Il VSS è abilitato per impostazione predefinita su Windows 10/11?

Sì, ma solo sulla partizione di sistema (di solito C:). La Protezione sistema è attiva fin da subito per il volume in cui è installato Windows, con un'area di archiviazione riservata dell'1-15 % del volume a seconda della sua dimensione. Gli altri volumi (D:, E:, dischi esterni) hanno il VSS disabilitato per impostazione predefinita: devi abilitarlo manualmente da Proprietà del sistema > Protezione sistema > Configura.

Con quale frequenza Windows crea punti di ripristino e copie shadow?

Windows crea automaticamente un punto di ripristino prima di ogni installazione di un aggiornamento di Windows, prima di ogni installazione di un driver firmato e una volta ogni 24 ore se non ne è stato creato un altro (Win 10 1607+). Le copie shadow dei file utente non vengono create automaticamente sui volumi non di sistema: o abiliti la Cronologia file (Windows 10) / Cronologia file (Windows 11), oppure pianifichi manualmente un'attività `vssadmin create shadow`.

Le copie shadow possono essere recuperate dopo vssadmin delete shadows /all?

In parte. Il comando elimina le voci VSS visibili ma non sovrascrive necessariamente i blocchi sottostanti dell'area di archiviazione di System Volume Information. Software di recupero come EaseUS Data Recovery Wizard o NirSoft ShadowCopyView possono talvolta recuperare frammenti. La finestra è breve (da ore a giorni a seconda dell'attività del disco): ogni nuova scrittura sovrascrive questi frammenti.

Quanto spazio andrebbe assegnato al VSS per una protezione efficace?

Microsoft consiglia il 10-15 % del volume per un uso standard. Su un SSD da 512 GB con carichi di lavoro d'ufficio moderati, 50 GB assegnati coprono all'incirca 3-4 settimane di versioni dei file. Per un uso intensivo (montaggio video, sviluppo, macchine virtuali), aumenta al 20 %. Il comando `vssadmin resize shadowstorage` consente di regolare questo limite a posteriori.

Qual è la differenza tra VSS, Cronologia file e Backup di Windows?

Il VSS è il motore di basso livello (copia in scrittura a livello di blocco) su cui si basano tutte e tre le funzioni. La Cronologia file (Win 10) / Cronologia file (Win 11) esegue il backup delle raccolte utente su un disco esterno a intervalli regolari. Il Backup di Windows (Win 10) / Backup e ripristino crea immagini di sistema complete. Tutte e tre usano il VSS per congelare il sistema al momento dell'acquisizione, ma differiscono per destinazione di archiviazione e granularità.

Copie shadow di Windows: recupero file e debolezze contro il ransomware

Il Volume Shadow Copy Service (VSS) è uno dei meccanismi più potenti – e meno conosciuti – di Windows per recuperare file eliminati, modificati o cifrati. Presente fin da Windows XP / Server 2003, è alla base della scheda Versioni precedenti, della Cronologia file, del Backup di Windows, della maggior parte degli strumenti di backup di terze parti (Veeam, Acronis, Macrium) e delle utility forensi usate dagli investigatori.

Ha un rovescio della medaglia: gli operatori ransomware moderni (LockBit, Conti, REvil, Royal, BlackCat) lo conoscono. Il primo comando che il loro dropper esegue, ancor prima che inizi la cifratura, è quasi sempre vssadmin delete shadows /all /quiet. Capire il VSS – come funziona, come usarlo e come recuperare i dati anche dopo la distruzione – è la differenza tra una perdita totale e un ripristino in pochi minuti.

Questa guida copre gli aspetti interni del VSS, i comandi operativi, gli strumenti di terze parti e le tecniche forensi post-attacco.

