Windows herstellen makkelijk gemaakt – automatische instant recovery

Wil je Windows herstellen makkelijk maken? Dat kan met instant recovery tools. Met één klik kun je daarmee Windows herstellen naar een eerder opgeslagen toestand. Je kunt zo’n recovery tool ook nog voor andere doeleinden gebruiken.

Als je een Windows-systeem wilt beschermen tegen ongewenste wijzigingen door andere gebruikers, zijn er verschillende mogelijk­heden. Een daarvan hebben we eerder beschreven: het gebruik van de kioskmodus, die alleen een bepaalde applicatie toestaat en met een zeer beperkt gebruikersaccount werkt. Na het schrijven daarvan kregen we de vraag of zogenaamde instant-recovery-software niet voor hetzelfde doel gebruikt kan worden. Het antwoord op die vraag is: ja en nee. Maar even van voren af aan.

Instant Recovery zorgt ervoor dat de toestand van de harde schijven van een computer automatisch gereset wordt naar een vooraf gedefinieerde begintoestand, die door software-aanbieders de ‘base­line’ wordt genoemd. Meestal gebeurt dat wanneer het systeem opnieuw wordt opgestart.

Dat werkt met een driver die ervoor zorgt dat alle wijzigingen aan de inhoud van de harde schijf niet meteen naar het bestands­systeem geschreven worden, maar in een buffer terechtkomen. Die cache wordt dan bij elke herstart ­weggegooid, zodat weer telkens hetzelfde systeem opstart. Dat is te vergelijken met een virtuele machine die telkens als hij wordt opgestart weer gereset wordt naar een aanvankelijk gemaakte snapshot.

Een product dat daar permanent gratis voor gebruikt kan worden, is Reboot Restore Rx van de producent Horizon DataSys. Dat kan net als een kioskmodus worden gebruikt om een computer geschikt te maken voor een serie-marathon of als een muziek-pc voor een feestje. In tegenstelling tot de kioskmodus kunnen zichzelf grappig vindende gebruikers inbreken op het systeem, maar het herstarten van de computer zal de schade in een mum van tijd herstellen.

Reboot Restore Rx kan alle harde schijven van een Windows-systeem herstellen – inclusief de herstel- en EFI-partities.

Om te voorkomen dat een gebruiker (per ongeluk of met opzet) de instant-recovery-service lamlegt, is het essentieel om toekomstige gebruikers niet met een administratoraccount te laten surfen op internet – zonder administratorrechten kan Reboot Restore Rx niet uitgeschakeld worden.

Maak dus eerst een gebruikersaccount aan met standaard rechten. Dat gaat met het toetsenbord veel sneller dan door de instellingen heen te klikken. Open Opdrachtprompt of PowerShell met administrator­rechten, bijvoorbeeld met Windows+X en open de ‘Windows PowerShell (Admin)’. Dan maakt het commando

net user TempGebruiker /add

een nieuw standaard-gebruikersaccount met de naam ‘TempGebruiker’ aan zonder wachtwoord. Log eenmalig in met het nieuwe account om de eerste installatie te doorlopen, inclusief de privacy-instellingen. Geef desgewenst een wachtwoord op. Je kunt dat doen bij de instellingen onder ‘Accounts / Aanmeldingsopties’. Installeer en configureer alle benodigde software en zorg ervoor dat alle gewenste mediabestanden beschikbaar zijn voor dat gebruikersaccount. Om dat te doen, kun je ze kopiëren van je administratorsaccount naar het openbare gebruikersprofiel, bijvoorbeeld naar C:\Users\Public\Music. Elk gebruikersprofiel op de pc kan gebruiken wat daar is opgeslagen.

Installeer vervolgens Reboot Restore Rx. Op de downloadpagina voor de gratis versie krijg je een formulier waarop je een geldig e-mailadres moet invoeren waar de producent een link naartoe stuurt. Bij de installatie van Rx hoef je alleen maar aan te geven welke partities beschermd moeten worden. Als de bescherming alleen betrekking heeft op schijf C:, dan is het systeem niet beschermd tegen schade aan de bootloader. Zolang je geen aparte partitie wilt waarvan de inhoud het herstarten moet overleven (bijvoorbeeld voor data-uitwisseling), dan is er geen reden om tijdens het installeren niet alle partities te selecteren.

Na een herstart van de computer is de bescherming actief. De toestand van de harde schijven tijdens het installeren en de daaropvolgende herstart wordt daarmee de ‘baseline’, met andere woorden dus de toestand waarin het systeem na elke nieuwe start gereset wordt.

Deze werkwijze zorgt er ook voor dat Windows-­updates mislukken omdat het systeem onvermijdelijk vergeet dat ze hebben plaatsgevonden wanneer het opnieuw wordt opgestart. Daarom kan Reboot ­Restore Rx worden gestopt om updates te installeren en voor andere onderhoudstaken.

