移動檔案到隔離
2024年7月2日
ID 276111
當回應威脅時,Kaspersky Endpoint Detection and Response 可以建立“移動檔案到隔離區”工作。這對於最小化威脅的後果是必需的。隔離區是電腦上的一個特別本機儲存區域。使用者可以隔離使用者認為對電腦有危險的檔案。隔離檔案以加密狀態儲存,不會威脅裝置安全。Kaspersky Endpoint Security 僅在與 Detection and Response 解決方案 EDR Optimum 或 KATA (EDR) 搭配使用時才使用隔離區。在其他情況下,Kaspersky Endpoint Security 將相關檔案放置在備份中。有關將隔離區作為解決方案的一部分進行管理的詳細信息,請參閱 Kaspersky Endpoint Inspection and Response Optimum 說明。
您可以用以下方式建立“移動檔案到隔離區”工作:
- 在偵測詳情中(僅適用於 EDR Optimum)。
偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關管理警示詳情的更多資訊,請參閱Kaspersky Endpoint Detection and Response Optimum 說明。
- 使用工作精靈。
您必須輸入檔案路徑或者雜湊(SHA256 或者 MD5),或者檔案路徑和檔案雜湊二者。
“將檔案移動到隔離區”工作有以下限制:
- 檔案大小不得超過 100 MB。
- 系統關鍵物件 (SCO) 無法被隔離。SCO 是作業系統和 Kaspersky Endpoint Security for Windows 應用程式要求能夠執行的檔案。
- 您可以在網頁主控台和雲端主控台中配置 EDR Optimum 的工作。適用於 EDR Expert 的工作設定僅在雲端主控台中可以使用。
若要建立“移動檔案到隔離區”工作:
- 在網頁主控台的主視窗中,選取“裝置”>“工作”。
工作清單開啟。
- 點擊新增。
新工作精靈啟動。
- 配置工作設定:
- 在“應用程式”下拉清單中,選取“Kaspersky Endpoint Security for Mac (12.1)”。
- 在“工作類型”下拉式清單中,選取“移動檔案到隔離”。
- 在“工作名稱”欄位中,輸入簡要說明。
- 選擇以下選項之一:
- 按照所選工作範圍選項選取裝置。
- 在工作範圍步驟中,指定管理群組、具有特定位址的裝置或裝置分類。
可用設定取決於上一個步驟中選擇的選項。
- 在檔案清單中,點擊“新增”。
檔案新增精靈啟動。
- 在指定要移動到隔離區的檔案下拉清單中,選擇選項之一並填寫必填欄位。若要新增檔案,您必須輸入檔案的的完整路徑、或雜湊和路徑二者。
- 輸入您希望用其權限執行工作的使用者的帳戶認證。點擊下一步。
備足:預設情況下,Kaspersky Endpoint Security 作為系統使用者帳戶 (root) 啟動工作。
- 在完成工作建立步驟中,點擊完成按鈕以建立工作並關閉精靈。
如果您啟用了建立完成後開啟工作詳情選項,則工作設定視窗會開啟。在此視窗中,您可以檢查工作參數、修改它們,或根據需要設定工作啟動排程。
- 點擊新工作。
工作內容視窗將開啟。
- 選取“排程”標籤。
- 設定工作排程。
注意:確保電腦已開啟以執行工作。
- 點擊“儲存”按鈕。
- 若要立即執行工作而不管配置的排程如何,請執行下列操作:
- 選中工作旁邊的核取方塊。
- 點擊“執行”按鈕。
結果,Kaspersky Endpoint Security 會將檔案移動到隔離區。
如果您試圖隔離一個目前在執行的可執行檔,“移動檔案到隔離區”工作可能完成但有“存取被拒絕”錯誤。為檔案建立終止處理程序工作然後重試。
如果您試圖隔離一個太大的檔案,“移動檔案到隔離區”工作將以“隔離儲存中空間不足”錯誤而失敗。清空隔離區或者擴大隔離區。然後再試。
您可以從隔離區還原檔案或者使用網頁主控台清空隔離區。您可以使用命令列在電腦上本機還原物件。.