VSS est-il activé par défaut sur Windows 10/11 ?

Oui, mais uniquement sur la partition système (généralement C:). La fonctionnalité « Protection du système » est activée nativement pour le volume où Windows est installé, avec un espace réservé de 1 à 15 % du volume selon la taille du disque. Les autres volumes (D:, E:, disques externes) ont VSS désactivé par défaut — il faut l'activer manuellement via Propriétés système > Protection du système > Configurer.

À quelle fréquence Windows crée-t-il des points de restauration et des shadow copies ?

Windows crée automatiquement un point de restauration avant chaque installation Windows Update, chaque installation de pilote signé, et chaque jour si aucun n'a été créé depuis 24 heures (Win 10 1607+). Les shadow copies de fichiers utilisateur ne sont pas créées automatiquement sur les volumes non système — il faut soit activer File History (Windows 10) ou Historique des fichiers (Windows 11), soit programmer une tâche `vssadmin create shadow` manuellement.

Peut-on retrouver des shadow copies après un vssadmin delete shadows /all ?

Partiellement. La commande supprime les entrées VSS visibles mais ne réécrit pas systématiquement les blocs sous-jacents du System Volume Information. Un logiciel de récupération comme EaseUS Data Recovery Wizard ou ShadowCopyView de NirSoft peut parfois retrouver des fragments dans le storage area. La fenêtre est courte (heures à quelques jours selon l'activité du disque) — chaque écriture neuve écrase ces fragments.

Quelle taille faut-il allouer à VSS pour une protection efficace ?

Microsoft recommande 10 à 15 % du volume pour un usage standard. Sur un SSD de 512 Go avec usage bureautique modéré, 50 Go alloués couvrent en pratique 3 à 4 semaines de versions de fichiers. Pour un usage intensif (vidéo, dev, machines virtuelles), monter à 20 %. La commande `vssadmin resize shadowstorage` permet d'ajuster cette limite après coup.

Quelle différence entre VSS, File History et Sauvegarde Windows ?

VSS est le moteur bas niveau (copy-on-write au niveau bloc) sur lequel s'appuient les trois fonctionnalités. File History (Win 10) / Historique des fichiers (Win 11) sauvegarde les bibliothèques utilisateur vers un disque externe à intervalle régulier. Sauvegarde Windows (Win 10) / Sauvegarde et restauration crée des images système complètes. Les trois utilisent VSS pour figer le système au moment de la capture, mais leurs cibles de stockage et leur granularité diffèrent.

Shadow Copies Windows : récupération de fichiers et failles ransomware

Le Volume Shadow Copy Service (VSS) est l'un des mécanismes les plus puissants — et les moins connus — de Windows pour récupérer des fichiers supprimés, modifiés ou chiffrés. Présent depuis Windows XP / Server 2003, il sert de fondation à l'onglet Versions précédentes, à File History, à Sauvegarde Windows, à la plupart des logiciels de backup tiers (Veeam, Acronis, Macrium), et à des outils forensiques utilisés par les enquêteurs.

Il a aussi un revers : les opérateurs de ransomware modernes (LockBit, Conti, REvil, Royal, BlackCat) le savent. La première commande exécutée par leur dropper, avant même de commencer le chiffrement, est presque toujours vssadmin delete shadows /all /quiet. Comprendre VSS — comment il fonctionne, comment l'utiliser, et comment récupérer des données même après destruction — fait la différence entre une perte totale et une restauration en quelques minutes.

Ce guide couvre les internals de VSS, les commandes opérationnelles, les outils tiers, et les techniques forensiques post-attaque.

Volume Shadow Copy Service : architecture et fonctionnement

Origines et rôle

VSS a été introduit avec Windows Server 2003 (et porté sur Windows XP SP1) pour résoudre un problème industriel : sauvegarder un volume actif sans arrêter les applications qui écrivent dessus. Avant VSS, les sauvegardes nécessitaient soit un arrêt complet du service (SQL Server, Exchange), soit l'acceptation de fichiers inconsistants.

VSS introduit un mécanisme de snapshot point-in-time qui fige l'état logique du volume à un instant T, tout en laissant les écritures se poursuivre. Toute lecture sur le snapshot voit les données telles qu'elles étaient à l'instant T ; les nouvelles écritures vont sur le volume réel.