Om dat te doen, log je in op Windows met een administratoraccount, klik je met de rechtermuisknop op het programmapictogram op de taakbalk en klik je vervolgens op ‘Disable’. Installeer dan de updates, start de pc opnieuw op en herstart de Reboot Restore Rx op dezelfde manier – het bijgewerkte systeem wordt dan de nieuwe baseline.

De betaalde versie kan Windows-updates automatisch importeren in het baseline-systeem en kun je op afstand beheren.

Instant-recovery maakt de computer tot op zekere hoogte onkwetsbaar, want bijna elke verandering verdwijnt met een herstart – zolang de instant-­recovery-software zelf niet uitgeschakeld wordt tenminste. Je moet echter niet de fout maken om dit als bescherming tegen virussen te zien. Ransom-trojans en keyloggers en dergelijke zijn na een herstart wel weer verdwenen en de door ransomware versleutelde bestanden weer leesbaar, maar totdat dat gebeurt kan een virus al heel wat schade veroorzaken – door bijvoorbeeld het lezen van wachtwoorden, het stelen van bankgegevens, het verzenden van spam of het proberen te besmetten van andere pc’s in het netwerk.

Voor openbare pc’s die door jan en alleman gebruikt worden, is instant-recovery dus niet de aangewezen methode. Daar moet je de kioskmodus gebruiken om te voorkomen dat een systeem geïnfecteerd wordt. Instant-recovery kan echter zeker dienen als tweede beschermingslaag als een gebruiker er ooit in slaagt om het systeem te beschadigen.

Daarnaast is instant-recovery niet alleen nuttig voor party- of internet-pc’s, maar wordt het ook professioneel gebruikt voor opleidingscomputers of bij leen­apparaten die bedrijfsbeheerders voor een korte periode aan medewerkers kunnen uitlenen. Vooral voor trainingsruimtes is instant-recovery efficiënter dan het gebruik van complete systeemimages, die na elk gebruik van de computers weer via een netwerk­installatie geïnstalleerd moeten worden.

Voor dergelijke scenario’s biedt de producent een Pro-editie van Reboot Restore Rx. Na invullen van je e-mailadres op de downloadpagina krijg je een link voor de testversie hiervan. Die biedt een aantal extra functies zoals een geplande automatische reset, geplande Windows-updates, het vergrendelen van verwijderbare media en een beheerconsole op afstand voor systeembeheerders. Dat stelt hen in staat om de herstelstatus van beschermde systemen centraal te bewaken, machines op afstand te resetten of af te sluiten – en meer.

Voor incidenteel privégebruik zijn de prijzen echter stevig: die beginnen met een eenmalige vergoeding van 82 euro voor een enkele gebruikerslicentie plus een optionele vergoeding van ongeveer 18 euro per jaar voor updates en ondersteuning.

Een beperking is dat Reboot Restore Rx niet kan omgaan met stationsversleuteling à la BitLocker – en dat geldt voor zowel de freeware-versie als de bovengenoemde Pro-versie. Dat kan bijvoorbeeld wel met het vergelijkbare Shadow Defender. Die software is alleen beschikbaar als gratis proefversie voor 30 dagen en moet dan voor 38 euro worden aangeschaft. Wat functies betreft zit dat programma tussen de twee varianten van Reboot Restore Rx in en biedt het uitsluitingen voor mappen, bestanden en registertakken, maar geen opties voor beheer op afstand.

Een ander soortgelijk gratis programma heet ToolWiz Time Freeze. Wat ons betreft is er in principe niets tegen dat programma, maar we hebben het in dit artikel niet gebruikt omdat het in tegenstelling tot Reboot Restore Rx bij onze test niet in staat was om de bootconfiguratie van het besturingssysteem te beschermen. In de praktijk hoeft dat niet per se een nadeel te zijn omdat de gebruikers van een systeem meestal toch geen administratorrechten hebben – die zouden ze nodig hebben om de bootloader te wijzigen.

Net als bij de kioskmodus kan instant-recovery-­software één ding niet: voorkomen dat gebruikers een opstartbare usb-stick op de pc aansluiten en hem daar opnieuw mee opstarten om vervolgens het besturingssysteem te veranderen. Stel daarom de boot­configuratie in het BIOS zo in dat de computer alleen vanaf de interne harde schijf opstart en je het BIOS met een wachtwoord beveiligt.

Het BIOS van veel computers heeft ook mogelijkheden om bepaalde onderdelen van het systeem uit te schakelen. Daarmee kun je voorkomen dat gebruikers de usb-poorten, webcam of microfoon kunnen ­g­ebruiken.

(Jan Schüßler en Noud van Kruysbergen, c’t magazine 7-8/2020, p. 134)

Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief: