Каталог расширений

Популярные теги

3gp       avi       fb2       jpg       mp3       pdf      

Главная » Разное » Как убрать файл из карантина windows 10

Как убрать файл из карантина windows 10


Как восстановить файлы из карантина Защитника Windows 10

Защитник Windows – встроенное в систему антивирусное средство – в её десятой версии заметно вырос. Вырос функционально: он получал какие-то новые возможности почти в каждом поставляемом для «Десятки» накопительном апдейте. Вырос также и в плане активности погони за угрозами. Однако независимые лаборатории, периодически тестирующие различные антивирусные Windows-продукты на предмет их эффективности, пока что не спешат констатировать улучшения в работе Защитника.

Он даже не попадает в десятку лучшего антивирусного ПО. Многие пользователи Windows 10, доверившиеся штатной защите, наверняка заметили в последнее время усиление защитных мер. У таких мер, увы, есть обратная сторона – повысившийся процент ложных срабатываний.

Как вызволить из карантина штатного антивируса Виндовс 10 ошибочно заблокированные им файлы?

После массовых эпидемий вирусов-шифровальщиков WannaCry и Petya в 2017 году компания Microsoft всерьёз озаботилась проблемами защиты Windows-устройств. В составе Защитника версии системы 10 появилась фича для защиты от вирусов-шантажистов, а методы выявления угроз стали более агрессивными. Агрессивно – не значит эффективно. Защитник в «Десятке» постоянно что-то сканирует, блокирует неимоверное количество угроз, его процесс Antimalware Service Executable периодически нагружает ресурсы компьютера. В разряд неугодному штатному антивирусу содержимому попадают все мало-мальски подозрительные файлы запуска. А это не только кейгены в составе пиратского софта, но и вполне себе безобидные рабочие файлы программ из числа таковых от непроверенных компанией Microsoft разработчиков. Далеко не всё то, что Защитник считает угрозами, является таковыми на деле. Более того, не обо всех перехваченных угрозах Защитник нам сообщает.

О том, что на компьютере якобы имеются угрозы, мы узнаём из системного сообщения.

Можем открыть Центр уведомлений и кликнуть по такому сообщению, чтобы по прямой ссылке попасть в раздел журнала угроз в приложении системного Центра безопасности.

Или запускаем приложение и открываем журнал угроз.

В журнале увидим перечень с детальными сведениями по обнаруженным угрозам. Раскрываем каждую отдельно и смотрим её подробности.

Вот самое что ни на есть ложное срабатывание: Защитник ошибочно заблокировал файл запуска кустарной утилиты на борту образа Live-диска и незаслуженно обозвал её трояном.

Закрываем окно подробностей и восстанавливаем этот файл. В вариантах действий выбираем «Разрешить на устройстве». Кликаем выше «Запуск действий».

Дополнительно подтверждаем разрешение.

И так рассматриваем каждую обнаруженную угрозу, при необходимости ищем по заблокированным файлам справку в Интернете и затем принимаем решение – разрешать этот файл или удалять его.

Но, как упоминалось, Защитник уведомляет нас не обо всех заблокированных файлах. Кое с чем он расправляется втихую. В журнале угроз жмём «Просмотреть журнал полностью».

И только теперь мы увидим полный перечень неугодных Защитнику файлов. Здесь также необходимо просмотреть по всем файлам, расцененным как угрозы, подробности. И если эти файлы окажутся не вредоносными, следовательно, их можно разрешить на компьютере.

Восстановление файлов из карантина в Microsoft Defender AV - Windows Security

  • 2 минуты на чтение

В этой статье

Важно

Добро пожаловать в Microsoft Defender for Endpoint , новое название Microsoft Defender Advanced Threat Protection .Подробнее об этом и других обновлениях читайте здесь. В ближайшем будущем мы обновим названия продуктов и документов.

