Работа с карантином

Карантин – это специальное хранилище на устройстве, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Карантин позволяет изолировать файл для дальнейшей проверки. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. В отличие от карантина резервное хранилище предназначено для хранения резервных копий файлов, в которых был обнаружен вредоносный код и которые были удалены или изменены в процессе лечения.

Приложение использует карантин только при интеграции с решениями Detection and Response для выполнения рекомендуемых действий по реагированию на угрозы. При интеграции приложения с Kaspersky Endpoint Detection and Response Optimum или с Kaspersky Managed Detection and Response вы также можете вручную помещать на карантин файлы, которые считаете опасными для вашего устройства.

По умолчанию для хранения файлов, помещенных на карантин, используется директория /var/opt/kaspersky/kesl/common/objects-backup/. В этой директории также хранятся объекты резервного хранилища. Вы можете изменять директорию для хранения объектов резервного хранилища и карантина с помощью командной строки.

Файлы на карантине могут содержать персональные данные. Для доступа к файлам, помещенным на карантин, требуются root-права.

Вы можете настраивать параметры карантина на устройстве с помощью политики в Web Console или в Консоли администрирования или с помощью командной строки. Вы можете настраивать следующие параметры карантина:

• Процент заполнения карантина, при котором формируется событие о заполнении карантина. По умолчанию событие формируется при заполнении карантина на 90%.
• Максимальный размер карантина в мегабайтах. При достижении максимального размера карантина приложение автоматически удаляет из карантина самые старые файлы. По умолчанию максимальный размер карантина 200 МБ, если приложение используется в стандартном режиме, и 100 МБ, если приложение используется в режиме Легкого агента.
• Путь к директории, в которой хранятся объекты резервного хранилища и карантина (этот параметр настраивается только с помощью командной строки).

Помещение файлов на карантин

Некоторые файлы могут быть критически важными для работы операционной системы и приложения. Помещение таких файлов на карантин может нарушить работу системы.

Помещение на карантин критически важных системных объектов (англ. System Critical Object, SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.

Помещение файла на карантин возможно только при выполнении одного из следующих условий:

• Включена интеграция приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response Optimum и активирован компонент EDR Optimum.
• Включена интеграция приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA) и активировано решение Kaspersky Anti Targeted Attack Platform.
• Включена интеграция приложения Kaspersky Endpoint Security с Kaspersky Managed Detection and Response и активирован компонент MDR.

Директория для хранения объектов резервного хранилища и карантина должна быть доступна для записи.

При интеграции с Kaspersky Endpoint Detection and Response (KATA) файлы помещаются на карантин в результате выполнения задачи, которая настраивается на стороне Kaspersky Endpoint Detection and Response (KATA). Подробнее см. в справке Kaspersky Anti Targeted Attack Platform.

При интеграции с Kaspersky Managed Detection and Response файлы помещаются на карантин одним из следующих способов:

• В результате выполнения задачи, которая настраивается на стороне Kaspersky Managed Detection and Response.
• В результате выполнения команды управления карантином на устройстве.

Подробнее о работе с карантином при интеграции с Kaspersky Managed Detection and Response см. в справке Kaspersky Managed Detection and Response.

При интеграции с Kaspersky Endpoint Detection and Response Optimum файлы помещаются на карантин одним из следующих способов:

• Автоматически в результате обнаружения индикаторов компрометации.
• В результате выполнения задачи Помещение файла на карантин, которую вы можете создать в Web Console.
• В результате выполнения команды управления карантином на устройстве.
• В результате выполнения рекомендации из деталей алерта.

Подробнее о работе с карантином при интеграции с Kaspersky Endpoint Detection and Response Optimum см. в справке Kaspersky Endpoint Detection and Response Optimum.

Работа с файлами на карантине

Вы можете работать с файлами, помещенными на карантин:

• В Kaspersky Security Center в общем списке файлов, помещенных на карантин приложениями "Лаборатории Касперского".

  Для выполнения действий с файлами на карантине в Kaspersky Security Center вам нужно включить передачу данных на Сервер администрирования о файлах на карантине.

• Локально на устройстве с помощью командной строки.

Вы можете просматривать информацию о файлах на карантине, удалять и восстанавливать файлы из карантина.

Восстановление, удаление и получение файла из карантина доступно вне зависимости от того, включена ли интеграция с решениями Detection and Response, а также вне зависимости от того, распространяется ли на устройство действие политики.

Общий список файлов, помещенных на карантин приложениями "Лаборатории Касперского" на клиентских устройствах, формируется в Kaspersky Security Center и доступен в Консоли администрирования (Дополнительно → Хранилища → Карантин) и в Web Console (Операции → Хранилища → Карантин). Kaspersky Security Center не копирует файлы из хранилищ карантина на Сервер администрирования, все файлы размещаются в хранилищах карантина на клиентских устройствах. Подробнее о работе с файлами карантина в Kaspersky Security Center см. в справке Kaspersky Security Center.

Файл, помещенный на карантин, восстанавливается в исходное местоположение согласно заданным параметрам. После завершения восстановления приложение удаляет копию восстановленного файла из карантина.

Восстановление файла из карантина завершается с ошибкой в следующих случаях:

• Восстанавливаемый файл не найден в хранилище карантина.
• Имя восстанавливаемого файла указано с ошибкой или в неверном регистре.
• Идентификатор файла указан с ошибкой.
• Папка назначения удалена, перемещена, переименована или у вас нет прав доступа к ней.

  В этом случае приложение перемещает файл в папку /var/opt/kaspersky/kesl/common/restored/. Вы можете вручную переместить файл из этой папки в нужную папку.

• По указанному пути уже существует одноименный файл.
• Недостаточно места на устройстве.

Удаление файла из карантина завершается с ошибкой в следующих случаях:

• Удаляемый файл не найден в хранилище карантина.
• Имя удаляемого файла указано с ошибкой или в неверном регистре.
• Идентификатор файла указан с ошибкой.

В этом разделе Помещение файла на карантин с помощью Web Console Настройка параметров карантина в Web Console Настройка параметров карантина в Консоли администрирования Настройка параметров карантина в командной строке Работа с файлами карантина в командной строке Передача данных о файлах на карантине в Kaspersky Security Center

В начало