Помещение файла на карантин

При реагировании на угрозы Kaspersky Endpoint Detection and Response может создавать задачи Помещение файла на карантин. Это нужно, чтобы минимизировать последствия угрозы. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Detection and Response: EDR Optimum, EDR Expert, KATA (EDR), Kaspersky Sandbox. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum, Kaspersky Endpoint Detection and Response Expert, Kaspersky Anti Targeted Attack Platform.

Вы можете создавать задачи Помещение файла на карантин следующими способами:

• В деталях алерта (только для EDR Optimum).

  Детали алерта – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали алерта содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями алерта см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью мастера создания задач.

  Вам нужно ввести путь к файлу или хеш файла (SHA256 или MD5), или путь к файлу и хеш файла.

Задача Помещение файла на карантин имеет следующие ограничения:

1. Размер файла не должен превышать 100 МБ.
2. Критически важные системные объекты (англ. System Critical Object, SCO) поместить на карантин невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security для Windows.
3. Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Помещение файла на карантин, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (12.6).
   2. В раскрывающемся списке Тип задачи выберите Помещение файла на карантин.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. В списке файлов нажмите на кнопку Добавить.

   Запустится мастер добавления файла.

10. Для добавления файла вам нужно ввести полный путь к файлу или хеш файла и путь к файлу.

    Если файл расположен на сетевом диске, введите путь к файлу начиная с символов \\, а не с буквы диска. Например, \\server\shared_folder\file.exe. Если путь к файлу содержит букву сетевого диска, вы можете получить ошибку Файл не найден.

11. В окне свойств задачи выберите закладку Расписание.
12. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

13. Нажмите на кнопку Сохранить.
14. Установите флажок напротив задачи.
15. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security переместит файл в карантин.

Если файл заблокирован другим процессом, то задача будет отображаться со статусом Выполнено, но сам файл будет помещен на карантин только после перезагрузки компьютера. После перезагрузки компьютера убедитесь, что файл удален.

Задача Помещение файла на карантин может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь поместить на карантин запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.

Задача Помещение файла на карантин может быть завершена с ошибкой Недостаточно места в хранилище карантина, если вы пытаетесь поместить на карантин большой файл. Очистите карантин или увеличьте размер карантина. Затем повторите попытку.

Вы можете восстановить файл из карантина или очистить карантин в Web Console. Восстановление объектов доступно на компьютере локально из командной строки.

В начало