Применимо к:

Если антивирус Microsoft Defender настроен на обнаружение и устранение угроз на вашем устройстве, антивирус Microsoft Defender помещает подозрительные файлы в карантин. Если вы уверены, что помещенный в карантин файл не представляет угрозы, вы можете восстановить его.

  1. Откройте Безопасность Windows .
  2. Выберите Защита от вирусов и угроз , а затем щелкните История защиты .
  3. В списке всех недавних элементов отфильтруйте элементов в карантине .
  4. Выберите элемент, который нужно сохранить, и выполните действие, например восстановление.

Статьи по теме

.

Как восстановить файлы, удаленные Защитником Windows?

Прочтите о восстановлении файлов, удаленных Защитником Windows , , где вы можете найти папку с файлами, помещенными в карантин, как настроить исключения для антивируса и брандмауэра, и как повысить производительность вашего компьютера.

Содержание:

  • Управление изолированными элементами и исключениями в Windows Defender Security Center.
  • Удаление или восстановление файлов из карантина в Защитнике Windows .
  • Разрешенные угрозы
  • Добавление исключений в Центр безопасности Защитника Windows
  • Заключение

    • Введение.

    Одним из последних обновлений, выпущенных и доступных в рамках программы оценки Windows 10, является Windows 10 Redstone 5. Он добавляет множество новейших и наиболее важных функциональных улучшений в операционную систему Windows .

    Если система работает нормально и новые функции получают одобрение пользователей, они включаются в официальные обновления системы и становятся доступными для всех пользователей Windows 10 по всему миру.

    Защитник Windows Центр безопасности

    Одним из наиболее важных аспектов, которым уделяется особое внимание в операционной системе Windows , является безопасность использования и защита от вредоносного воздействия сторонних вредоносных программ. Приложение, отвечающее за обеспечение абсолютной безопасности, - это Центр безопасности Защитника Windows. В операционной системе Windows 10 он стал более мощным и может использоваться в качестве надежной защиты от вредоносных программ и быть полноценным эквивалентом стороннего антивируса для защиты вашего ПК.

    Инженеры Microsoft несколько модифицировали Windows Defender и включили в это защитное приложение несколько новых технологий и функций. Теперь панель конфигурации для Защитник Windows перенесена в новое приложение Windows 10, Settings, , так что все важные элементы для управления внутренними настройками операционной системы собраны в одном месте для удобства пользователя.

    Начиная с Windows 10 Creators Update 1703 , новый значок Защитника Windows в виде белого щита отображается в системном трее или на панели скрытых значков.Когда вы нажимаете на нее, система откроет Центр безопасности Защитника Windows , чтобы вам было проще просматривать и контролировать выбранные меры защиты, а также лучше понимать функции безопасности, которые уже защищают ваше устройство, работающее под Windows 10. операционная система.

    Центр безопасности будет действовать как единая панель для всех защитных функций, включая сторонние инструменты безопасности, чтобы предоставить более четкое представление обо всех рисках, с которыми может столкнуться ваш компьютер во время работы.Он был специально разработан для упрощения и унификации всех настроек безопасности Windows в одном месте.

    Этот инструмент будет включать следующие семь разделов, чтобы предоставить пользователям полный контроль над безопасностью и работоспособностью своего устройства.

    Защита от вирусов и угроз

    На первой странице центра безопасности отображается полная информация о состоянии защиты, обеспечиваемой для вашего устройства Защитником Windows и сторонним антивирусным приложением. Пользователи могут видеть информацию о текущих угрозах, последнем сканировании и просматривать список обнаруженных угроз.По сравнению с предыдущими версиями этой операционной системы, центр безопасности имеет дополнительные настройки: более широкий спектр антивирусной защиты, настройки безопасности от программ-вымогателей, контролируемый доступ к папкам для защиты их и соответствующих секторов памяти на вашем устройстве от несанкционированного изменения вредоносными программами и т. Д.

