK pour fermer les propriétés du système.

    Vous devrez peut-être redémarrer votre ordinateur pour que ces modifications prennent effet.




    Si la taille maximale allouée est de 400 mégaoctets (Mo), 90% = 360 Mo donc FIFO est déclenché dès que la taille du contenu de _Restore atteint 360 Mo.

    Lancez l'explorateur de Windows, naviguez jusqu'à _Restore et faites un clic dessus avec le bouton droit de votre souris. Choisissez "Propriétés" et lisez la taille actuelle de votre bibliothèque _Restore. Supposons qu'elle soit de 200 Mo et la taille maximale allouée de 400 Mo. Réduisez la taille maximale allouée à son minimum, soit 200 Mo. FIFO va se déclencher automatiquement et purger vos fichiers de restauration les plus anciens jusqu'à ce que les fichiers conservés ne totalisent plus que 100 Mo. Voilà déjà une première partie du nettoyage de faite.

    Nota : si la taille actuelle est inférieure à 180 Mo (soit 90% du minimum de 200 Mo) FIFO ne sera pas lancé.

    Etape 2 de la fonctionnalité FIFO
    Exécuter tous vos utilitaires de nettoyage : antivirus, anti-trojans etc. ... Il se peut que plus rien ne soit trouvé : Les malveillances dans le système de points de restauration se trouvaient dans les plus anciens fichiers qui viennent d'être poussés vers la sortie (détruits). Vous avez alors terminé : inutile d'exécuter l'étape 3.

    Etape 3 de la fonctionnalité FIFO
    S'il reste des malveillances dans l'outil de restauration de Windows Me, purger intégralement le contenu de _Restore. Il va s'agir de désactivez et réactivez la fonctionnalité Restauration du système. Cette procédure supprime intégralement tous les points de restauration. N'utilisez pas cette méthode si cette suppression totale peut provoquer des problèmes. Lors de la réactivation de la fonctionnalité Restauration du système, la fonctionnalité créera un nouveau point de restauration et recommencera à surveiller votre ordinateur:

  1. Démarrer
  2. Paramètres
  3. Panneau de configuration
  4. Double-cliquez sur Système
  5. Onglet Performances
  6. Cliquez sur "Système de fichiers"
  7. Onglet "Dépannage"
  8. Activez la case à cocher "Désactiver la restauration du système"
  9. Cliquez sur Appliquer
  10. Désactivez la case à cocher "Désactiver la restauration du système"
  11. Cliquez à nouveau sur Appliquer
  12. Cliquez sur OK.
  13. Replacez, éventuellement, le curseur sur sa position d'origine ou appropriée
  14. Fermer les fenêtres ouvertes
  15. Redémarrez l'ordinateur lorsque vous êtes invité à le faire. Lors du redémarrage de l'ordinateur, la bibliothèque de données est purgée et la fonctionnalité Restauration du système recommence à surveiller votre système.




  • Suppression définitive de la fonctionnalité "Restauration du système".
    Cette opération est irréversible sauf à réinstaller Windows Me. Vous devez être à l'aise avec la manipulation de la base de registre. Faites :

    Démarrer > Exécuter > saisir la ligne suivante puis validez :
    rundll.exe setupx.dll,InstallHinfSection Uninstall 132 C:\Windows\Inf\PCHealth.inf

    Windows procède alors à la mise à jour de ses paramètres système - un indicateur de progression s'affiche. Une fois terminée, faites :
    Démarrer > Exécuter > Regedit > validez > Localisez toutes les occurrences de la clé PCHealth et détruisez-la puis faites de même pour la clé StateMgr.exe.

    Redémarrez

    Supprimez le dossier _RESTORE qui n'est désormais plus protégé.

    Redémarrez pour constater que _RESTORE n'est plus recréé.

    Nota : Cette manipulation provoque également la désactivation de MSInfo32 (un utilitaire de Windows). Elle inhibe également l'usage d'un icône d'Aide du menu Démarrer ce qui empêche l'accès à l'aide en ligne de Windows par cet intermédiaire (elles reste accessible par la touche F1). Vous pouvez alors supprimer cet icône en faisant :

    Démarrer > Exécuter > Regedit > validez > Localisez la hiérarchie
    accédez donc au registre grâce à l'éditeur Regedit et descendez l'arborescence suivante :
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

    Dans le volet de droite, créez une valeur binaire NoSMHelp et attribuez-lui la valeur 01000000

    Redémarrez.

    Le dossier _Restore est protégé par défaut et empêche des programmes d'utiliser ou de manipuler les fichiers qu'il contient. Ces fichiers sont inactifs lorsqu'ils sont stockés dans la bibliothèque de données et ne peuvent être utilisés par aucun utilitaire autre que la fonctionnalité Restauration du système.
Comment activer / désactiver les points de restauration