Windows-Papierkorb und Schattenkopien im Netzwerk nutzen
Recyclingfähig
Veröffentlicht in Ausgabe 09/2023 - PRAXIS
Ein falscher Klick oder ein unbedachter Tipp auf die Taste "Entf", schon steigt der Stresslevel, ob nicht wichtige Daten verschwunden sind. Doch lokale Partitionen auf fest verbauten Speichermedien schützt Windows seit jeher mithilfe seines eigenen Papierkorbs. Wer Objekte nicht mit der Tastenkombination "Umschalt+Entf" bewusst am Papierkorb vorbei in den Orkus befördert, findet versehentlich gelöschte Dateien und Ordner darin wieder und stellt sie mit einem Klick am ursprünglichen Ort ihres Verschwindens wieder her.
Für Freigaben im Netzwerk hat Microsoft den Papierkorb allerdings nicht ohne Weiteres ausgelegt. Begeben Sie sich daran, in einer Freigabe gespeicherte Objekte zu löschen, fragt Windows zumindest, ob Sie die jeweiligen Dateien oder Ordner wirklich unwiderruflich löschen möchten. Sollte sich die Entscheidung anschließend aber als falsch herausstellen, hilft nur eine Wiederherstellung aus dem letzten Backup, das vielleicht nicht den jüngsten Stand der verlorenen Daten enthält.
Papierkorb für verbundene Laufwerke und UNC-Pfade
Um Nutzer beim Arbeiten mit Freigaben vor Unheil zu bewahren, können Sie grundsätzlich auch dort den Windows-eigenen Papierkorb aktivieren. Der Vorteil besteht darin, dass der Papierkorb als versteckter Unterordner innerhalb der jeweiligen Freigabe liegt. Daher können bei passender Konfiguration alle Benutzer von allen Clients über das Papierkorb-Icon auf ihrem lokalen Windows-Desktop gelöschte Objekte in Freigaben sehen und wiederherstellen. Sie sollten sich aber der möglichen Fallstricke dabei bewusst sein, auf die wir im Folgenden eingehen.
Ein falscher Klick oder ein unbedachter Tipp auf die Taste "Entf", schon steigt der Stresslevel, ob nicht wichtige Daten verschwunden sind. Doch lokale Partitionen auf fest verbauten Speichermedien schützt Windows seit jeher mithilfe seines eigenen Papierkorbs. Wer Objekte nicht mit der Tastenkombination "Umschalt+Entf" bewusst am Papierkorb vorbei in den Orkus befördert, findet versehentlich gelöschte Dateien und Ordner darin wieder und stellt sie mit einem Klick am ursprünglichen Ort ihres Verschwindens wieder her.
Für Freigaben im Netzwerk hat Microsoft den Papierkorb allerdings nicht ohne Weiteres ausgelegt. Begeben Sie sich daran, in einer Freigabe gespeicherte Objekte zu löschen, fragt Windows zumindest, ob Sie die jeweiligen Dateien oder Ordner wirklich unwiderruflich löschen möchten. Sollte sich die Entscheidung anschließend aber als falsch herausstellen, hilft nur eine Wiederherstellung aus dem letzten Backup, das vielleicht nicht den jüngsten Stand der verlorenen Daten enthält.
Papierkorb für verbundene Laufwerke und UNC-Pfade
Um Nutzer beim Arbeiten mit Freigaben vor Unheil zu bewahren, können Sie grundsätzlich auch dort den Windows-eigenen Papierkorb aktivieren. Der Vorteil besteht darin, dass der Papierkorb als versteckter Unterordner innerhalb der jeweiligen Freigabe liegt. Daher können bei passender Konfiguration alle Benutzer von allen Clients über das Papierkorb-Icon auf ihrem lokalen Windows-Desktop gelöschte Objekte in Freigaben sehen und wiederherstellen. Sie sollten sich aber der möglichen Fallstricke dabei bewusst sein, auf die wir im Folgenden eingehen.