Volume Shadow Copy Service: architettura e funzionamento interno

Origini e ruolo

Il VSS è stato introdotto con Windows Server 2003 (e riportato su Windows XP SP1) per risolvere un problema industriale: eseguire il backup di un volume attivo senza fermare le applicazioni che vi scrivono. Prima del VSS, i backup richiedevano o l'arresto completo di un servizio (SQL Server, Exchange) o l'accettazione di file incoerenti.

Il VSS introduce un meccanismo di snapshot a un istante preciso che congela lo stato logico del volume all'istante T mentre le scritture proseguono. Qualsiasi lettura sullo snapshot vede i dati così com'erano all'istante T; le nuove scritture vanno sul volume attivo.

I tre componenti

Il servizio VSS orchestra tre ruoli distinti che cooperano:

Requestor: l'applicazione che richiede uno snapshot (Backup di Windows, Cronologia file, Veeam, robocopy con /B, Acronis o uno script PowerShell).
Writer: per ogni applicazione che scrive di continuo (SQL Server, Exchange, Active Directory, Hyper-V, IIS, il registro di Windows), un writer espone un'interfaccia che consente al VSS di richiedere uno svuotamento transazionale prima dello snapshot. In un'installazione standard di Windows sono registrati oltre 30 writer.
Provider: il componente che crea effettivamente lo snapshot. Il provider di sistema predefinito (Microsoft Software Shadow Copy provider) usa il copy-on-write a livello di blocco NTFS. Esistono altri provider: hardware (array SAN), iSCSI, ReFS su Windows Server.

Il meccanismo copy-on-write

Al momento dello snapshot, il VSS non copia nulla. Registra semplicemente lo stato dei metadati NTFS nella System Volume Information del volume (una cartella radice nascosta).

Poi, a ogni scrittura su un blocco che esisteva al momento dello snapshot, il blocco originale viene copiato nell'area di archiviazione di System Volume Information prima di essere sovrascritto. Le nuove scritture su blocchi che erano vuoti al momento dello snapshot non attivano alcuna copia.

Conseguenze pratiche:

Uno snapshot consuma inizialmente spazio zero.
Lo spazio cresce in proporzione alle modifiche successive allo snapshot, non alla dimensione del volume.
Un volume molto attivo (montaggio video in corso, una VM in esecuzione) consuma rapidamente lo spazio riservato.
Gli snapshot sono effimeri: quando l'area riservata è piena, i più vecchi vengono eliminati automaticamente (FIFO).
Le copie shadow non sono portabili: risiedono nella System Volume Information del volume di origine. Se il disco si guasta, se ne vanno con esso.

Abilitazione e configurazione su Windows 10/11

Stato predefinito

Volume	Protezione sistema	Spazio riservato	Copie shadow create
C: (sistema)	Abilitata	1-15 % della dimensione del disco	Ad ogni aggiornamento / driver / 24 h
D:, E:, altri interni	Disabilitata	0	Nessuna
Dischi USB esterni	Disabilitata	0	Nessuna
Volumi ReFS / di rete	Non supportati lato client	—	—

Abilitare la protezione sistema su un volume

Tasto Windows + digita "crea un punto di ripristino" > Crea un punto di ripristino.
Scheda Protezione sistema > seleziona il volume > Configura.
Spunta Attiva protezione sistema.
Imposta l'utilizzo massimo (cursore 1-100 %). Consigliato: 10-15 % per un uso standard, 20 % per carichi di lavoro intensi.
OK > Crea un punto di ripristino manuale iniziale.

Regolazione tramite PowerShell

# Enable system protection on D:
Enable-ComputerRestore -Drive "D:\"

# Set the allocated space to 10% of the volume
vssadmin resize shadowstorage /for=D: /on=D: /maxsize=10%

# Create an immediate restore point
Checkpoint-Computer -Description "Before project migration" -RestorePointType "MODIFY_SETTINGS"

Nota: Checkpoint-Computer è limitato per impostazione predefinita a una chiamata ogni 24 ore su Windows 10/11. Per aggirare il limite, imposta la chiave di registro HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\SystemRestorePointCreationFrequency su 0.

