Действия над объектами на карантине

Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы выполнить действия над объектами, находящимися на карантине программы Kaspersky Endpoint Agent через интерфейс командной строки:

  1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
  2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

    Например, вы можете ввести команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажать на клавишу ENTER.

  3. Выполните следующие действия и нажмите на клавишу ENTER:
    • Если вы хотите безвозвратно удалить объекты, находящиеся на карантине, выполните команду:

      agent.exe --quarantine=delete --ouid=<идентификаторы объектов на карантине через запятую. Обязательный параметр> [--pwd=<текущий пароль пользователя>].

      Объекты с указанными идентификаторами будут удалены из папки карантина устройствах, указанной при настройке параметров карантина.

    • Если вы хотите восстановить объекты из карантина, выполните команду:

      agent.exe --quarantine=restore --ouid=<идентификаторы объектов на карантине через запятую. Обязательный параметр> [--path-type=<один из вариантов выбора папки назначения при восстановлении объекта из карантина: original|custom|settings. Необязательный параметр> --path=<путь к папке назначения для восстановленных объектов. Обязательный параметр, если передан параметр --path-type и указано значение original>] [--action=<одно из действий над объектом: replace|rename. Необязательный параметр>] [--pwd=<текущий пароль пользователя>].

    • Если вы хотите поместить объект на карантин, выполните одну из следующих команд:
      • agent.exe --quarantine=add [--file=<полный путь к объекту, который вы хотите поместить на карантин>] [--pwd=<текущий пароль пользователя>].
      • agent.exe --quarantine=add [--hash=<хеш объекта, который вы хотите поместить на карантин. Обязательный параметр, если вы не указываете полный путь к объекту и передаете параметр --hashalg >]--hashalg=<один из типов хеша: md5|sha256. Обязательный параметр, если вы не указываете полный путь к объекту> [--file=<путь к папке с объектом, который вы хотите поместить на карантин>] [--pwd=<текущий пароль пользователя>].

    Параметры команд при выполнении действий над объектами на карантине

    Параметр

    Описание

    --ouid

    Обязательный параметр. В параметре передается уникальный числовой (int64) идентификатор объекта на карантине.

    Отображается при просмотре информации об объектах на карантине (команда --quarantine=show).

    --path-type=<original|custom|settings>

    Параметр описывает логику выбора папки назначения при восстановлении объекта из карантина.

    • Если параметр не передан, объект будет восстановлен в исходную папку – папку, в которой находился объект до помещения его на карантин. Если исходная папка недоступна, объект будет восстановлен в папку, указанную при настройке параметров карантина.
    • Если параметр передан со значением <original>, объект будет восстановлен в исходную папку – папку, в которой находился объект до помещения его на карантин. Если исходная папка недоступна, объект будет восстановлен в папку, указанную при настройке параметров карантина.
    • Если параметр передан со значением <settings>, объект будет восстановлен в папку, указанную при настройке параметров карантина. Если папка недоступна, задача завершается с ошибкой.
    • Если параметр передан со значением <custom>, объект будет восстановлен в папку, путь к которой вы укажете для параметра --path. Если папка недоступна, задача завершается с ошибкой.

    --path=<путь к папке назначения для восстановленных объектов>

    Обязательный параметр, если передан параметр --path-type со значением <custom>.

    Параметр определяет путь, по которому вы хотите создать папку для объектов, восстановленных из карантина, если вы не хотите использовать папку, в которой находился объект до помещения его на карантин и папку, указанную при настройке параметров карантина.

    --action=<replace|rename>

    Параметр определяет действие над объектом, которое вы хотите выполнить, если при восстановлении объекта из карантина папка назначения для восстановленных объектов содержит файл с таким же именем.

    • Если параметр не передан, восстановленный объект будет переименован: к первоначальному имени объекта будет добавлен суффикс _restored.
    • Если параметр передан со значением <rename>, восстановленный объект будет переименован: к первоначальному имени объекта будет добавлен суффикс _restored.
    • Если параметр передан со значением <replace>, первоначальный объект будет заменен на восстановленный объект.

    --file=<полный путь к объекту, который вы хотите поместить на карантин>

    Обязательный параметр, если не передан параметр –-hashalg.

    Параметр задает полный путь к объекту, который вы хотите поместить на карантин.

    --hashalg=<md5|sha256>

    Обязательный параметр, если не передан параметр –-file и не указан полный путь к объекту, который вы хотите поместить на карантин.

    Параметр задает алгоритм хеширования, по которому будет рассчитана контрольная сумма объекта, который вы хотите поместить на карантин.

    Параметр может быть передан с одним из двух значений: <md5> или <sha256>.

    --hash=<контрольная сумма файла>

    Обязательный параметр, если передан параметр –-hashalg.

    Параметр задает контрольную сумму объекта, который вы хотите поместить на карантин.

    --file=<папка с файлом>

    Обязательный параметр, если передан параметр –-hashalg.

    Параметр задает путь к папке с объектом, который вы хотите поместить на карантин и хеш которого вы указали в параметре –-hash.

    --pwd=<текущий пароль пользователя>

    Позволяет ввести пароль пользователя, под учетной записью которого выполняется команда.

Коды возврата команды --quarantine:

См. также

Управление активацией Kaspersky Endpoint Agent

Управление аутентификацией Kaspersky Endpoint Agent

Настройка трассировки

Настройка создания дампа

Просмотр информации о параметрах карантина и объектах на карантине

Управление параметрами интеграции с Kaspersky Sandbox

Управление параметрами интеграции с компонентом KATA Central Node

Управление параметрами интеграции с Kaspersky Industrial CyberSecurity for Networks

Запуск обновления баз или модулей Kaspersky Endpoint Agent

Запуск, остановка и просмотр текущего состояния программы

Защита программы паролем

Защита служб программы технологией PPL

Управление параметрами самозащиты

Управление фильтрацией событий

Управление сетевой изоляцией

Управление стандартными задачами поиска IOC

Управление задачами Аудит безопасности

Создание сертификата подписи файлов с OVAL-правилами

Создание инсталляционного пакета Kaspersky Security Center с пользовательскими OVAL-правилами

Управление сканированием файлов и процессов по YARA-правилам

Управление сканированием объектов точек автозапуска по YARA-правилам

Управление Запретом запуска

В начало