在应对威胁时,Kaspersky Endpoint Detection and Response 可以创建移动文件到隔离区任务。这对于将威胁的后果降至最低是必要的。隔离区是计算机上的一个特别的本地存储区。用户可以隔离用户认为对计算机有危险的文件。隔离的文件以加密状态存储,不会威胁设备的安全。Kaspersky Endpoint Security 仅在使用以下检测和响应解决方案时使用隔离:EDR Optimum、EDR Expert、KATA (EDR)、Kaspersky Sandbox。在其他情况下,Kaspersky Endpoint Security 将相关文件置于备份中。有关将隔离管理作为解决方案的一部分的详细信息,请参阅 Kaspersky Sandbox 帮助、Kaspersky Endpoint Detection and Response Optimum 帮助和 Kaspersky Endpoint Detection and Response Expert 帮助、Kaspersky Anti Targeted Attack Platform 帮助。
您可以用以下方式创建移动文件到隔离区任务:
警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助和 Kaspersky Endpoint Detection and Response Expert 帮助。
必须输入文件路径或哈希(SHA256 或 MD5),或者同时输入文件路径和文件哈希。
“移动文件到隔离区”任务具有以下限制:
创建一个“移动文件到隔离区”任务:
任务列表打开。
“任务向导”将启动。
默认下,Kaspersky Endpoint Security 以系统用户账户 (SYSTEM) 启动任务。
在任务列表中将显示一个新任务。
任务属性窗口将打开。
文件添加向导将启动。
如果文件位于网络驱动器上,请输入以“\\
”开头的文件路径,而不是驱动器盘符。例如,\\server\shared_folder\file.exe
。如果文件路径包含网络驱动器盘符,则可能会出现“未找到文件”错误。
LAN 唤醒不可用于此任务。确保计算机已打开以运行任务。
结果,Kaspersky Endpoint Security 将文件移动到隔离区。
如果文件被其他进程锁定,则任务显示为已完成,但文件本身只有在计算机重新启动后才会被隔离。重新启动计算机后,确认文件已删除。
如果试图隔离当前正在运行的可执行文件,则“移动文件到隔离区”任务可能会以“访问被拒绝”错误结束。为文件创建终止进程任务,然后重试。
如果试图隔离太大的文件,则“移动文件到隔离区”任务可能会以“隔离区存储空间不足”错误结束。清空隔离区或扩大隔离区。然后再次尝试。
您可以使用 Web Console 从隔离区恢复文件或清空隔离区。您可以使用命令行在计算机上本地恢复对象。
页面顶部