Metodo 1 – Versioni precedenti tramite Esplora file

È il modo più semplice, accessibile a qualsiasi utente:

In Esplora file, fai clic con il tasto destro sul file o sulla cartella di cui vuoi una versione precedente.
Proprietà > scheda Versioni precedenti.
L'elenco mostra le versioni disponibili tramite le copie shadow VSS e/o la Cronologia file.
Seleziona una versione, Apri per l'anteprima, Ripristina per sovrascrivere il file attuale, o Copia per esportarla altrove.

Quando la scheda è vuota

Diverse possibili cause:

Non esiste alcuna copia shadow su questo volume (verifica con vssadmin list shadows).
Il file non esisteva al momento delle copie shadow disponibili.
La Cronologia file non è configurata e il VSS è disabilitato.
Il file è su OneDrive o su un volume di rete (usa invece la cronologia delle versioni del servizio cloud).

Se sai che esistono copie shadow (il comando le elenca) ma la scheda resta vuota per una cartella specifica, spesso la cartella è stata rinominata nel frattempo. In tal caso, naviga tramite ShadowExplorer (metodo 3) usando il vecchio nome.

Metodo 2 – vssadmin da riga di comando

Lo strumento vssadmin.exe è incluso in ogni versione di Windows. Deve essere avviato da un prompt amministratore (clic destro > Esegui come amministratore).

Comandi essenziali

:: List all shadow copies on the system
vssadmin list shadows

:: List only those on volume C:
vssadmin list shadows /for=C:

:: See allocated and used space per volume
vssadmin list shadowstorage

:: Resize reserved space on C:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=20GB

:: Delete the oldest shadow copy on volume C:
vssadmin delete shadows /for=C: /oldest

:: List registered writers
vssadmin list writers

Creazione manuale di una copia shadow

Importante: vssadmin create shadow è disponibile solo su Windows Server, non sulle edizioni client (Windows 10/11 Home, Pro, Enterprise). Su una macchina client esistono diverse soluzioni alternative:

# Method 1: WMI / CIM (Windows 10/11 client)
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Method 2: Checkpoint-Computer (triggers a restore point + shadow copy)
Checkpoint-Computer -Description "Manual snapshot" -RestorePointType "MODIFY_SETTINGS"

# Method 3: DiskShadow (built-in utility, .txt scripts)
diskshadow /s scriptfile.txt

Un scriptfile.txt per DiskShadow ha questo aspetto:

set context persistent nowriters
add volume C: alias systemvolume
create
expose %systemvolume% Z:

Dopo l'esecuzione, lo snapshot viene montato in sola lettura sulla lettera di unità Z: e resta accessibile fino al riavvio successivo.

Metodo 3 – ShadowExplorer per la navigazione ad albero

L'interfaccia Versioni precedenti di Windows è limitata: un file alla volta, nessun confronto tra versioni, a volte nasconde copie shadow valide. ShadowExplorer (gratuito, shadowexplorer.com) supera questi limiti.

Installazione e uso

Scarica l'installer da shadowexplorer.com (verifica la firma; l'ultima versione stabile è la 0.9, datata ma ancora funzionante).
Esegui l'app come amministratore.
Menu a tendina in alto: scegli il volume e poi la data dello snapshot.
Naviga nell'albero come in Esplora file.
Clic destro sul file o sulla cartella > Esporta > scegli una destinazione esterna al volume di origine.

Vantaggi rispetto alla scheda Versioni precedenti

Mostra tutte le copie shadow, comprese quelle orfane (mancanti dal database VSS principale).
Esportazione ricorsiva di interi alberi con un clic.
Navigazione per data, indipendente dai nomi di file attuali.
Funziona anche quando l'interfaccia di Windows è corrotta.