Les trois composants

Le service VSS orchestre trois rôles distincts qui coopèrent :

Requestor : l'application qui demande un snapshot (Sauvegarde Windows, File History, Veeam, robocopy avec /B, Acronis, ou un script PowerShell).
Writer : pour chaque application qui écrit en continu (SQL Server, Exchange, Active Directory, Hyper-V, IIS, registre Windows), un writer expose une interface qui permet à VSS de demander une mise en cohérence transactionnelle avant le snapshot. Plus de 30 writers sont enregistrés sur une installation Windows standard.
Provider : le composant qui crée effectivement le snapshot. Le provider système par défaut (Microsoft Software Shadow Copy provider) utilise une technique de copy-on-write au niveau bloc NTFS. D'autres providers existent : hardware (baies SAN), iSCSI, ReFS sur Windows Server.

Le mécanisme copy-on-write

Au moment du snapshot, VSS ne copie rien. Il enregistre simplement l'état des métadonnées NTFS dans le System Volume Information du volume (dossier caché racine).

Ensuite, à chaque écriture sur un bloc déjà présent au moment du snapshot, le bloc original est copié dans le storage area du System Volume Information avant d'être écrasé. Les nouvelles écritures vers des blocs vides du volume ne déclenchent pas de copie.

Conséquences pratiques :

Un snapshot consomme initialement zéro espace.
L'espace augmente proportionnellement aux modifications post-snapshot, pas à la taille du volume.
Un volume très actif (vidéo en cours de montage, machine virtuelle) consomme rapidement l'espace réservé.
Les snapshots sont éphémères : quand l'espace réservé est plein, les plus anciens sont supprimés automatiquement (FIFO).
Les shadow copies ne sont pas portables — elles vivent dans le System Volume Information du volume source. Si le disque tombe en panne, elles disparaissent avec.

Activation et configuration sous Windows 10/11

État par défaut

Volume	Protection système	Espace réservé	Shadow copies créées
C: (système)	Activée	1-15 % selon taille disque	À chaque update / driver / 24 h
D:, E:, autres internes	Désactivée	0	Aucune
Disques USB externes	Désactivée	0	Aucune
Volumes ReFS / réseau	Non supporté côté client	—	—

Activer la protection système sur un volume

Touche Windows + tapez « point de restauration » > Créer un point de restauration.
Onglet Protection du système > sélectionnez le volume > Configurer.
Cochez Activer la protection du système.
Réglez l'utilisation maximale (curseur de 1 à 100 %). Recommandé : 10 à 15 % pour un usage standard, 20 % pour usage intensif.
OK > Créer un premier point de restauration manuel.

Ajuster via PowerShell

# Activer la protection système sur D:
Enable-ComputerRestore -Drive "D:\"

# Régler l'espace alloué à 10 % du volume
vssadmin resize shadowstorage /for=D: /on=D: /maxsize=10%

# Créer un point de restauration immédiat
Checkpoint-Computer -Description "Avant migration projet" -RestorePointType "MODIFY_SETTINGS"

Note : Checkpoint-Computer est limité par défaut à un appel toutes les 24 heures sur Windows 10/11. Pour outrepasser cette limite, modifier la clé de registre HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\SystemRestorePointCreationFrequency à 0.

Méthode 1 — Versions précédentes via l'Explorateur

C'est le moyen le plus simple, accessible à tout utilisateur :

Dans l'Explorateur Windows, clic droit sur le fichier ou le dossier dont vous voulez retrouver une version antérieure.
Propriétés > onglet Versions précédentes.
La liste affiche les versions disponibles via les shadow copies VSS et/ou File History.
Sélectionnez une version, Ouvrir pour prévisualiser, Restaurer pour écraser le fichier actuel, ou Copier pour exporter vers un autre emplacement.

Quand l'onglet est vide

Plusieurs causes possibles :

Aucune shadow copy n'existe sur ce volume (vérifier via vssadmin list shadows).
Le fichier n'existait pas au moment des shadow copies disponibles.
File History n'est pas configuré et VSS n'est pas activé.
Le fichier est sur OneDrive ou un volume réseau (utiliser l'historique des versions du service cloud à la place).

Si vous savez que des shadow copies existent (la commande les liste) mais que l'onglet reste vide pour un dossier précis, c'est souvent que le dossier a été renommé depuis. Dans ce cas, naviguez dans l'arborescence via ShadowExplorer (méthode 3) en utilisant l'ancien nom.

Méthode 2 — vssadmin en ligne de commande

L'outil vssadmin.exe est intégré à toutes les versions de Windows. Il doit être lancé depuis une invite administrateur (clic droit > Exécuter en tant qu'administrateur).

