Действия над объектами на карантине

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы выполнить действия над объектами, находящимися на карантине программы Kaspersky Endpoint Agent через интерфейс командной строки:

  1. На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
  2. С помощью команды cd перейдите в папку, где находится файл agent.exe.

    Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.

  3. Выполните следующие действия и нажмите на клавишу ENTER:
    • Если вы хотите безвозвратно удалить объекты, находящиеся на карантине, выполните команду:

      agent.exe --quarantine=delete --ouid=<идентификаторы объектов на карантине через запятую. Обязательный параметр> [--pwd=<текущий пароль пользователя>].

      Объекты с указанными идентификаторами будут удалены из папки карантина , указанной при настройке параметров карантина.

    • Если вы хотите восстановить объекты из карантина, выполните команду:

      agent.exe --quarantine=restore --ouid=<идентификаторы объектов на карантине через запятую. Обязательный параметр> [--path-type=<один из вариантов выбора папки назначения при восстановлении объекта из карантина: original|custom|settings. Необязательный параметр> --path=<путь к папке назначения для восстановленных объектов. Обязательный параметр, если передан параметр --path-type и указано значение original>] [--action=<одно из действий над объектом: replace|rename. Необязательный параметр>] [--pwd=<текущий пароль пользователя>].

    • Если вы хотите поместить объект на карантин, выполните одну из следующих команд:
      • agent.exe --quarantine=add [--file=<полный путь к объекту, который вы хотите поместить на карантин>] [--pwd=<текущий пароль пользователя>].
      • agent.exe --quarantine=add [--hash=<хеш объекта, который вы хотите поместить на карантин. Обязательный параметр, если вы не указываете полный путь к объекту и передаете параметр --hashalg >]--hashalg=<один из типов хеша: md5|sha256. Обязательный параметр, если вы не указываете полный путь к объекту> [--file=<путь к папке с объектом, который вы хотите поместить на карантин>] [--pwd=<текущий пароль пользователя>].

    Параметры команд при выполнении действий над объектами на карантине

    Параметр

    Описание

    --ouid

    Обязательный параметр. В параметре передается уникальный числовой (int64) идентификатор объекта на карантине.

    Отображается при просмотре информации об объектах на карантине (команда --quarantine=show).

    --path-type=<original|custom|settings>

    Параметр описывает логику выбора папки назначения при восстановлении объекта из карантина.

    • Если параметр не передан, объект будет восстановлен в исходную папку – папку, в которой находился объект до помещения его на карантин. Если исходная папка недоступна, объект будет восстановлен в папку, указанную при настройке параметров карантина.
    • Если параметр передан со значением <original>, объект будет восстановлен в исходную папку – папку, в которой находился объект до помещения его на карантин. Если исходная папка недоступна, объект будет восстановлен в папку, указанную при настройке параметров карантина.
    • Если параметр передан со значением <settings>, объект будет восстановлен в папку, указанную при настройке параметров карантина. Если папка недоступна, задача завершается с ошибкой.
    • Если параметр передан со значением <custom>, объект будет восстановлен в папку, путь к которой вы укажете для параметра --path. Если папка недоступна, задача завершается с ошибкой.

    --path=<путь к папке назначения для восстановленных объектов>

    Обязательный параметр, если передан параметр --path-type со значением <custom>.

    Параметр определяет путь, по которому вы хотите создать папку для объектов, восстановленных из карантина, если вы не хотите использовать папку, в которой находился объект до помещения его на карантин и папку, указанную при настройке параметров карантина.

    --action=<replace|rename>

    Параметр определяет действие над объектом, которое вы хотите выполнить, если при восстановлении объекта из карантина папка назначения для восстановленных объектов содержит файл с таким же именем.

    • Если параметр не передан, восстановленный объект будет переименован: к первоначальному имени объекта будет добавлен суффикс _restored.
    • Если параметр передан со значением <rename>, восстановленный объект будет переименован: к первоначальному имени объекта будет добавлен суффикс _restored.
    • Если параметр передан со значением <replace>, первоначальный объект будет заменен на восстановленный объект.

    --file=<полный путь к объекту, который вы хотите поместить на карантин>

    Обязательный параметр, если не передан параметр –-hashalg.

    Параметр задает полный путь к объекту, который вы хотите поместить на карантин.

    --hashalg=<md5|sha256>

    Обязательный параметр, если не передан параметр –-file и не указан полный путь к объекту, который вы хотите поместить на карантин.

    Параметр задает алгоритм хеширования, по которому будет рассчитана контрольная сумма объекта, который вы хотите поместить на карантин.

    Параметр может быть передан с одним из двух значений: <md5> или <sha256>.

    --hash=<контрольная сумма файла>

    Обязательный параметр, если передан параметр –-hashalg.

    Параметр задает контрольную сумму объекта, который вы хотите поместить на карантин.

    --file=<папка с файлом>

    Обязательный параметр, если передан параметр –-hashalg.

    Параметр задает путь к папке с объектом, который вы хотите поместить на карантин и хеш которого вы указали в параметре –-hash.

    --pwd=<текущий пароль пользователя>

    Позволяет ввести пароль пользователя, под учетной записью которого выполняется команда.

Коды возврата команды --quarantine:

В начало