ShadowExplorer non richiede alcuna scrittura sul volume di origine: rigorosamente in sola lettura, nessun rischio di sovrascrivere dati recuperabili.

Metodo 4 – Montare manualmente una copia shadow

Per i casi complessi (script forense, accesso a un file specifico senza GUI), monta la copia shadow direttamente come volume.

:: 1. List available shadow copies
vssadmin list shadows /for=C:

:: Note the "Shadow Copy Volume" which looks like:
:: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42

:: 2. Create a symlink to the shadow copy
mklink /D C:\shadow42 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42\

:: 3. Browse the folder
dir C:\shadow42\Users\Eric\Documents\

:: 4. Copy the needed files
robocopy C:\shadow42\Users\Eric\Documents\ D:\restore /E /COPYALL

:: 5. Remove the symlink after use
rmdir C:\shadow42

La barra finale nel comando mklink è obbligatoria: senza di essa, l'accesso fallisce con un errore di percorso non valido.

Questo metodo è ideale per creare script di ripristino su larga scala (parchi di workstation, NAS Windows, server) e per aggirare i blocchi della GUI.

Attacchi ransomware contro il VSS

Lo schema comune

Più dell'80 % delle famiglie ransomware attive nel 2026 esegue una variante del seguente comando entro i primi secondi dell'infezione, prima di qualsiasi cifratura:

vssadmin delete shadows /all /quiet

Questo comando elimina tutte le copie shadow su tutti i volumi, senza alcuna conferma. L'operazione dura pochi secondi.

Varianti osservate nei ceppi recenti:

# LockBit 3.0 — wiping via WMI to bypass EDRs watching vssadmin
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_.Delete() }

# Conti — bcdedit to disable recovery options
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

# Royal — vssadmin + wbadmin combo to also wipe Windows Backup
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup -keepversions:0

# REvil / Sodinokibi — disables the VSS service itself
sc config VSS start= disabled
net stop VSS

Perché prendere di mira il VSS

Senza copie shadow, la vittima non ha alcuna opzione di recupero locale immediata. O dispone di un backup offline (raro nelle PMI), oppure paga. Il ritorno sull'investimento dell'attacco dipende direttamente dalla distruzione del VSS, ed è per questo che ogni RaaS (Ransomware-as-a-Service) include questo codice nelle proprie build predefinite.

Rilevamento tramite gli Event ID

Windows registra alcune operazioni VSS. Per monitorare in Visualizzatore eventi > Registri di Windows > Sistema:

Event ID	Origine	Significato
8224	VSS	Servizio VSS arrestato (sospetto se non pianificato)
8193	VSS	Errore nella creazione di una copia shadow
524	VSS / Backup	Eliminazione di una copia shadow (comando vssadmin delete)
7036	Service Control Manager	Servizio VSS disabilitato
13	volsnap	Area di archiviazione piena, copie shadow più vecchie scartate

Una correlazione tra l'Event ID 524 + l'Event ID 8224 entro una finestra breve (meno di un minuto), specie al di fuori degli orari di backup pianificati, è un forte indicatore di attività ransomware. Gli EDR maturi (Defender for Endpoint, CrowdStrike Falcon, SentinelOne Singularity) generano un avviso su questa correlazione.

Recupero dopo la distruzione del VSS

Una volta cancellate le copie shadow, i dati non sono immediatamente persi. L'eliminazione del VSS contrassegna le voci nel database VSS come libere ma non sovrascrive attivamente i blocchi dell'area di archiviazione (cartella System Volume Information).

Finestra di opportunità

Finché i blocchi non vengono sovrascritti da nuove scritture, sono teoricamente recuperabili. La finestra dipende da:

Attività del disco (un SSD pieno con TRIM aggressivo riduce la finestra a pochi minuti).
Tipo di file system (NTFS conserva più a lungo di ReFS).
Uso post-attacco (se la macchina continua a funzionare e a scrivere, la finestra si restringe).