    Если возникла проблема, требующая вашего внимания, восклицательный знак внутри желтого треугольника появится на значке Защитника Windows на панели задач .

    Обнаруженная проблема будет отображена на соответствующей странице Центра безопасности Защитника Windows , и будет предложен способ решения проблемы.

    Если проблема настолько серьезна, что требует срочных действий, значок Защитника Windows на панели задач покажет красный кружок с белым крестом внутри, чтобы привлечь ваше внимание к важности новой угрозы.

    В соответствующем разделе Центра безопасности Защитника Windows вы сможете узнать больше о проблеме и выбрать способ ее решения.

    Защита учетной записи

    Эта страница содержит настройки Защитника Windows , которые обеспечивают полную защиту учетных записей пользователей и дополнительные настройки конфиденциальности, а также резервное копирование облачного хранилища. Кроме того, центр безопасности обеспечивает контроль над Windows Hello , популярной и хорошо известной биометрической функцией в Windows 10 , которая позволяет быстро и безопасно входить в Windows 10 , совершать платежи, подключаться к приложениям и службам в различными способами, включая распознавание лиц и использование отпечатков пальцев.

    Особого внимания заслуживает система Dynamic lock ; его настройки позволяют Защитнику Windows 10 блокировать устройства, если их действия выходят за допустимые пределы.

    Межсетевой экран и защита сети

    Следующая страница управляет настройками Windows Firewall и обеспечивает бесперебойную защиту вашего устройства при подключении к различным сетям. Кроме того, есть ссылки на средство устранения неполадок сети и Интернета, настройки уведомлений брандмауэра, расширенные настройки безопасности с объяснением правил политики безопасности и возможность настроить Windows Firewall для входящих и исходящих подключений.Кроме того, в разделе Сеть и Интернет приложения Settings есть информация о локальных сетях, отражающая основные настройки.

    Управление приложениями и браузером

    Эта страница центра безопасности посвящена защите приложений и безопасности при работе в Интернете. Для этого есть настройки SmartScreen Защитника Windows . SmartScreen в операционной системе Windows 10 , а также в его предыдущей версии Windows 8.1 , предотвращает запуск на вашем компьютере подозрительных (или явно опасных) программ и веб-сайтов, немедленно блокирует их и использует всплывающие уведомления, чтобы предупредить вас об опасности.

    При установке любого приложения, открытии веб-страницы в браузере Microsoft Edge или использовании магазина приложений Microsoft Store фильтр SmartScreen проверит их на соответствие настройкам безопасности в базе данных Microsoft и немедленно заблокирует подозрительное действие или предложить пользователю решить, выполнять такие действия или считать их безопасными.

    Безопасность устройства

    Каждое компьютерное устройство имеет встроенное оборудование, используемое операционной системой Windows 10 для обеспечения дополнительной безопасности. На этой странице пользователи могут увидеть одно из трех сообщений, указывающих на дополнительные параметры безопасности для вашего устройства:

    1. Ваше устройство соответствует требованиям стандартной аппаратной безопасности - это сообщение информирует вас о том, что устройство поддерживает изоляцию ядра и целостность памяти. Вдобавок это означает поддержку TPM 2.0 , обеспечивающий безопасное создание ключей шифрования; безопасный режим загрузки; DEP технология предотвращения запуска вредоносного кода и запуска дополнительного сканирования системной памяти; Интерфейс прошивки UEFI MAT (последняя замена для BIOS ).
    2. Ваше устройство соответствует требованиям повышенной аппаратной безопасности - это сообщение означает, что в дополнение к стандартным требованиям к аппаратной безопасности на вашем устройстве включена целостность памяти.
    3. Стандартная аппаратная безопасность не поддерживается - это сообщение отображается, если устройство не поддерживает хотя бы одно из перечисленных стандартных требований безопасности.

