Quarantäne verwenden

Die Quarantäne ist ein spezieller Speicher auf dem Gerät, in dem Dateien abgelegt werden, die möglicherweise mit Viren infiziert sind oder die zum Zeitpunkt der Erkennung nicht desinfiziert werden können. Mithilfe der Quarantäne können Sie eine Datei zur weiteren Überprüfung isolieren. Im Gegensatz zur Quarantäne dient der Backup-Speicher dazu, Backup-Kopien von Dateien zu speichern, die während des Desinfektionsprozesses gelöscht oder geändert wurden. Wenn Kaspersky Endpoint Security in einer Datei Schadcode erkennt, wird die Datei automatisch in den Backup-Speicher verschoben.

Die Anwendung verwendet nur bei einer Integration mit Detection and Response-Lösungen die Quarantäne, um empfohlene Maßnahmen zur Reaktion auf eine Bedrohung durchzuführen. Wenn Sie die Anwendung mit Kaspersky Endpoint Detection and Response Optimum integrieren, können Sie Dateien, die Sie als gefährlich für Ihr Gerät einstufen, auch manuell in die Quarantäne verschieben.

Dateien in der Quarantäne werden in verschlüsselter Form gespeichert und stellen keine Gefahr für das Gerät dar. Dateien in der Quarantäne können persönliche Daten enthalten.

Bestimmte Dateien können für den Betrieb des Betriebssystems und der Anwendung von kritischer Bedeutung sein. Wenn solche Dateien in die Quarantäne verschoben werden, kann der Systembetrieb gestört werden.

Das Verschieben einer Datei in die Quarantäne ist nur möglich, wenn eine der folgenden Bedingungen erfüllt ist:

• Die Integration mit der Lösung "Kaspersky Endpoint Detection and Response Optimum" ist aktiviert und die Komponente "EDR Optimum" ist aktiviert.
• Die Integration mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" ist aktiviert und die Lösung "Kaspersky Anti Targeted Attack Platform" ist aktiviert.

Das Speicherverzeichnis der Dateien, die in die Quarantäne verschoben wurde, muss Schreibrechte besitzen.

Bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA) wird das Verschieben von Dateien in die Quarantäne mithilfe einer Aufgabe durchgeführt, die auf der Seite von Kaspersky Endpoint Detection and Response (KATA) konfiguriert wird.

Bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum können Sie eine Datei auf folgende Weise in die Quarantäne verschieben:

• Durch das Erstellen und Ausführen der Aufgabe Datei in Quarantäne verschieben in der Web Console.
• Durch das Ausführen des Befehls zur Verwaltung der Quarantäne auf dem Gerät.
• Durch das Befolgen der Empfehlung in den Alarmdetails.

Eine Datei kann auch als Resultat eines erkannten Kompromittierungsindikators (IOC) automatisch in die Quarantäne verschoben werden.

Weitere Informationen zur Verwendung der Quarantäne als Teil von anderen Lösungen finden Sie in der Hilfe zu Kaspersky Anti Targeted Attack Platform und Kaspersky Endpoint Detection and Response Optimum.

Sie können auch in Kaspersky Security Center und lokal auf dem Gerät über die Befehlszeile mit den Dateien in der Quarantäne arbeiten. Sie sowohl Informationen zu Dateien anzeigen, die sich in der Quarantäne befinden, als auch diese Dateien aus der Quarantäne löschen und wiederherstellen.

Um Aktionen mit Dateien in der Quarantäne in Kaspersky Security Center durchzuführen, müssen Sie die Übertragung von Daten über Quarantäne-Dateien an den Administrationsserver aktivieren.

Das Wiederherstellen, Löschen und Abrufen einer Datei aus der Quarantäne ist unabhängig von Folgenden Bedingungen verfügbar: Aktivierung der Integration mit der Komponente "Kaspersky Endpoint Detection and Response (KATA)" oder mit der Lösung "Kaspersky Endpoint Detection and Response Optimum". Darüber hinaus spielt es keine Rolle, ob die Richtlinie für das Gerät gilt oder nicht. Auch die Aktivierung der Komponente "EDR Optimum" und der Lösung "Kaspersky Anti Targeted Attack Platform" beeinträchtigt die Möglichkeit zur Ausführung dieser Aktionen nicht.