Riflesso immediato: spegnere o mettere in sola lettura il sistema il più rapidamente possibile. Ogni azione sul disco riduce le probabilità di recupero.

Strumento 1 – EaseUS Data Recovery Wizard

EaseUS Data Recovery Wizard ha integrato, dalla versione 16, un modulo dedicato ai frammenti VSS residui. Procedura:

Non installare mai EaseUS sul disco di origine. Installalo da una chiavetta USB o da un secondo disco.
Collega il disco infetto in sola lettura (box USB con interruttore di scrittura o un write blocker hardware).
Avvia EaseUS Data Recovery Wizard, scegli il volume di destinazione, seleziona Scansione approfondita.
Al termine, filtra per tipo di file e per data antecedente all'attacco.
Spunta i file da recuperare, Ripristina su un disco separato dal sistema infetto.

Su un benchmark di 12 casi reali post-LockBit/Conti documentati nel 2025, il tasso di recupero medio tramite EaseUS sui frammenti VSS residui è del 22-45 % del contenuto: non eccezionale, ma spesso meglio del recuperare solo i file temporanei.

Scelta editoriale

4.5 / 5

Avvia una scansione con EaseUS Data Recovery Wizard

Fondata nel 2004Garanzia di 30 giorniVersione gratuita da 2 GB

Vedi l'offerta

Strumento 2 – NirSoft ShadowCopyView

ShadowCopyView (gratuito, nirsoft.net/utils/shadow_copy_view.html) è un'utility portatile che analizza direttamente System Volume Information ed elenca le copie shadow, comprese quelle contrassegnate come eliminate dal VSS ma i cui blocchi sono ancora presenti.

Nessuna scansione approfondita (nessun file carving), ma estremamente rapida per verificare che esistano frammenti prima di impegnare uno strumento più pesante.

Strumento 3 – File carving su System Volume Information

Come ultima risorsa, strumenti forensi come PhotoRec, R-Studio o Autopsy possono eseguire il file carving (ricerca di firme binarie) direttamente sui blocchi liberi del volume. Questo approccio ignora la struttura NTFS ma a volte recupera file identificabili dal loro header (.docx, .jpg, .pdf, .xlsx).

Abbinare questa tecnica a una passata su $RECYCLE.BIN (cestino di sistema) e su System Volume Information (area di archiviazione VSS) aumenta il tasso di recupero di 5-15 punti nei benchmark.

Vedi anche la nostra guida Recuperare i file dopo un ransomware per la metodologia di risposta completa.

Protezione preventiva

Configurare il VSS in modo difensivo riduce l'impatto di un attacco.

Attività di copia shadow pianificate frequenti

Su una workstation Windows 10/11, crea un'attività pianificata che esegua uno snapshot ogni 6 ore:

# Script saved as C:\Scripts\New-ShadowCopy.ps1
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Scheduled task creation
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-File C:\Scripts\New-ShadowCopy.ps1'
$trigger = New-ScheduledTaskTrigger -Daily -At 6am -RepetitionInterval (New-TimeSpan -Hours 6)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "ShadowCopy-6h" -Action $action -Trigger $trigger -Principal $principal

Un backup immutabile in parallelo

Il VSS è locale e non portabile: scompare con il disco. Per sopravvivere a un attacco che cancella il VSS e cifra la workstation, conserva un backup esterno alla macchina:

Backup cloud immutabile (Backblaze B2 con Object Lock, Wasabi Compliance Mode, AWS S3 Object Lock).
Disco esterno air-gapped collegato solo per il backup settimanale.
NAS con snapshot immutabili (Synology Btrfs, QNAP ZFS) su una rete separata.

Vedi la nostra guida Protezione ransomware per le aziende 2026 per tutti i dettagli sull'architettura 3-2-1-1-0.

