移动文件到隔离区

在应对威胁时,Kaspersky Endpoint Detection and Response 可以创建移动文件到隔离区任务。这对于将威胁的后果降至最低是必要的。隔离区是计算机上的一个特别的本地存储区。用户可以隔离用户认为对计算机有危险的文件。隔离的文件以加密状态存储,不会威胁设备的安全。Kaspersky Endpoint Security 仅在使用以下检测和响应解决方案时使用隔离:EDR Optimum、EDR Expert、KATA (EDR)、Kaspersky Sandbox。在其他情况下,Kaspersky Endpoint Security 将相关文件置于备份中。有关将隔离管理作为解决方案的一部分的详细信息,请参阅 Kaspersky Sandbox 帮助Kaspersky Endpoint Detection and Response Optimum 帮助Kaspersky Endpoint Detection and Response Expert 帮助Kaspersky Anti Targeted Attack Platform 帮助

您可以用以下方式创建移动文件到隔离区任务:

移动文件到隔离区”任务具有以下限制:

  1. 文件大小不得超过 100 MB。
  2. 系统关键对象(SCO)无法被隔离。SCO 是操作系统和 Kaspersky Endpoint Security for Windows 应用程序运行所需的文件。
  3. 您可以在 Web 控制台和云控制台中为 EDR Optimum 配置任务。EDR Expert 的任务设置仅在云控制台中可用。

创建一个“移动文件到隔离区”任务:

  1. 在 Web Console 的主窗口中,选择“设备” → “任务”。

    任务列表打开。

  2. 单击“添加”。

    “任务向导”将启动。

  3. 配置任务设置:
    1. 在“应用程序”下拉列表中,选择“Kaspersky Endpoint Security for Windows (12.7)”。
    2. 在“任务类型”下拉列表中,选择“移动文件到隔离区”。
    3. 在“任务名称”字段中,输入简要说明。
    4. 在“选择要对其分配任务的设备”块中,选择任务范围。
  4. 按照所选任务范围选项选择设备。单击“下一步”。
  5. 输入要使用其权限运行任务的用户的账户凭证。单击“下一步”。

    默认下,Kaspersky Endpoint Security 以系统用户账户 (SYSTEM) 启动任务。

  6. 单击“完成”按钮完成向导。

    在任务列表中将显示一个新任务。

  7. 单击新任务。

    任务属性窗口将打开。

  8. 选择应用程序设置选项卡。
  9. 在文件列表中,单击“添加”。

    文件添加向导将启动。

  10. 要添加文件,您必须输入文件的完整路径或哈希值和路径两者。

    如果文件位于网络驱动器上,请输入以“\\”开头的文件路径,而不是驱动器盘符。例如,\\server\shared_folder\file.exe。如果文件路径包含网络驱动器盘符,则可能会出现“未找到文件”错误。

  11. 在任务属性窗口中,选择“计划”选项卡。
  12. 配置任务计划。

    LAN 唤醒不可用于此任务。确保计算机已打开以运行任务。

  13. 单击“保存”按钮。
  14. 选中该任务旁边的复选框。
  15. 单击“开始”。

结果,Kaspersky Endpoint Security 将文件移动到隔离区。

如果文件被其他进程锁定,则任务显示为已完成,但文件本身只有在计算机重新启动后才会被隔离。重新启动计算机后,确认文件已删除。

如果试图隔离当前正在运行的可执行文件,则“移动文件到隔离区”任务可能会以“访问被拒绝”错误结束。为文件创建终止进程任务,然后重试。

如果试图隔离太大的文件,则“移动文件到隔离区”任务可能会以“隔离区存储空间不足”错误结束。清空隔离区或扩大隔离区。然后再次尝试。

您可以使用 Web Console 从隔离区恢复文件或清空隔离区。您可以使用命令行在计算机上本地恢复对象。

页面顶部