    Производительность и состояние устройства

    На этой странице Центра безопасности Защитника Windows отображается отчет о состоянии программного обеспечения и служб Windows, включая информацию о емкости хранилища, уровне заряда и драйверах оборудования. Система контролирует надежность устройства и предлагает рекомендации по устранению неисправностей в случае возможных проблем.

    Кроме того, пользователи получают полный обзор последних обновлений Windows с возможностью снова начать работу с чистой установкой последней версии Windows. Функция Fresh start позволяет повысить производительность вашего компьютера, установив чистую версию Windows , если на вашем компьютере возникают проблемы с производительностью или если установлено много ненужного программного обеспечения.

    Опции семейства

    Кроме того, есть опции семейства , которые помогут вам осуществлять централизованный контроль над устройствами, используемыми в вашей семье. На этой странице вы можете настроить родительский контроль и то, как ваши дети проводят время с устройствами, управлять их действиями в Интернете или управлять элементами управления, а также ограничить доступ к покупке игр и приложений в Интернете с устройств вашей семьи.

    Параметры

    Щелкнув значок Параметры в виде шестеренки в нижнем левом углу окна Центра безопасности Защитника Windows , вы откроете его настройки, где вы можете управлять поставщиками безопасности и параметрами уведомлений.

    Управляйте приложениями и службами, защищающими ваше устройство (антивирус, брандмауэр, защита от сетевых угроз), и настраивайте способ получения уведомлений от службы Windows Security в ситуациях, которые могут повлиять на надежность и безопасность вашего устройства.

    Центр безопасности Защитника Windows сам по себе не добавляет никаких новых функций в Защитник Windows . Он просто собирает множество ранее существовавших настроек безопасности и конфиденциальности Windows в одном месте и упорядочивает их для вашего удобства. Когда все в порядке, его значок на панели задач показывает зеленый кружок с белой галочкой внутри. Если система обнаруживает угрозы, требующие вашего внимания, предупреждение об угрозе отображается в виде красного кружка с белым крестом внутри.

    Управление изолированными элементами и исключениями в Центр безопасности Защитника Windows.

    После этого краткого обзора Центра безопасности Защитника Windows, давайте взглянем на поиск и восстановление файлов, удаленных Защитником Windows . Вы можете узнать больше о настройках Центра безопасности Защитника Windows в нашем видео-руководстве Центр безопасности Windows 10: настройка бесплатного антивирусного Защитника Windows .

    Исходя из собственных настроек безопасности, Защитник Windows может пометить некоторые файлы как вирусы и удалить их.Однако Защитник Windows не удаляет все подозрительные файлы буквально, а изолирует их и помещает в специальное хранилище, Карантин . Давайте узнаем, где находится Карантин , как его очистить или восстановить оттуда файл, если он был удален по ошибке. Мы также покажем вам, как найти и настроить раздел Exclusions (?) С Windows Defender Security Center в операционной системе Windows 10 .

    Удаление или восстановление файлов из карантина в Защитнике Windows .

    Откройте Центр безопасности Защитника Windows , нажав соответствующую кнопку на панели задач , а затем перейдите на страницу Защита от вирусов и угроз .

    В разделе Текущие угрозы щелкните ссылку История угроз .

    На новой странице История угроз вы сможете увидеть информацию о сканировании и обнаруженных угрозах.Перетащите ползунок вниз, пока не найдете строку Угрозы в карантине. Он отображает все изолированные угрозы, заблокированные Защитником Windows .

    Вы можете просмотреть весь список и навсегда удалить со своего компьютера перечисленные файлы, нажав кнопку Удалить все под списком угроз.

    В противном случае щелкните выбранную угрозу в Карантине и откройте меню. Вы можете нажать на ссылку Подробнее , чтобы просмотреть всю информацию об обнаруженной угрозе.Если файл представляет реальную угрозу для безопасной работы вашей операционной системы, нажмите кнопку Remove , чтобы очистить его. Тем не менее, если файл был помещен в карантин по ошибке, щелкните Восстановить , чтобы вернуть его.