Mit den bekannten Ordnern (im Englischen "Known Folders") hat Microsoft bereits seit Windows Vista den Schutz des Papierkorbs auf ins Netzwerk umgeleitete Ordner des Benutzerprofils ausgedehnt [1]. Wir können uns diese Technik zunutze machen, um auch indivi- duelle Pfade mit dem Papierkorb zu integrieren. Das funktioniert sowohl für Freigaben, die Nutzer unter einem Laufwerksbuchstaben im Windows-Explorer einbinden, als auch für solche, die sie per Uniform Naming Convention (UNC), also als Pfad in der Form "\\server\freigabe", ansprechen.
Als erste Beschränkung müssen Sie dabei allerdings berücksichtigen, dass Windows die zu schützenden Pfade im maschinenspezifischen Teil der Systemregistrierung, also im Zweig "HKEY_ LOCAL_MACHINE" (HKLM), abgelegt. Erwarten Sie eine bestimmte Freigabe unter dem Laufwerksbuchstaben "Z", müssen Sie dafür sorgen, dass alle weiteren Benutzer des Computers die jeweilige Freigabe ebenfalls unter diesem Buchstaben verbinden. Alternativ bleibt der Zugriff per UNC-Pfad.
Um die Handhabung des Papierkorbs in der Praxis zu erleichtern, sollten sich alle Benutzer einig sein, ob Sie ein Ziel per UNC-Pfad ansprechen oder unter einem bestimmten Laufwerksbuchstaben verbinden. Denn haben Sie den Papierkorb in der Registry nur für den Laufwerksbuchstaben aktiviert, würden Benutzer beim Zugriff per UNC-Pfad Objekte am Papierkorb vorbei löschen – umgekehrt gilt dies ebenso.
Grundsätzlich können Sie die Einstellungen für den Papierkorb zwar doppelt einpflegen, sodass sie für den UNC-Pfad und den Laufwerksbuchstaben gelten, etwa für eine Freigabe "\\server\freigabe1", die zusätzlich auch unter dem Buchstaben "Z" eingebunden ist. Dies bringt aber praktische Nachteile mit sich: Es führt zum einen dazu, dass der Papierkorb den Nutzern gelöschte Objekte doppelt anzeigt. Zum anderen merkt sich der Papierkorb den ursprünglichen Speicherort eines Objekts als absoluten Pfad.
Hat ein Benutzer also ein Objekt aus dem Z-Laufwerk gelöscht, kann ein anderer Benutzer, der nur per UNC-Pfad auf "\\server\freigabe1" zugreift, dieses nicht wiederherstellen, solange er die Freigabe nicht ebenfalls als "Z" verbindet. Um unnötige Verwirrung und Supportanfragen zu vermeiden, empfehlen wir daher, konsequent entweder nur mit UNC-Pfaden oder nur mit verbundenen Laufwerken zu arbeiten.
Berechtigungen ausgehebelt
Besondere Vorsicht ist weiterhin im Hinblick auf die Berechtigungen im Dateisystem geboten. Meldet sich ein Benutzer auf einer Maschine mit einer in der Registry konfigurierten Freigabe an, der aber bereits auf oberster Ebene nicht zum Zugriff auf diese Freigabe berechtigt ist, erhält er eine Warnmeldung der Form "Der Papierkorb auf … ist beschädigt. Möchten Sie den Papierkorb für dieses Laufwerk leeren?" bei der Anmeldung sowie bei jedem Zugriff auf den Papierkorb.
Schränken Sie stattdessen Berechtigungen erst auf Unterordnern innerhalb der Freigabe ein, verbessert dies die Situation leider nicht. Im Gegenteil umgeht der Papierkorb gewollte Einschränkungen und verschafft eventuell Benutzern Zugriff auf Informationen, für die sie nicht berechtigt sein sollten. Löscht etwa Benutzerin Erika mit Vollzugriff Objekte aus einem Unterordner, den Benutzer Max nicht lesen darf, landen diese im Papierkorb. Daraufhin kann Max diese Objekte im Papierkorb sehen. Mangels Zugriffs auf den Ursprungsort kann er sie zwar nicht wiederherstellen, aber aus dem Papierkorb an einen anderen Ort verschieben und dort darauf zugreifen.
