移動檔案到隔離

當回應威脅時,Kaspersky Endpoint Detection and Response 可以建立“移動檔案到隔離區”工作。這對於最小化威脅的後果是必需的。隔離區是電腦上的一個特別本機儲存區域。使用者可以隔離使用者認為對電腦有危險的檔案。隔離檔案以加密狀態儲存,不會威脅裝置安全。Kaspersky Endpoint Security 僅在使用以下 Detection and Response 解決方案時使用隔離:EDR Optimum、EDR Expert、KATA (EDR)、Kaspersky Sandbox。在其他情況下,Kaspersky Endpoint Security 將相關檔案放置在備份中。若要瞭解將隔離作為解決方案的一部分進行管理的詳情,請參見Kaspersky Sandbox 說明Kaspersky Endpoint Detection and Response Optimum 說明Kaspersky Endpoint Detection and Response Expert 說明Kaspersky Anti Targeted Attack Platform 說明

您可以用以下方式建立“移動檔案到隔離區”工作:

移動檔案到隔離區”工作有以下限制:

  1. 檔案大小不得超過 100 MB。
  2. 系統關鍵物件 (SCO) 無法被隔離。SCO 是作業系統和 Kaspersky Endpoint Security for Windows 應用程式要求能夠執行的檔案。
  3. 您可以在網頁主控台和雲端主控台中配置 EDR Optimum 的工作。適用於 EDR Expert 的工作設定僅在雲端主控台中可以使用。

建立一個 移動檔案到隔離區工作:

  1. 在網頁主控台的主視窗中,選取“裝置”→“工作”。

    工作清單開啟。

  2. 點擊“新增”按鈕。

    啟動“工作精靈”。

  3. 配置工作設定:
    1. 在“應用程式”下拉清單中,選取“Kaspersky Endpoint Security for Windows (12.2)”。
    2. 在“工作類型”下拉式清單中,選取“移動檔案到隔離區”。
    3. 在“工作名稱”欄位中,輸入簡要說明。
    4. 在“選取要對其分配工作的裝置”塊中,選取工作範圍。
  4. 按照所選工作範圍選項選取裝置。點擊“下一步”按鈕。
  5. 輸入您希望用其權限執行工作的使用者的帳戶認證。點擊“下一步”按鈕。

    預設情況下,Kaspersky Endpoint Security 作為系統使用者帳戶 (SYSTEM) 啟動工作。

  6. 點擊“完成”按鈕完成精靈。

    在工作清單中將顯示一個新工作。

  7. 點擊新工作。

    工作內容視窗將開啟。

  8. 選取“應用程式設定”標籤。
  9. 在檔案清單中,點擊“新增”。

    檔案新增精靈啟動。

  10. 若要新增檔案,您必須輸入檔案的的完整路徑、或雜湊和路徑二者。

    如果檔案位於網路磁碟機上,則輸入以\\而不是磁碟機字母開始的檔案路徑。例如,\\server\shared_folder\file.exe。如果檔案路徑包含網路磁碟機字母,您可能獲得“找不到檔案”錯誤。

  11. 在工作內容視窗中,選取“排程”標籤。
  12. 設定工作排程。

    網路喚醒對於該工作不可用。確保電腦已開啟以執行工作。

  13. 點擊“儲存”按鈕。
  14. 選中該工作旁邊的核取方塊。
  15. 點擊“執行”按鈕。

結果,Kaspersky Endpoint Security 會將檔案移動到隔離區。如果檔案被其它處理程序鎖定,工作將顯示為“已完成”,但是檔案本身只有在電腦重啟後才會被隔離。重啟電腦後,請確認檔案已刪除。

如果您試圖隔離一個目前在執行的可執行檔,“移動檔案到隔離區”工作可能完成但有“存取被拒絕”錯誤。為檔案建立終止處理程序然後重試。

如果您試圖隔離一個太大的檔案,“移動檔案到隔離區”工作可能完成但有“隔離區儲存空間不足”錯誤。清空隔離區或者擴大隔離區。然後再試。

您可以從隔離區還原檔案或者使用網頁主控台清空隔離區。您可以使用命令列在電腦上本機還原物件。.

頁面頂部