    Разрешенные угрозы

    Хотя вы можете удалять или восстанавливать файлы и программы из Карантина , вы также можете добавить их в раздел Разрешенные угрозы . Ваше устройство может содержать определенные программы или файлы, которым вы доверяете, но Защитник Windows отмечает их как угрозы на основе своей собственной базы данных.Таким образом, любой файл можно перенести в этот раздел, и он больше никогда не будет удален. Помните, что если вы восстановили файл и не добавили его в Разрешенные угрозы или Исключения , такой файл может быть снова помещен в Карантин и удален позже. Работа с зараженными файлами может быть опасной и подвергать риску всю операционную систему. Вы выполняете такие действия под свою ответственность, поэтому всегда проверяйте издателя файла и проверяйте, заслуживает ли он доверия.

    Добавление исключений в Центр безопасности Защитника Windows

    Защитник Windows также имеет функцию под названием Исключения . Это список элементов, которые вы не хотите сканировать. Файлы, помеченные как исключения, будут пропущены при сканировании Защитника Windows . Вот что нужно сделать, чтобы добавить файл в исключения.

    Откройте Центр безопасности Защитника Windows и перейдите на страницу Защита от вирусов и угроз .

    Найдите Параметры защиты от вирусов и угроз и щелкните ссылку.

    На открывшейся странице перетащите ползунок вниз и найдите раздел Exclusions . В этом разделе щелкните ссылку Добавить или удалить исключения .

    На новой странице добавьте или удалите элементы, которые нужно исключить из списка сканирования Защитника Windows.

    Используйте кнопку + , чтобы добавить исключения.

    Или щелкните строку добавленного исключения и откройте меню управления, щелкните Удалить , чтобы удалить файл из списка исключений.

    Заключение

    В этой статье мы описали основные действия, которые вы можете выполнять с помещенными в карантин и исключенными файлами в новом Защитнике Windows . Все эти шаги применимы к Центр безопасности Защитника Windows , представленный в операционной системе Windows 10 , начиная с Creators Update 1703 .

    Если по какой-либо причине вам нужно отключить или удалить Защитник Windows и удалить его значок с панели задач , вы можете найти все возможные способы сделать это в нашем видео-руководстве Как включить или отключить Защитник Windows в Windows 10 Обновление Creators (сборка 1703).

    Присылайте нам свои вопросы и советы, делитесь своим опытом в комментариях под этой статьей, и мы обязательно на них ответим.

    .

    Выполнение ответных действий над файлом в Microsoft Defender ATP - Windows Security

    • 11 минут на чтение

    В этой статье

    Важно

    Добро пожаловать в Microsoft Defender for Endpoint , новое название Microsoft Defender Advanced Threat Protection .Подробнее об этом и других обновлениях читайте здесь. В ближайшем будущем мы обновим названия продуктов и документов.

    Применимо к:

    Важно

    Некоторая информация относится к предварительно выпущенному продукту, который может быть существенно изменен перед коммерческим выпуском. Microsoft не дает никаких гарантий, явных или подразумеваемых, в отношении информации, представленной здесь.

    Хотите испытать Microsoft Defender ATP? Подпишитесь на бесплатную пробную версию.

    Быстро реагируйте на обнаруженные атаки, останавливая и помещая файлы в карантин или блокируя файл. После выполнения действий с файлами вы можете проверить сведения о действиях в Центре действий.

    Ответные действия доступны на странице подробного профиля файла. Находясь на этой странице, вы можете переключаться между новым и старым макетами страницы, переключая новую страницу файла . Остальная часть этой статьи описывает новый макет страницы.