Der Papierkorb funktioniert somit nur zuverlässig und im Sinne von Informationssicherheit und Datenschutz, sofern alle beteiligten Nutzer auf den Freigaben gleichermaßen berechtigt sind. Wägen Sie also im Vorfeld sorgfältig ab, ob und für welche Laufwerksbuchstaben oder UNC-Pfade Sie den Papierkorb einrichten.
Papierkorb per Registry aktivieren
In jedem Fall benötigen Sie pro Laufwerksbuchstaben sowie UNC-Pfad jeweils einen Globally Unique Identifier (GUID) – eine eindeutige Zeichenfolge, mit der Windows das jeweilige Ziel identifiziert. Einen GUID erzeugen Sie wahlweise über online verfügbare Generatoren oder aber per PowerShell. Der folgende PowerShell-Befehl generiert einen solchen und setzt diesen auch gleich in geschweifte Klammern, wie die Windows-Registry es erwartet:
"{"+[guid]::NewGUID().ToString().ToUpper()+"}"
Für mehrere Ziele verwenden Sie den Befehl einfach wiederholt, die PowerShell gibt jedes Mal eine neue zufällige Zeichenfolge aus. Administrative Berechtigungen vorausgesetzt, tragen Sie für erste Gehversuche die nötigen Informationen einfach manuell im Registrierungseditor ein oder passen eine Textdatei für Registrierungseinträge für Ihre Zwecke an. In unserem Beispiel (Listing 1) aktiviert der erste Block den Papierkorb für eine unter dem Laufwerksbuchstaben "Z" verbundene Freigabe, der zweite Block erledigt dies für den UNC-Pfad "\\server\freigabe1".
Listing 1: Registry-Einträge für Netzwerk-Papierkorb
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{24CF499D-C861-4B23-9828-64DEF39AA19E}]
"RelativePath"="Z:\\"
"Category"=dword:00000004
"Name"="Z-Laufwerk"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions\{5CD7F803-9731-4000-8BCA-9EB226E065B9}]
"RelativePath"="\\\\<server>\\<freigabe1>"
"Category"=dword:00000004
"Name"="Freigabe1"<Pattern
Möchten Sie mehrere Ziele schützen, vervielfältigen Sie die Blöcke nach Bedarf. Achten Sie dabei aber darauf, jeden Backslash durch einen weiteren Back-slash zu maskieren und für jeden Pfad einen neuen GUID zu generieren. Nach dem Import der Datei in die Registrierung melden Sie sich einmal vom Windows-System ab und wieder an. Öffnen Sie nun die Eigenschaften des Papierkorbs, erscheinen dort die neuen Ziele als separate Papierkorbpfade. Für Laufwerksbuchstaben gilt dies allerdings nur, sofern unter dem jeweiligen Buchstaben aktuell auch tatsächlich ein Laufwerk verbunden ist. Löschen Sie in den geschützten Freigaben nun Objekte, finden Sie diese anschließend im Papierkorb und stellen sie daraus mit einem Klick wieder her.
Individuelle Größe pro Benutzer festlegen
Der Papierkorb im Netz funktioniert nun für jeden Benutzer, der sich an einem System mit den passenden Werten in der maschinenspezifischen Registry anmeldet. Dabei wählt Windows automatisch die Größe des Papierkorbs je Ziel. Möchten Sie stattdessen die Größe selbst fix vorgeben, benötigen Sie dazu zusätzliche Einstellungen im benutzerspezifischen Teil der Registry unter "HKEY_CURRENT_USER" (HKCU).
Hierzu importieren Sie wiederum eine Textdatei für Registrierungseinträge. Der Wert "MaxCapacity" nimmt dabei die gewünschte Größe des Papierkorbs in MByte als hexadezimalen Wert entgegen. Und "NukeOnDelete" sorgt mit dem Wert "0" dafür, dass der Papierkorb auch aktiv ist. Ändern Sie diesen Wert auf "1", deaktivieren Sie den Papierkorb für das jeweilige Ziel. Um unser vorheriges Beispiel wieder aufzugreifen, legen wir die Größe des Papierkorbs pro Laufwerk mit dem hexadezimalen Wert von "0x0000c800" auf 51.200 MBytes fest und schalten den Papierkorb ein (Listing 2).