Commandes essentielles

:: Lister toutes les shadow copies du système
vssadmin list shadows

:: Lister uniquement celles du volume C:
vssadmin list shadows /for=C:

:: Voir l'espace alloué et utilisé par volume
vssadmin list shadowstorage

:: Redimensionner l'espace réservé sur C:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=20GB

:: Supprimer la plus ancienne shadow copy du volume C:
vssadmin delete shadows /for=C: /oldest

:: Lister les writers enregistrés
vssadmin list writers

Création manuelle de shadow copy

Important : vssadmin create shadow n'est disponible que sur Windows Server, pas sur les éditions client (Windows 10/11 Home, Pro, Enterprise). Sur un poste client, plusieurs contournements existent :

# Méthode 1 : WMI / CIM (Windows 10/11 client)
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Méthode 2 : Checkpoint-Computer (déclenche un point de restauration + shadow copy)
Checkpoint-Computer -Description "Snapshot manuel" -RestorePointType "MODIFY_SETTINGS"

# Méthode 3 : DiskShadow (utilitaire intégré, scripts en .txt)
diskshadow /s scriptfile.txt

Un fichier scriptfile.txt pour DiskShadow ressemble à :

set context persistent nowriters
add volume C: alias systemvolume
create
expose %systemvolume% Z:

Après exécution, le snapshot est monté en lecture seule sur la lettre Z: et reste accessible jusqu'au prochain reboot.

L'interface Versions précédentes de Windows est limitée : un fichier à la fois, pas de comparaison entre versions, masque parfois des shadow copies valides. ShadowExplorer (gratuit, shadowexplorer.com) résout ces limites.

Installation et usage

Télécharger l'installeur sur shadowexplorer.com (vérifier la signature, la dernière version stable est 0.9 datée mais toujours fonctionnelle).
Lancer l'application en administrateur.
Menu déroulant en haut : sélectionner le volume puis la date de snapshot.
Naviguer dans l'arborescence comme dans l'Explorateur Windows.
Clic droit sur le fichier ou dossier > Export > choisir une destination en dehors du volume source.

Avantages sur l'onglet Versions précédentes

Affiche toutes les shadow copies, y compris orphelines (sans entrée dans la base VSS principale).
Export récursif d'arborescences complètes en un clic.
Navigation par date, indépendamment du nom actuel des fichiers.
Fonctionne même si l'interface Windows est corrompue.

ShadowExplorer ne nécessite pas d'écriture sur le volume source — usage strictement lecture, sans risque d'écraser des données récupérables.

Méthode 4 — Montage manuel d'une shadow copy

Pour les cas complexes (script forensique, accès à un fichier précis sans interface graphique), monter directement la shadow copy comme un volume.

:: 1. Lister les shadow copies disponibles
vssadmin list shadows /for=C:

:: Notez le « Shadow Copy Volume » qui ressemble à :
:: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42

:: 2. Créer un lien symbolique vers la shadow copy
mklink /D C:\shadow42 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42\

:: 3. Naviguer dans le dossier
dir C:\shadow42\Users\Eric\Documents\

:: 4. Copier les fichiers nécessaires
robocopy C:\shadow42\Users\Eric\Documents\ D:\restauration /E /COPYALL

:: 5. Supprimer le lien après usage
rmdir C:\shadow42

Le slash final dans la commande mklink est obligatoire — sans lui, l'accès échoue avec une erreur de chemin invalide.

Cette méthode est idéale pour scripter des restaurations à grande échelle (postes en parc, NAS Windows, serveurs) et pour passer outre les blocages d'interface graphique.

Attaques ransomware contre VSS

Le pattern commun

Plus de 80 % des familles de ransomware actives en 2026 exécutent une variante de la commande suivante dans les premières secondes de l'infection, avant tout chiffrement :

vssadmin delete shadows /all /quiet

Cette commande supprime toutes les shadow copies de tous les volumes, sans confirmation. L'opération prend quelques secondes.

Les variantes observées dans les souches récentes :

# LockBit 3.0 — élimination via WMI pour contourner les EDR qui surveillent vssadmin
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_.Delete() }

# Conti — bcdedit pour désactiver les options de récupération
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

# Royal — combinaison vssadmin + wbadmin pour effacer aussi les sauvegardes Windows
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup -keepversions:0

# REvil / Sodinokibi — désactive le service VSS lui-même
sc config VSS start= disabled
net stop VSS

Pourquoi cibler VSS

Sans shadow copies, la victime n'a aucune option de récupération locale immédiate. Soit elle dispose d'une sauvegarde hors-ligne (rare dans les TPE/PME), soit elle paye. Le ROI de l'attaque dépend directement de la destruction VSS — c'est pourquoi tous les RaaS (Ransomware-as-a-Service) intègrent ce code dans leurs builds par défaut.

