Di chuyển tập tin đến Khu vực cách ly

Khi phản ứng với các mối đe dọa, Kaspersky Endpoint Detection and Response có thể tạo các tác vụ Di chuyển tập tin đến Khu vực cách ly. Đây là điều cần thiết để giảm thiểu hậu quả của mối đe dọa. Khu vực cách ly là một kho lưu trữ cục bộ đặc biệt trên máy tính. Người dùng có thể cách ly các tập tin mà người dùng coi là nguy hiểm cho máy tính. Các tập tin cách ly được lưu trữ ở trạng thái mã hóa và không đe dọa đến tính bảo mật của thiết bị. Kaspersky Endpoint Security chỉ sử dụng Khu vực cách ly khi làm việc với các giải pháp Detection and Response: EDR Optimum, EDR Expert, KATA (EDR), Kaspersky Sandbox. Trong các trường hợp khác, Kaspersky Endpoint Security sẽ đặt các tập tin liên quan vào Sao lưu. Để biết chi tiết về quản lý khu vực cách ly làm một phần của các giải pháp, vui lòng tham khảo Trợ giúp của Kaspersky Sandbox, Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert, Trợ giúp của Kaspersky Anti Targeted Attack Platform.

Bạn có thể tạo các tác vụ Di chuyển tập tin đến Khu vực cách ly theo những cách sau:

• Chi tiết về cảnh báo (chỉ dành cho EDR Optimum).

  Chi tiết về phát hiện là một công cụ để xem toàn bộ thông tin thu thập được về một mối đe dọa được phát hiện. Chi tiết về phát hiện bao gồm, ví dụ như lịch sử của các tập tin xuất hiện trên máy tính. Để biết chi tiết về việc quản lý thông tin chi tiết về phát hiện, hãy tham khảo Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert.

• Sử dụng Trình hướng dẫn Tác vụ.

  Bạn phải nhập đường dẫn hoặc giá trị hash (SHA256 hoặc MD5) của tập tin, hoặc cả đường dẫn tập tin và giá trị hash của tập tin.

Tác vụ Di chuyển tập tin đến Khu vực cách ly có những hạn chế sau:

1. Kích thước tập tin không được vượt quá 100 MB.
2. Không thể cách ly Đối tượng hệ thống quan trọng (SCO). SCO là các tập tin mà hệ điều hành và ứng dụng Kaspersky Endpoint Security cho Windows phải có để có thể chạy.
3. Bạn có thể cấu hình tác vụ cho EDR Optimum trong Bảng điều khiển web và Bảng điều khiển đám mây. Thiết lập tác vụ cho EDR Expert chỉ khả dụng trong Bảng điều khiển đám mây.

Để tạo ra một tác vụ Di chuyển tập tin đến Khu vực cách ly:

1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Tasks.

   Danh sách tác vụ sẽ mở.

2. Nhấn nút Add.

   Trình hướng dẫn Tác vụ sẽ được bắt đầu.

3. Cấu hình các thiết lập của tác vụ:
   1. Trong danh sách thả xuống Application, hãy chọn Kaspersky Endpoint Security for Windows (12.2).
   2. Trong danh sách thả xuống Task type, hãy chọn Move file to Quarantine.
   3. Trong trường Task name, hãy nhập một mô tả ngắn.
   4. Trong phần Select devices to which the task will be assigned, chọn phạm vi tác vụ.
4. Chọn các thiết bị theo phạm vi tác vụ được chọn. Nhấn nút Next.
5. Nhập thông tin đăng nhập tài khoản của người dùng có quyền mà bạn muốn sử dụng để chạy tác vụ. Nhấn nút Next.

   Theo mặc định, Kaspersky Endpoint Security sẽ khởi chạy tác vụ dưới quyền tài khoản người dùng hệ thống (SYSTEM).

6. Hoàn tất trình hướng dẫn bằng cách nhấn nút Finish.

   Một tác vụ mới sẽ được hiển thị trong danh sách các tác vụ.

7. Nhấn tác vụ mới.

   Cửa sổ thuộc tính tác vụ sẽ được mở ra.

8. Chọn thẻ Application settings.
9. Trong danh sách tập tin, hãy nhấn vào Add.

   Trình hướng dẫn thêm tập tin sẽ khởi chạy.

10. Để thêm tập tin, bạn phải nhập đường dẫn đầy đủ đến tập tin hoặc cả giá trị hash và đường dẫn.

    Nếu tập tin nằm trên ổ đĩa mạng, hãy nhập đường dẫn tập tin bắt đầu bằng \\, không phải bằng ký tự ổ đĩa. Ví dụ: \\server\shared_folder\file.exe. Nếu đường dẫn tập tin chứa ký tự ổ đĩa mạng, bạn có thể nhận được lỗi Không tìm thấy tập tin.

11. Trong cửa sổ thuộc tính tác vụ, hãy chọn thẻ Schedule.
12. Cấu hình lịch tác vụ.

    Wake-on-LAN không khả dụng cho tác vụ này. Đảm bảo rằng máy tính được bật để chạy tác vụ.

13. Nhấn nút Save.
14. Chọn hộp kiểm cạnh tác vụ.
15. Nhấn nút Run.

Kết quả là Kaspersky Endpoint Security sẽ di chuyển tập tin đó đến Khu vực cách ly. Nếu tập tin bị khóa bởi một tiến trình khác, tác vụ sẽ được hiển thị dưới dạng Completed, nhưng bản thân tập tin chỉ được cách ly sau khi máy tính được khởi động lại. Sau khi khởi động lại máy tính, hãy xác nhận rằng tập tin đã bị xóa.

Tác vụ Di chuyển tập tin đến Khu vực cách ly có thể kết thúc kèm theo lỗi Truy cập bị từ chối nếu bạn đang cố gắng cách ly một tập tin thực thi hiện đang chạy. Tạo một tác vụ chấm dứt tiến trình cho tập tin và thử lại.

Tác vụ Di chuyển tập tin đến Khu vực cách ly có thể kết thúc kèm theo lỗi Không đủ không gian lưu trữ trực tuyến nếu bạn đang cố gắng cách ly một tập tin quá lớn. Hãy làm trống Khu vực cách ly hoặc tăng dung lượng lưu trữ của Khu vực cách ly. Sau đó thử lại.

Bạn có thể khôi phục tập tin từ Khu vực cách ly hoặc làm trống Khu vực cách ly bằng Bảng điều khiển web. Bạn có thể khôi phục cục bộ các đối tượng trên máy tính bằng cách sử dụng dòng lệnh.

Về đầu trang