Listing 2: Größe des Papierkorb festlegen
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Known-Folder\{24CF499D-C861-4B23-9828-64DEF39AA19E}]
"MaxCapacity"=dword:0000c800
"NukeOnDelete"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Known-Folder\{5CD7F803-9731-4000-8BCA-9EB226E065B9}]
"MaxCapacity"=dword:0000c800>"
"NukeOnDelete"=dword:00000000
Einstellungen mit Gruppenrichtlinien verteilen
Innerhalb einer Active-Directory-Infrastruktur konfigurieren Sie den Papierkorb alternativ zur Textdatei für Registrierungseinträge komfortabler mittels Gruppenrichtlinieneinstellungen (Group Policy Preferences; GPP). Die GPP hatte Microsoft erstmals mit Windows Server 2012 eingeführt [2]. Dabei haben Sie die Wahl, entweder separate Gruppenrichtlinien (Group Policy Objects; GPO) für die Computer und für die Benutzer zu konfigurieren oder sämtliche Einstellungen auf Basis der Computerkonten zuzuweisen. Exemplarisch verwenden wir letztere Methode.
Erstellen Sie in der Gruppenrichtlinienverwaltung dazu ein neues GPO, das Sie der Organisationseinheit mit Ihren Clientcomputern darin zuweisen. Öffnen Sie das GPO im Gruppenrichtlinien-Verwaltungseditor und navigieren Sie in den Pfad "Computerkonfiguration / Richtlinien / Administrative Vorlagen… / System / Gruppenrichtlinie". Darin aktivieren Sie die Einstellung "Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie konfigurieren" mit dem Modus "Zusammenführen".
Der Loopbackverarbeitungsmodus bewirkt, dass sämtliche benutzerspezifischen Einstellungen, die Sie innerhalb des GPOs konfigurieren, für alle Benutzer aktiv werden, die sich an einem vom GPO betroffenen Computer anmelden. Der Modus "Zusammenführen" sorgt dafür, dass Windows diese Einstellungen mit allen übrigen Einstellungen kombiniert, die sich aus anderen benutzerspezifischen GPOs ergeben. Stehen die Einstellungen mehrerer GPOs im Konflikt zueinander, gewinnen die Einstellungen aus dem Computer-GPO.
Nun navigieren Sie zum Pfad "Computerkonfiguration / Richtlinien / Einstellungen / Windows-Einstellungen / Registrierung". Per Rechtsklick können Sie dort Sammlungselemente als Unterordner zur besseren Strukturierung anlegen, in unserem Fall etwa den Ordner "Z-Laufwerk". Innerhalb des Ordners konfigurieren Sie dann die drei Registrierungselemente, um den Papierkorb für ein bestimmtes Ziel zu aktivieren, wobei wiederum der Schlüssel mit einem eindeutigen GUID endet.
Weiter geht es im Pfad "Benutzerkonfiguration / Einstellungen / Windows-Einstellungen / Laufwerkszuordnungen", wo Sie Ihre Freigabe mit dem gewünschten Laufwerksbuchstaben verbinden. Zu guter Letzt legen Sie dann im Pfad "Benutzerkonfiguration / Einstellungen / Win-dows-Einstellungen / Registrierung" ebenfalls ein Sammlungselement für Ihr Laufwerk an, das die passenden Registrierungselemente mit den benutzerspezifischen Einstellungen enthält (Bild1).
Starten Sie nun einen der Clientcomputer, auf den das GPO wirkt, neu oder aktualisieren Sie die Gruppenrichtlinien mit dem Befehl
gpupdate /force. Sobald Sie daraufhin einen Benutzer an dem Computer anmelden, findet dieser im Windows-Explorer automatisch das Z-Laufwerk mit aktivem Papierkorb vor. Sofern keine differenzierten Berechtigungen innerhalb der Freigabe dem entgegenstehen, bieten die Bordmittel von Windows somit eine Möglichkeit, den Papierkorb auch im Netzwerk zu verwenden.Versionierung mit Schattenkopien
Mit den Schattenkopien bietet sich ein weiteres Bordmittel als Alternative zum Papierkorb an, wenngleich deren Funktionalität nicht direkt mit der des Papierkorbs vergleichbar ist [3]. Die Schattenkopien funktionieren auch in Verbindung mit Dateifreigaben, berücksichtigen Berechtigungen und unterstützen die Versionierung von Dateien. Sie erlauben aber bei versehentlichem Löschen nur die Rückkehr zum letzten Sicherungspunkt. Demgegenüber unterstützt der Papierkorb keine Versionen, speichert dafür aber den aktuellen Stand einer Datei zum Zeitpunkt des Löschens.
