Помещение файла на карантин
При реагировании на угрозы Kaspersky Endpoint Detection and Response Optimum может создавать задачи Помещение файла на карантин.
Карантин – это специальное локальное хранилище на компьютере, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.
Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response Optimum. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище.
Вы можете создавать задачи Помещение файла на карантин следующими способами:
- Размер файла не должен превышать 100 МБ.
- Вы можете настроить параметры задачи только в Web Console.
Чтобы создать задачу Помещение файла на карантин, выполните следующие действия:
- В результате Kaspersky Endpoint Security переместит файл в карантин.
- Если файл заблокирован другим процессом, задача будет отображаться со статусом Выполнено, но сам файл будет помещен на карантин только после перезагрузки компьютера.
- После перезагрузки компьютера убедитесь, что файл удален.
Задача Помещение файла на карантин может быть завершена с ошибкой Доступ запрещен, если вы пытаетесь поместить на карантин запущенный исполняемый файл. Создайте задачу завершения процесса для этого файла, а затем повторите попытку.
Задача Помещение файла на карантин может быть завершена с ошибкой Недостаточно места в хранилище карантина, если вы пытаетесь поместить на карантин большой файл. Очистите карантин или увеличьте размер карантина. Затем повторите попытку.
Вы можете восстановить файл из карантина или очистить карантин в Web Console. Восстановление объектов доступно на компьютере локально из командной строки.
При обнаружении вирусов или потенциально нежелательного с точки зрения встроенного антивируса Microsoft Defender файлов, он помещает их в карантин: из своего прежнего расположения такие файлы пропадают, а их запуск не удается.
Карантин Microsoft Defender и восстановление файлов из него
При добавлении файлов в карантин они не просто запираются в специальной папке антивируса Microsoft Defender, но и изменяются таким образом, что вручную их извлечь из папки и выполнить запуск не получится, даже вернув расширение исполняемого файла.
Место хранения файлов карантина:
но для их восстановления потребуется использовать либо графический интерфейс в окне Безопасность Windows либо командную строку.
Восстановление из карантина в журнале защиты Безопасность Windows
Безопасность Windows — способ восстановить файлы из карантина:
В результате указанного действия файл будет восстановлен в своё прежнее расположение, а его запуск разрешен. Однако учитывайте, что некоторые восстановленные файлы после этого всё равно могут не запуститься, а для запуска потребуется добавить всю папку с программой в исключения Microsoft Defender.
Как восстановить файлы из карантина в командной строке
Существует ещё одна возможность восстановления файлов, помещенных в карантин Microsoft Defender — командная строка. Шаги будут следующими:
- Откройте командную строку от имени администратора.
- Введите команду
MpCmdRun -Restore -Name Полный_путь_к_файлу. - Нажмите Enter для выполнения команды.
Учитывайте, что файлы хранятся в карантине не бессрочно и через некоторое время удаляются встроенным антивирусом полностью.
Одним из возможных действий по реагированию при обнаружении угрозы является помещение файла на карантин.
Что такое карантин и как он работает?
Карантин – это специальное локальное хранилище на устройстве с EPP-программой, поддерживающей функциональность Kaspersky Endpoint Detection and Response Expert, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Файлы на карантине хранятся на защищаемом устройстве в зашифрованном виде и не угрожают безопасности устройства.
Файл может быть помещен на карантин вручную или автоматически, в результате ответных действий на обнаружения.
Подробная информация о создании задачи помещения файла на карантин приведена в справке Kaspersky Endpoint Security для Windows.
Восстановление файлов из карантина через командную строку
Восстановление файлов из карантина также доступно из командной строки. Подробнее см. в онлайн-справке Kaspersky Endpoint Security для Windows.
Дополнительная информация
Объекты помещаются на карантин с использованием системной учетной записи (SYSTEM), если в задаче Поместить файл на карантин не указана другая учетная запись. При восстановлении из карантина файл помещается в исходное местоположение. Если исходное местоположение не существует, файл помещается в специальную папку на устройстве (%ProgramData%qb estored), из которой его можно вручную переместить в папку назначения.