    Ответные действия выполняются в верхней части страницы файла и включают:

    • Остановить и поместить файл в карантин
    • Добавить индикатор
    • Скачать файл
    • Проконсультируйтесь со специалистом по угрозам
    • Центр поддержки

    Вы также можете отправить файлы на глубокий анализ, чтобы запустить файл в безопасной облачной песочнице.Когда анализ будет завершен, вы получите подробный отчет, содержащий информацию о поведении файла. Вы можете отправить файлы для глубокого анализа и прочитать прошлые отчеты, выбрав вкладку Глубокий анализ . Он расположен под карточками с информацией о файлах.

    Для некоторых действий требуются определенные разрешения. В следующей таблице описано, какие действия могут выполняться при определенных разрешениях с переносимыми исполняемыми (PE) и не-PE файлами:

    Разрешение PE файлы Файлы без PE
    Просмотреть данные X X
    Оповещения, расследование X
    Живой ответ основной X X
    Живой ответ расширенный

    Дополнительные сведения о ролях см. В разделе Создание ролей и управление ими для управления доступом на основе ролей.

    Остановить и поместить файлы в карантин в сети

    Вы можете сдержать атаку в своей организации, остановив вредоносный процесс и поместив в карантин файл, в котором он был обнаружен.

    Важно

    Вы можете выполнить это действие, только если:

    • Устройство, на котором вы выполняете действие, работает под управлением Windows 10 версии 1703 или более поздней
    • Файл не принадлежит доверенным сторонним издателям или не подписан Microsoft
    • Microsoft Defender Antivirus должен работать как минимум в пассивном режиме.Дополнительные сведения см. В разделе Совместимость с антивирусом Microsoft Defender.

    Действие Остановить и поместить файл в карантин включает в себя остановку запущенных процессов, помещение файлов в карантин и удаление постоянных данных, таких как любые разделы реестра.

    Это действие вступает в силу на устройствах с Windows 10 версии 1703 или более поздней, на которых файл просматривался в течение последних 30 дней.

    Примечание

    Вы сможете восстановить файл из карантина в любой момент.

    Остановить и поместить файлы в карантин

    1. Выберите файл, который нужно остановить и поместить в карантин.Вы можете выбрать файл в любом из следующих представлений или использовать поле поиска:

      • Предупреждения - щелкните соответствующие ссылки в описании или деталях на временной шкале артефакта
      • Поле поиска - выберите Файл из раскрывающегося меню и введите имя файла

    2. Перейдите на верхнюю панель и выберите Остановить и поместить файл в карантин .

    3. Укажите причину, затем нажмите Подтвердить .

      Центр уведомлений показывает информацию об отправке:

      • Время отправки - Показывает, когда действие было отправлено.
      • Успех - показывает количество устройств, на которых файл был остановлен и помещен в карантин.
      • Failed - показывает количество устройств, на которых не удалось выполнить действие, и подробные сведения об ошибке.
      • В ожидании - показывает количество устройств, на которых файл еще не был остановлен и помещен в карантин.Это может занять некоторое время, если устройство отключено или не подключено к сети.

    4. Выберите любой из индикаторов состояния, чтобы просмотреть дополнительную информацию о действии. Например, выберите Failed , чтобы увидеть, где не удалось выполнить действие.

    Уведомление о пользователе устройства : Когда файл удаляется с устройства, отображается следующее уведомление:

    На временной шкале устройства новое событие добавляется для каждого устройства, на котором файл был остановлен и помещен в карантин.

    Для файлов, широко используемых в организации, перед выполнением действия отображается предупреждение, подтверждающее, что операция предназначена.

    Восстановить файл из карантина

    Вы можете выполнить откат и удалить файл из карантина, если после проверки вы определили, что он чистый. Выполните следующую команду на каждом устройстве, на котором файл был помещен в карантин.

    1. Откройте на устройстве командную строку с повышенными привилегиями:

      а.Перейдите к Start и введите cmd .

      г. Щелкните правой кнопкой мыши Командная строка и выберите Запуск от имени администратора .