Sie können Schattenkopien nur auf Basis ganzer Volumes konfigurieren und nicht für einzelne Dateifreigaben innerhalb eines Volumes. Sie aktivieren die Schattenkopien auf Ihrem Windows-Dateiserver, indem Sie per Rechtsklick auf ein Volume aus dem Kontextmenü die Aktion "Schattenkopien konfigurieren…" aufrufen. Nun aktivieren Sie für das gewünschte Volume die Funktion, die zunächst mit Standardeinstellungen ihre Arbeit aufnimmt. Diese Settings erzeugen an jedem Werktag zwei Schattenkopien, jeweils um 7 und um 12 Uhr. Über die Einstellungen können Sie das Limit des Speicherplatzes ändern, den Windows für Schattenkopien reserviert. Weiterhin passen Sie dort die hinterlegten Zeitpläne an, wobei Microsoft empfiehlt, nicht mehr als zwei Schattenkopien pro Stunde zu erstellen.
Benutzer erreichen die Schattenkopien anschließend, indem sie per Rechtsklick auf ein verbundenes Laufwerk oder einzelne Objekte darin deren Eigenschaften öffnen. Dort finden sie die Registerkarte "Vorgängerversionen" mit einer Liste aller verfügbaren Schattenkopien. Sie können die Objekte aus der Schattenkopie schreibgeschützt öffnen, um sie an einen anderen Ort zu kopieren oder aber am selben Speicherort den früheren Zustand wiederherstellen (Bild 2).
Alternativer Papierkorb für Clients und Server
Als Alternative zu den Bordmitteln bieten sich kommerzielle Produkte von Drittanbietern an. So ersetzt etwa die Software "Undelete" [4] des Herstellers Condusiv den Windows-eigenen Papierkorb durch ein eigenes Werkzeug, beachtet Dateisystem-Berechtigungen und integriert ähnlich den Schattenkopien auch eine Versionierung für bestimmte Dateitypen.
Der Hersteller bietet zwei Editionen der Software an: Undelete Pro, lizenziert pro Client, ist für den Einsatz auf Worksta-tions, Notebooks und Einzelplatzrechnern konzipiert und bietet grundlegende Funktionen zur Datenwiederherstellung von lokalen Festplatten und Netzwerklaufwerken. Diese Edition eignet sich somit für einzelne Benutzer oder kleinere Arbeitsgruppen.
Die Variante Undelete Server, lizenziert pro Windows-Dateiserver, adressiert zentral verwaltete Infrastrukturen in größeren Unternehmen. Sie installieren die Software direkt auf einem Windows-Dateiserver. Alle Anwender benötigen lediglich den zugehörigen Desktopclient, den Sie wahlweise mithilfe des Werkzeugs "Undelete PushInstall" vom Server an die Clients ausbringen oder aber mittels einer beliebigen anderen Anwendung zur automatisierten Installation von Software im Netzwerk verteilen.
Der Desktopclient verursacht keine zusätzlichen Lizenzkosten und ist für beliebig viele Endpunkte in der Server-Lizenz enthalten. Das Setup eignet sich allerdings nur für Microsofts Client-Betriebssysteme. Ein Terminalserver (Remote Desktop Session Host) benötigt eine separat zu lizenzierende Installation der Server-Edition.
Papierkorb mit erweiterten Funktionen
Undelete entfernt das Icon des Windows-Papierkorbs vom Desktop und ersetzt es durch den eigenen "Recovery Bin". Der ist zwar leider nur in englischer Sprache verfügbar, geht aber mit seiner Funktionalität deutlich über die Bordmittel von Windows hinaus. Unabhängig davon, wer von wo eine Datei löscht, lokal oder per entferntem Zugriff auf eine Freigabe, speichert der Recovery Bin diese für eine Wiederherstellung.
