移动文件到隔离区

在应对威胁时,Kaspersky Endpoint Detection and Response 可以创建移动文件到隔离区任务。这对于将威胁的后果降至最低是必要的。隔离区是计算机上的一个特别的本地存储区。用户可以隔离用户认为对计算机有危险的文件。隔离的文件以加密状态存储,不会威胁设备的安全。Kaspersky Endpoint Security 仅在使用以下检测和响应解决方案时使用隔离:EDR Optimum、EDR Expert、KATA (EDR)、Kaspersky Sandbox。在其他情况下,Kaspersky Endpoint Security 将相关文件置于备份中。有关将隔离管理作为解决方案的一部分的详细信息,请参阅 Kaspersky Sandbox 帮助Kaspersky Endpoint Detection and Response Optimum 帮助Kaspersky Endpoint Detection and Response Expert 帮助Kaspersky Anti Targeted Attack Platform 帮助

您可以用以下方式创建移动文件到隔离区任务:

移动文件到隔离区”任务具有以下限制:

  1. 文件大小不得超过 100 MB。
  2. 系统关键对象(SCO)无法被隔离。SCO 是操作系统和 Kaspersky Endpoint Security for Windows 应用程序运行所需的文件。
  3. 您可以在 Web 控制台和云控制台中为 EDR Optimum 配置任务。EDR Expert 的任务设置仅在云控制台中可用。

创建一个“移动文件到隔离区”任务:

  1. 在 Web Console 的主窗口中,选择“设备” → “任务”。

    任务列表打开。

  2. 单击“添加”。

    “任务向导”将启动。

  3. 配置任务设置:
    1. 在“应用程序”下拉列表中,选择“Kaspersky Endpoint Security for Windows (12.4)”。
    2. 在“任务类型”下拉列表中,选择“移动文件到隔离区”。
    3. 在“任务名称”字段中,输入简要说明。
    4. 在“选择要对其分配任务的设备”块中,选择任务范围。
  4. 按照所选任务范围选项选择设备。单击“下一步”按钮 。
  5. 输入要使用其权限运行任务的用户的账户凭证。单击“下一步”按钮 。

    默认下,Kaspersky Endpoint Security 以系统用户账户 (SYSTEM) 启动任务。

  6. 单击“完成”按钮完成向导。

    在任务列表中将显示一个新任务。

  7. 单击新任务。

    任务属性窗口将打开。

  8. 选择“应用程序设置”选项卡。
  9. 在文件列表中,单击“添加”。

    文件添加向导将启动。

  10. 要添加文件,您必须输入文件的完整路径或哈希值和路径两者。

    如果文件位于网络驱动器上,请输入以“\\”开头的文件路径,而不是驱动器盘符。例如,\\server\shared_folder\file.exe。如果文件路径包含网络驱动器盘符,则可能会出现“未找到文件”错误。

  11. 在任务属性窗口中,选择“计划”选项卡。
  12. 配置任务计划。

    LAN 唤醒不可用于此任务。确保计算机已打开以运行任务。

  13. 单击“保存”按钮。
  14. 选中该任务旁边的复选框。
  15. 单击“运行”按钮。

结果,Kaspersky Endpoint Security 将文件移动到隔离区。如果文件被其他进程锁定,则任务显示为已完成,但文件本身只有在计算机重新启动后才会被隔离。重新启动计算机后,确认文件已删除。

如果试图隔离当前正在运行的可执行文件,则“移动文件到隔离区”任务可能会以“访问被拒绝”错误结束。为文件创建终止进程任务,然后重试。

如果试图隔离太大的文件,则“移动文件到隔离区”任务可能会以“隔离区存储空间不足”错误结束。清空隔离区或扩大隔离区。然后再次尝试。

您可以使用 Web Console 从隔离区恢复文件或清空隔离区。您可以使用命令行在计算机上本地恢复对象。

页面顶部