    2. Введите следующую команду и нажмите Введите : 

        «% ProgramFiles% \ Windows Defender \ MpCmdRun.exe» –Восстановить –Имя EUS: Win32 / CustomEnterpriseBlock –Все

    Примечание

    В некоторых сценариях Имя угрозы может отображаться как: EUS: Win32 / CustomEnterpriseBlock! Cl.

    Microsoft Defender ATP восстановит все пользовательские заблокированные файлы, помещенные в карантин на этом устройстве за последние 30 дней.

    Добавить индикатор для блокировки или разрешения файла

    Вы можете предотвратить дальнейшее распространение атаки в своей организации, заблокировав потенциально вредоносные файлы или предполагаемое вредоносное ПО. Если вам известен потенциально вредоносный переносимый исполняемый (PE) файл, вы можете заблокировать его. Эта операция предотвратит его чтение, запись или выполнение на устройствах в вашей организации.

    Важно

    • Эта функция доступна, если в вашей организации используется антивирус Microsoft Defender и включена облачная защита. Для получения дополнительной информации см. Управление облачной защитой.

    • Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.

    • Эта функция предназначена для предотвращения загрузки подозрительных вредоносных программ (или потенциально вредоносных файлов) из Интернета. В настоящее время он поддерживает переносимые исполняемые файлы (PE), включая .EXE и .dll файлы . Покрытие будет расширяться со временем.

    • Это действие ответа доступно для устройств под управлением Windows 10 версии 1703 или более поздней.

    • Функция разрешения или блокировки не может выполняться для файлов, если классификация файлов существует в кэше устройства до действия разрешения или блокировки.

    Примечание

    PE-файл должен находиться на шкале времени устройства, чтобы вы могли выполнить это действие.

    Между моментом выполнения действия и фактической блокировкой файла может пройти несколько минут.

    Включить функцию блочного файла

    Чтобы начать блокировать файлы, вам сначала нужно включить Block или разрешить функцию в Настройках.

    Разрешить или заблокировать файл

    Когда вы добавляете индикаторный хеш для файла, вы можете активировать предупреждение и блокировать файл всякий раз, когда устройство в вашей организации пытается запустить его.

    Файлы, автоматически заблокированные индикатором, не будут отображаться в Центре действий файлов, но предупреждения по-прежнему будут отображаться в очереди предупреждений.

    См. Индикаторы управления для получения дополнительных сведений о блокировке и создании предупреждений о файлах.

    Чтобы остановить блокировку файла, снимите индикатор. Это можно сделать с помощью действия Изменить индикатор на странице профиля файла. Это действие будет отображаться в той же позиции, что и действие Добавить индикатор до того, как вы добавили индикатор.

    Вы также можете редактировать индикаторы на странице Настройки в разделе Правила > Индикаторы .Индикаторы перечислены в этой области по хешу их файла.

    Скачать или забрать файл

    Выбор Загрузить файл из ответных действий позволяет загрузить локальный, защищенный паролем архив .zip, содержащий ваш файл.

    При выборе этого действия появится всплывающее окно. Во всплывающем меню вы можете записать причину, по которой вы загружаете файл. Вы также можете установить пароль для открытия файла.

    Если файл еще не сохранен в Microsoft Defender ATP, его нельзя загрузить.Вместо этого вы увидите кнопку Собрать файл в том же месте. Если файл не просматривался в организации в течение последних 30 дней, Собрать файл будет отключен.

    Проконсультируйтесь со специалистом по угрозам

    Вы можете проконсультироваться со специалистом Microsoft по угрозам для получения дополнительных сведений о потенциально взломанных или уже взломанных устройствах. Эксперты Microsoft по угрозам могут быть привлечены непосредственно из Центра безопасности Защитника Майкрософт для своевременного и точного ответа.Эксперты предоставляют информацию не только о потенциально скомпрометированном устройстве, но и для лучшего понимания сложных угроз, получаемых вами уведомлений о целевых атаках или, если вам нужна дополнительная информация об оповещениях, или контекста аналитики угроз, который вы видите на панели управления портала.