Détection via Event ID

Windows journalise certaines opérations VSS. À surveiller dans l'Observateur d'événements > Journaux Windows > Système :

Event ID	Source	Signification
8224	VSS	Service VSS arrêté (suspect si non planifié)
8193	VSS	Échec de création de shadow copy
524	VSS / Backup	Suppression de shadow copies (commande vssadmin delete)
7036	Service Control Manager	Service VSS désactivé
13	volsnap	Storage area plein, shadow copies les plus anciennes supprimées

Une corrélation Event ID 524 + Event ID 8224 dans un intervalle court (moins d'une minute), surtout en dehors des heures de sauvegarde planifiées, est un signal fort d'activité ransomware. Les EDR matures (Defender for Endpoint, CrowdStrike Falcon, SentinelOne Singularity) déclenchent une alerte sur cette corrélation.

Récupération après destruction VSS

Une fois les shadow copies effacées, les données ne sont pas immédiatement perdues. La suppression VSS marque les entrées dans la base VSS comme libres, mais ne réécrit pas activement les blocs du storage area (dossier System Volume Information).

Fenêtre d'opportunité

Tant que les blocs concernés ne sont pas écrasés par de nouvelles écritures, ils sont théoriquement récupérables. La fenêtre dépend :

De l'activité du disque (un SSD plein avec TRIM agressif réduit la fenêtre à quelques minutes).
Du type de filesystem (NTFS conserve plus longtemps que ReFS).
De l'utilisation post-attaque (si la machine continue à tourner et à écrire, la fenêtre se réduit).

Réflexe immédiat : éteindre le système ou le passer en read-only dès que possible. Toute action sur le disque réduit les chances de récupération.

Outil 1 — EaseUS Data Recovery Wizard

EaseUS Data Recovery Wizard intègre depuis la version 16 un module spécialisé pour les fragments VSS résiduels. La procédure :

Ne jamais installer EaseUS sur le disque source. Installer depuis une clé USB ou un second disque.
Brancher le disque infecté en read-only (boîtier USB avec switch ou bloqueur d'écriture matériel).
Lancer EaseUS Data Recovery Wizard, sélectionner le volume cible, choisir Scan approfondi.
Une fois le scan terminé, filtrer par type de fichier et par date antérieure à l'attaque.
Cocher les fichiers à récupérer, Restaurer vers un disque distinct du système infecté.

Sur un benchmark de 12 cas réels de post-LockBit/Conti documentés en 2025, le taux de récupération moyen via EaseUS sur fragments VSS résiduels est de 22 à 45 % du contenu — pas idéal, mais souvent meilleur que la restauration depuis fichiers temporaires seuls.

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

Lancer un scan EaseUS Data Recovery Wizard→

Outil 2 — ShadowCopyView de NirSoft

ShadowCopyView (gratuit, nirsoft.net/utils/shadow_copy_view.html) est un utilitaire portable qui scanne directement le System Volume Information et liste les shadow copies, y compris celles marquées comme supprimées par VSS mais dont les blocs sont encore présents.

Pas de scan profond (ne fait pas de file carving), mais très rapide pour valider que des fragments existent avant d'engager un outil plus lourd.

Outil 3 — File carving sur System Volume Information

En dernier recours, des outils forensiques comme PhotoRec, R-Studio ou Autopsy peuvent faire du file carving (recherche de signatures binaires) directement sur les blocs libres du volume. Cette approche ne respecte pas la structure NTFS, mais retrouve parfois des fichiers identifiables par leur en-tête (.docx, .jpg, .pdf, .xlsx).

Coupler cette technique avec une recherche dans $RECYCLE.BIN (corbeille système) et System Volume Information (storage area VSS) augmente le taux de récupération de 5 à 15 points sur les benchmarks.

Voir aussi notre guide Récupérer ses fichiers après un ransomware pour la méthodologie complète de réponse.

Protection préventive

Configurer VSS de façon défensive réduit l'impact d'une attaque.

