移動檔案到隔離
當回應威脅時,Kaspersky Endpoint Detection and Response 可以建立“移動檔案到隔離區”工作。這對於最小化威脅的後果是必需的。隔離區是電腦上的一個特別本機儲存區域。使用者可以隔離使用者認為對電腦有危險的檔案。隔離檔案以加密狀態儲存,不會威脅裝置安全。Kaspersky Endpoint Security 僅在使用以下 Detection and Response 解決方案時使用隔離:EDR Optimum、EDR Expert、KATA (EDR)、Kaspersky Sandbox。在其他情況下,Kaspersky Endpoint Security 將相關檔案放置在備份中。若要瞭解將隔離作為解決方案的一部分進行管理的詳情,請參見Kaspersky Sandbox 說明、Kaspersky Endpoint Detection and Response Optimum 說明、Kaspersky Endpoint Detection and Response Expert 說明、Kaspersky Anti Targeted Attack Platform 說明。
您可以用以下方式建立“移動檔案到隔離區”工作:
- 在偵測詳情中(僅適用於 EDR Optimum)。
偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊,請參閱 Kaspersky Endpoint Detection and Response Optimum 說明 與 Kaspersky Endpoint Detection and Response Expert 說明。
- 使用工作精靈。
您必須輸入檔案路徑或者雜湊(SHA256 或者 MD5),或者檔案路徑和檔案雜湊二者。
“移動檔案到隔離區”工作有以下限制:
- 檔案大小不得超過 100 MB。
- 系統關鍵物件 (SCO) 無法被隔離。SCO 是作業系統和 Kaspersky Endpoint Security for Windows 應用程式要求能夠執行的檔案。
- 您可以在網頁主控台和雲端主控台中配置 EDR Optimum 的工作。適用於 EDR Expert 的工作設定僅在雲端主控台中可以使用。
建立一個 移動檔案到隔離區工作:
- 在網頁主控台的主視窗中,選擇裝置 → 工作。
工作清單開啟。
- 單擊“新增”。
啟動“工作精靈”。
- 配置工作設定:
- 在“應用程式”下拉清單中,選取“Kaspersky Endpoint Security for Windows (12.4)”。
- 在“工作類型”下拉式清單中,選取“移動檔案到隔離區”。
- 在“工作名稱”欄位中,輸入簡要說明。
- 在“選取要對其分配工作的裝置”塊中,選取工作範圍。
- 按照所選工作範圍選項選取裝置。點擊“下一步”按鈕。
- 輸入您希望用其權限執行工作的使用者的帳戶認證。點擊“下一步”按鈕。
預設情況下,Kaspersky Endpoint Security 作為系統使用者帳戶 (SYSTEM) 啟動工作。
- 點擊“完成”按鈕完成精靈。
在工作清單中將顯示一個新工作。
- 點擊新工作。
工作內容視窗將開啟。
- 選取“應用程式設定”標籤。
- 在檔案清單中,點擊“新增”。
檔案新增精靈啟動。
- 若要新增檔案,您必須輸入檔案的的完整路徑、或雜湊和路徑二者。
如果檔案位於網路磁碟機上,則輸入以
\\
而不是磁碟機字母開始的檔案路徑。例如,\\server\shared_folder\file.exe
。如果檔案路徑包含網路磁碟機字母,您可能獲得“未找到檔案”錯誤。 - 在工作內容視窗中,選取“排程”標籤。
- 設定工作排程。
網路喚醒對於該工作不可用。確保電腦已開啟以執行工作。
- 點擊“儲存”按鈕。
- 選中該工作旁邊的核取方塊。
- 點擊“執行”按鈕。
結果,Kaspersky Endpoint Security 會將檔案移動到隔離區。如果檔案被其它處理程序鎖定,工作將顯示為“已完成”,但是檔案本身只有在電腦重啟後才會被隔離。重啟電腦後,請確認檔案已刪除。
如果您試圖隔離一個目前在執行的可執行檔,“移動檔案到隔離區”工作可能完成但有“存取被拒絕”錯誤。為檔案建立終止處理程序然後重試。
如果您試圖隔離一個太大的檔案,“移動檔案到隔離區”工作可能完成但有“隔離區儲存空間不足”錯誤。清空隔離區或者擴大隔離區。然後再試。
您可以從隔離區還原檔案或者使用網頁主控台清空隔離區。您可以使用命令列在電腦上本機還原物件。.