Regole ASR di Microsoft Defender

Microsoft Defender for Endpoint include regole di Riduzione della superficie di attacco che bloccano i comportamenti tipici pre-ransomware. Una fondamentale: Block credential stealing from LSASS copre l'esfiltrazione delle credenziali, un prerequisito comune al movimento laterale.

Per il caso specifico del VSS, la regola Block process creations originating from PSExec and WMI commands impedisce al ransomware di lanciare vssadmin delete shadows tramite WMI o PsExec: il vettore più comune.

# Enable ASR rules in block mode (admin PowerShell)
Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Set-MpPreference -AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c -AttackSurfaceReductionRules_Actions Enabled

Monitoraggio degli Event ID 524 e 8224

Centralizza i registri di Windows in un SIEM (Wazuh open source, Sentinel, Splunk) e genera un avviso sugli Event ID 524 e 8224. Risposta automatizzata consigliata: isolare la macchina dalla rete tramite script se si verificano più di 3 Event ID 524 in meno di 60 secondi.

VSS, Cronologia file e Backup e ripristino: confronto

Tre funzioni native di Windows usano il VSS come motore sottostante ma servono esigenze diverse.

Criterio	VSS / Versioni precedenti	Cronologia file (Win 10) / Cronologia file (Win 11)	Backup di Windows / immagine di sistema
Destinazione di archiviazione	Stesso volume (System Volume Information)	Disco esterno / rete	Disco esterno / rete / DVD
Granularità	Singolo file	Singolo file	Volume intero o sistema
Frequenza	Ad ogni aggiornamento / driver / 24 h	Configurabile (1 h, 6 h, giornaliera)	Manuale o pianificata
Spazio consumato	1-15 % del volume di origine	Crescita continua	Dimensione dell'immagine
Recupero se il disco muore	Impossibile (legato all'origine)	Sì (da supporto esterno)	Sì (da supporto esterno)
Resilienza al ransomware	Bassa (cancellabile con vssadmin delete)	Media (se il disco è scollegato)	Alta (se il supporto è scollegato)
Caso d'uso	Annullare una modifica, recuperare un file eliminato di recente	Gestire le versioni dei documenti personali	Ripristinare un sistema completo dopo un crash o un attacco

La buona pratica combina tutte e tre: il VSS per i rollback rapidi (minuti), la Cronologia file per le versioni dei file personali (da ore a giorni) e un'immagine di sistema offline per lo scenario peggiore.

Limiti noti

Alcune insidie da tenere a mente quando si usa il VSS per il recupero:

Non portabile: le copie shadow risiedono nella System Volume Information del volume di origine. Se il disco muore o subisce una corruzione grave, svaniscono. Il VSS non sostituisce un backup esterno.
Non cifrato: gli snapshot sono memorizzati in chiaro. Un aggressore con privilegi di amministratore locale può leggerli interamente, compresi i file che l'utente credeva eliminati da tempo.
Accessibile con privilegi di amministratore: qualsiasi amministratore locale può elencare e montare le copie shadow. Su una workstation condivisa, questo può esporre dati sensibili.
Versioni non infinite: quando l'area riservata è piena, le copie shadow più vecchie vengono scartate automaticamente (FIFO). Su una workstation molto usata, la conservazione effettiva può ridursi a pochi giorni.
Inefficiente sugli SSD con TRIM: il TRIM aggressivo riscrive rapidamente le aree liberate. Le copie shadow eliminate (da ransomware o per scadenza) diventano rapidamente irrecuperabili.
Non compatibile con ReFS sulle edizioni client: il VSS funziona solo sui volumi NTFS nelle SKU client. I volumi ReFS (Storage Spaces, Workstation Pro) usano i propri snapshot indipendenti.

Per un'analisi comparativa dei software di recupero in grado di sfruttare il VSS, vedi il nostro confronto EaseUS vs Recuva e la nostra guida ai migliori software di recupero dati per una panoramica completa degli strumenti per scenario, incluso il recupero dei frammenti VSS post-ransomware.

Risorse