Tâches planifiées de shadow copy fréquentes

Sur poste Windows 10/11, créer une tâche planifiée qui exécute un snapshot toutes les 6 heures :

# Script à enregistrer en C:\Scripts\New-ShadowCopy.ps1
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Création de la tâche planifiée
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-File C:\Scripts\New-ShadowCopy.ps1'
$trigger = New-ScheduledTaskTrigger -Daily -At 6am -RepetitionInterval (New-TimeSpan -Hours 6)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "ShadowCopy-6h" -Action $action -Trigger $trigger -Principal $principal

Backup immutable à côté

VSS est local et non portable — il disparaît avec le disque. Pour résister à une attaque qui détruit VSS et chiffre le poste, prévoir une sauvegarde hors machine :

Backup cloud immutable (Backblaze B2 avec Object Lock, Wasabi Compliance Mode, AWS S3 Object Lock).
Disque externe air-gappé branché uniquement pour la sauvegarde hebdomadaire.
NAS avec snapshots immuables (Synology Btrfs, QNAP ZFS) sur réseau séparé.

Voir notre guide Protection ransomware entreprise 2026 pour le détail de l'architecture 3-2-1-1-0.

Règles ASR Microsoft Defender

Microsoft Defender for Endpoint propose des règles Attack Surface Reduction qui bloquent les comportements typiques pré-ransomware. La règle clé : Block credential stealing from LSASS couvre l'exfiltration de credentials, prérequis fréquent à la propagation latérale.

Pour le cas spécifique VSS, la règle Block process creations originating from PSExec and WMI commands empêche les ransomwares de lancer vssadmin delete shadows via WMI ou PsExec — vecteur le plus courant.

# Activer ASR rules en mode block (PowerShell admin)
Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Set-MpPreference -AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c -AttackSurfaceReductionRules_Actions Enabled

Surveillance Event ID 524 et 8224

Centraliser les logs Windows vers un SIEM (Wazuh open source, Sentinel, Splunk) et déclencher une alerte sur les Event ID 524 et 8224. Réponse automatique recommandée : isoler la machine du réseau via un script si plus de 3 Event ID 524 en moins de 60 secondes.

VSS, File History et Backup Restore : comparatif

Trois fonctionnalités natives Windows utilisent VSS comme moteur sous-jacent, mais répondent à des besoins différents.

Critère	VSS / Versions précédentes	File History (Win 10) / Historique des fichiers (Win 11)	Sauvegarde Windows / image système
Cible de stockage	Même volume (System Volume Information)	Disque externe / réseau	Disque externe / réseau / DVD
Granularité	Fichier individuel	Fichier individuel	Volume complet ou système
Fréquence	À chaque update / driver / 24 h	Configurable (1 h, 6 h, journalier)	Manuel ou planifié
Espace consommé	1-15 % du volume source	Croissance continue	Taille de l'image
Récupération si disque HS	Impossible (lié au disque source)	Oui (depuis le support externe)	Oui (depuis le support externe)
Résistance aux ransomwares	Faible (effaçable par vssadmin delete)	Moyenne (si disque débranché)	Élevée (si support déconnecté)
Cas d'usage	Annuler une modification, retrouver un fichier supprimé récemment	Versionner ses documents personnels	Restaurer un système complet après crash ou attaque

La meilleure pratique combine les trois : VSS pour les retours en arrière rapides (minutes), File History pour les versions des fichiers personnels (heures à jours), image système hors-ligne pour le pire scénario.

Limitations connues

Quelques pièges à garder en tête lors de l'usage de VSS en récupération :

Non portable : les shadow copies vivent dans le System Volume Information du volume source. Si le disque tombe en panne ou subit une corruption majeure, elles sont perdues. VSS ne remplace pas une sauvegarde externe.
Non chiffré : les snapshots sont stockés en clair. Un attaquant avec accès admin local peut les lire entièrement — y compris des fichiers que l'utilisateur croyait supprimés depuis longtemps.
Accessible avec privilèges admin : tout utilisateur administrateur local peut lister et monter les shadow copies. Sur un poste partagé, cela peut exposer des données sensibles.
Pas de versions infinies : quand l'espace réservé est plein, les plus anciennes shadow copies sont supprimées automatiquement (FIFO). Sur un poste très actif, la rétention pratique peut tomber à quelques jours.
Inefficace sur SSD avec TRIM : le TRIM agressif réécrit rapidement les zones libérées. Les shadow copies supprimées (par ransomware ou expiration) deviennent rapidement irrécupérables.
Pas compatible ReFS côté client : VSS fonctionne uniquement sur volumes NTFS dans les éditions client. Les volumes ReFS (Storage Spaces, Workstation Pro) utilisent leurs propres snapshots indépendants.

Pour des analyses comparatives entre logiciels de récupération de données capables d'exploiter VSS, voir notre comparatif EaseUS vs Recuva, et notre outil de diagnostic pour identifier l'approche adaptée à votre situation.

Ressources