jadenmaciel/windows-backups-and-forensics

GitHub: jadenmaciel/windows-backups-and-forensics

一份面向 Windows 管理员的实验笔记,系统性地记录了自动化备份配置、补丁更新验证及取证易失性顺序的实操工作流。

Stars: 0 | Forks: 0

# 模块 11 实验 — 备份与取证 (Windows) ![最近更新](https://img.shields.io/badge/last%20updated-2026--06--29-informational) **一句话目标:** 配置并运行针对辅助磁盘的自动化 Windows 备份,通过更新前后的证据和发布说明验证软件补丁,并记录实用的取证易失性顺序。 ## 问题 / 目标 - 设置针对**不同物理磁盘**的**自动**备份(非简单同步)。 - 捕获有关**源/目标**、**计划任务**以及**成功运行**的证据。 - 执行**软件更新**,展示**更新前后的版本**,并附上**发布说明**。 - 总结**取证易失性顺序**及其在事件响应中的重要性。 ## 环境与前置条件(版本) - **OS:** Windows Server 2019/2022 或 Windows 10/11(需具有管理员权限的 PowerShell) - **备份工具:** Windows Server Backup (`wbadmin`) 或 Windows 客户端映像工具 - **存储:** 辅助磁盘(例如 `E:`),具有足够的可用空间 - **PowerShell:** 5.1+ ## 步骤摘要 ### 备份 - 添加/验证**辅助磁盘**(例如 `E:`)并为其打上标签(例如 `backup`)。 - (服务器)安装 **Windows Server Backup**:*添加角色和功能 → Windows Server Backup*。 - 配置针对 `E:\` 的**计划备份**: - 选择 `C:\` 上的关键卷或选定文件夹作为**源**。 - 将**目标**设置为 `E:\`。 - 选择**每日**计划(或根据需要增加频率)。 - 运行**初始按需**备份以确认成功。 - 记录备份元数据: wbadmin get versions wbadmin get items -version: ## 补丁 - 打开目标应用程序并截取“关于”屏幕(更新前版本)。 - 应用更新;截取“关于”屏幕(更新后版本)。 - 保存该确切版本的官方发布说明。 ## 取证(易失性顺序) - 起草一份关于易失性顺序的简短笔记(例如,CPU 寄存器/Cache → RAM → 网络状态 → 运行进程 → 磁盘 → 备份/归档)。 - 将该概念与快速分类检查如何保留高易失性证据联系起来。 ## 结果与验证 - 备份成功完成至 E:\WindowsImageBackup\.... - wbadmin get versions 显示当前的版本标识符(例如 11/06/2025-00:45)。 - wbadmin get items -version: 列出包含的卷/文件。 - 已打补丁的应用程序显示更新的版本,与发布说明相匹配。 - 所有证据截图均存在于 /artifacts 下。 ## 命令与实用路径 # 列出备份版本 wbadmin get versions # 列出特定备份版本中捕获的项目 wbadmin get items -version:11/06/2025-00:45 # 恢复概述(基于映像): 1. 启动 Windows 安装介质 → 修复你的计算机 2. 疑难解答 → 系统映像恢复 3. 定位到 E:\WindowsImageBackup 并按照向导操作。 # 验证 Edge 版本(示例): - 导航至 edge://settings/help ## 学习心得 - 为什么快照 ≠ 备份,以及磁盘外副本的价值。 - 如何计划和验证自动化的 Windows 备份。 - 如何通过更新前后的证据和供应商说明来证明补丁操作。 - 实用的取证易失性顺序以及实时状态捕获的紧迫性。 - 使用 wbadmin 进行可审计的版本/项目枚举。 ## 故障排除说明 - 不要以与源相同的物理磁盘为目标;请使用单独的磁盘或网络共享。 - 如果 wbadmin 不可用,请添加 Windows Server Backup(服务器版)或使用客户端映像工具。 - 检查 VSS (Volume Shadow Copy Service);失败的写入器可能会中断备份。 - 某些应用程序在“关于”中显示新版本之前需要重新启动。 - 如果 get items 未返回任何内容,请验证确切的版本标识符格式。 ## 下一步 / 扩展 - 添加云副本(对象存储),向 3-2-1 备份策略迈进。 - 编写每周完整性检查脚本,确认最新的备份时间戳。 - 使用 winpmem/Velociraptor/KAPE 以及哈希 + 证据保管链扩展取证。 - 运行定时的恢复演练并记录 RTO/RPO。 ## 许可与署名 代码和文档:MIT License(参见 LICENSE)。 实验报告由 Jaden Maciel-Shapiro 撰写;参考了课程材料中的结构和评估标准。
标签:AI合规, 实验笔记, 库, 应急响应, 数字取证, 数据备份, 系统运维, 自动化脚本, 防御加固