Eine Liste der von Kaspersky-Lab-Anwendungen auf Client-Geräten unter Quarantäne gestellten Dateien wird in Kaspersky Security Center erstellt und ist in der Verwaltungskonsole (Erweitert → Speicher → Quarantäne) und in der Web Console (Vorgänge → Quarantäne → Quarantäne) verfügbar. Kaspersky Security Center kopiert keine Dateien aus dem Quarantäne-Speicher auf den Administrationsserver. Stattdessen werden alle Dateien im Quarantäne-Speicher auf geschützten Geräten abgelegt. Weitere Informationen über die Arbeit mit Quarantäne-Dateien in Kaspersky Security Center finden Sie in der Hilfe zu Kaspersky Security Center.

Die in die Quarantäne verschobenen Dateien werden gemäß den angegebenen Parametern an ihren ursprünglichen Speicherorten wiederhergestellt. Sobald die Wiederherstellung abgeschlossen ist, löscht die Anwendung die Kopie der wiederhergestellten Datei aus der Quarantäne.

Das Wiederherstellen einer Datei aus der Quarantäne schlägt in den folgenden Fällen mit einem Fehler fehl:

• Die wiederherzustellende Datei konnte im Speicher der Quarantäne nicht gefunden werden.
• Der eingegebene Name der wiederherzustellenden Datei ist falsch oder besitzt eine fehlerhafte Groß- und Kleinschreibung.
• Die angegebene ID der Datei ist falsch.
• Entweder wurde der Zielordner gelöscht, verschoben oder umbenannt, oder Sie haben keine Zugriffsberechtigung auf den Ordner.

  In diesem Fall verschiebt die Anwendung die Datei in den Ordner /var/opt/kaspersky/kesl/common/restored/. Sie können die Datei manuell aus diesem Ordner in den erforderlichen Ordner verschieben.

• Im angegebenen Pfad ist bereits eine Datei mit demselben Namen vorhanden.
• Zu wenig Speicherplatz auf dem Gerät.

Das Löschen einer Datei aus der Quarantäne schlägt in den folgenden Fällen mit einem Fehler fehl:

• Die zu löschende Datei konnte im Speicher der Quarantäne nicht gefunden werden.
• Der eingegebene Name der zu löschenden Datei ist falsch oder besitzt eine fehlerhafte Groß- und Kleinschreibung.
• Die angegebene ID der Datei ist falsch.

Sie können die Parameter der Quarantäne auf dem Gerät über die Web Console, die Verwaltungskonsole und die Befehlszeile konfigurieren. Sie können die folgenden Einstellungen der Quarantäne konfigurieren:

• Füllstand der Quarantäne in Prozent, bei dessen Erreichen eine Ereignis über mangelnden Quarantäne-Speicher generiert werden soll. Standardmäßig wird ein Ereignis generiert, wenn die Quarantäne zu 90% gefüllt ist.
• Maximale Größe der Quarantäne in Megabyte. Wenn die maximale Größe der Quarantäne erreicht wird, löscht die Anwendung automatisch die ältesten Dateien aus der Quarantäne. Die maximale Größe der Quarantäne beträgt standardmäßig 200 MB, wenn die Anwendung im Standardmodus verwendet wird, und 100 MB, wenn die Anwendung im Light Agent-Modus verwendet wird.

In diesem Abschnitt Quarantäne-Einstellungen in Web Console konfigurieren Quarantäne-Einstellungen in der Verwaltungskonsole konfigurieren Quarantäne-Einstellungen über die Befehlszeile konfigurieren Quarantäne-Dateien über die Befehlszeile verwalten Daten über Quarantäne-Dateien an Kaspersky Security Center übertragen

Nach oben