Im Vergleich zum Windows-Papierkorb bietet die grafische Benutzeroberfläche des Recovery Bins deutlich mehr Optionen. Insbesondere stellt Undelete die Inhalte, ähnlich dem Windows-Explorer, in einer erweiterbaren Hierarchie in der linken Fensterhälfte dar (Bild 3). Sie finden dort auf einen Blick umfassende Informationen zu den wiederherstellbaren Dateien.
Weiterhin können Sie mittels der Option "Search Recovery Bin" die gespeicherten Objekte nach diversen Parametern durchsuchen. Undelete berücksichtigt dabei Namen und ursprünglichen Speicherort der Objekte, weiterhin Zeiträume, in denen die Objekte erzeugt oder gelöscht wurden, und zu guter Letzt auch, wer der Eigentümer des Objekts ist und wer es gelöscht hat.
Standardmäßig schützt Undelete alle zum Zeitpunkt der Installation vorhandenen Volumes und verwaltet einen eigenen Recovery Bin pro Volume. Im Bereich "Settings / Properties" stellen Sie bei den globalen Einstellungen ein, dass Undelete automatisch auch für alle neu erkannten Volumes einen Recovery Bin einrichtet. Weiterhin dürfen Sie entscheiden, ob Undelete die Größe des Recovery Bins automatisch am freien Speicherplatz ausrichtet, und individuelle Einstellungen pro Volume festlegen.
Auf der Registerkarte "Versions" bestimmen Sie, für welche Dateitypen Undelete wie viele Versionen aufbewahrt werden soll. Ab Werk deckt Undelete die alten sowie neuen Microsoft-Office-Formate ab und bewahrt jeweils die letzten fünf Versionen entsprechender Dateien auf. Anders als die Schattenkopien berücksichtigt Undelete dabei nicht den Stand zu einem definierten Zeitpunkt, sondern die tatsächlichen Änderungen an einem Objekt unabhängig von der Zeit.
Auf Systemen mit installierter Server- oder Desktopkomponente integriert sich Undelete mit dem zusätzlichen Menüpunkt "View Versions" in den Windows-Explorer, über den Sie ältere Versionen wiederherstellen oder aber dauerhaft löschen. Sowohl beim Zugriff auf frühere Versionen als auch beim Wiederherstellen von Objekten aus dem Papierkorb ermöglicht Undelete es, die jeweiligen Objekte wahlweise am ursprünglichen oder einem beliebigen anderen Ort zu speichern.
Fazit
Mit etwas Handarbeit oder dem Einsatz von Gruppenrichtlinien schützt der Windows-Papierkorb auch Freigaben im Netzwerk. Möchten Sie diese Methode nutzen, sollten Sie sie jedoch zunächst sorgfältig testen und sicherstellen, dass sie nicht im Konflikt mit Dateisystem-Berechtigungen steht. Schattenkopien stellen eine Alternative dar, sichern aber nur den Stand zu einem bestimmten Zeitpunkt und nicht die jüngste Version eines Objekts. Condusiv Undelete ersetzt den Windows-eigenen Papierkorb durch eine leistungsfähigere Alternative und geht für wählbare Dateitypen auch über Funktionen der Schattenkopien hinaus.
Unabhängig davon, für welche der vorgestellten Varianten Sie sich entscheiden, sollten Sie aber berücksichtigen, dass keine dieser Methoden eine durchdachte Backupstrategie ersetzt. Papierkorb, Schattenkopien und Undelete bilden zusätz- liche Bausteine, die vor versehentlichem Löschen einzelner Objekte schützen. Bei einer Ransomware-Attacke, dem Totalausfall eines Dateiservers und anderen Katastrophen hilft nur ein durchdachtes Backup nach der 3-2-1-1-0-Regel.
(jp)
Link-Codes
[1] Bekannte Ordner: https://learn.microsoft.com/de-de/windows/win32/shell/known-folders/
[2] Gruppenrichtlinieneinstellungen: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn581922(v=ws.11)/
[3] Schattenkopien: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771305(v=ws.11)/
[4] Condusiv Undelete: https://condusiv.com/products/undelete/