    Подробности см. В разделе «Консультации со специалистом по угрозам Microsoft».

    Проверить подробности активности в Центре поддержки

    Центр действий предоставляет информацию о действиях, предпринятых с устройством или файлом.Вы сможете увидеть следующую информацию:

    • Сборник пакетов расследований
    • Антивирусное сканирование
    • Ограничение приложения
    • Изоляция устройства

    Также отображаются все другие связанные детали, например, дата / время отправки, отправляющий пользователь и успешное или неудачное действие.

    Глубокий анализ

    Расследования кибербезопасности обычно запускаются по тревоге. Предупреждения связаны с одним или несколькими наблюдаемыми файлами, которые часто являются новыми или неизвестными.Щелкнув файл, вы попадете в представление файла, где вы можете увидеть метаданные файла. Чтобы обогатить данные, связанные с файлом, вы можете отправить файл на глубокий анализ.

    Функция глубокого анализа выполняет файл в безопасной, полностью оснащенной облачной среде. Результаты глубокого анализа показывают активность файла, наблюдаемое поведение и связанные с ним артефакты, такие как отброшенные файлы, изменения реестра и связь с IP-адресами. Глубокий анализ в настоящее время поддерживает обширный анализ переносимых исполняемых (PE) файлов (включая .EXE и файлы .dll ).

    Глубокий анализ файла занимает несколько минут. После завершения анализа файла вкладка «Глубокий анализ» обновится, чтобы отобразить дату и время последних доступных результатов, а также сводку самого отчета.

    Сводка глубокого анализа включает в себя список наблюдаемых поведений , некоторые из которых могут указывать на вредоносную активность, и наблюдаемых , включая IP-адреса, с которыми были установлены контакты, и файлы, созданные на диске.Если ничего не найдено, в этих разделах просто отображается краткое сообщение.

    Результаты глубокого анализа сопоставляются со сведениями об угрозах, и любые совпадения генерируют соответствующие предупреждения.

    Используйте функцию глубокого анализа, чтобы изучить подробности любого файла, обычно во время расследования предупреждения или по любой другой причине, когда вы подозреваете злонамеренное поведение. Эта функция доступна на вкладке Deep analysis на странице профиля файла.

    Отправить для глубокого анализа включается, если файл доступен в коллекции образцов серверной части ATP в Microsoft Defender или если он был обнаружен на устройстве с Windows 10, которое поддерживает отправку на глубокий анализ.

    Примечание

    Автоматически собирать можно только файлы из Windows 10.

    Вы также можете вручную отправить образец через портал Microsoft Security Center, если файл не был обнаружен на устройстве с Windows 10, и дождаться, пока кнопка «Отправить для глубокого анализа» станет доступной.

    Примечание

    Из-за потоков внутренней обработки на портале центра безопасности Microsoft может быть до 10 минут задержки между отправкой файла и доступностью функции глубокого анализа в Microsoft Defender ATP.

    Когда образец собран, Microsoft Defender ATP запускает файл в защищенной среде и создает подробный отчет о наблюдаемом поведении и связанных артефактах, таких как файлы, отброшенные на устройства, обмен данными с IP-адресами и изменения реестра.

    Отправить файлы для глубокого анализа:

    1. Выберите файл, который нужно отправить для глубокого анализа. Вы можете выбрать или выполнить поиск файла в любом из следующих представлений:

        Предупреждения
      • - щелкните ссылки на файлы в Описание или Подробности на шкале времени артефакта
      • Список устройств - щелкните ссылки на файлы в Описание или Подробности в разделе Устройство в организации
      • Поле поиска - выберите Файл из раскрывающегося меню и введите имя файла

    2. На вкладке Deep analysis представления файлов щелкните Отправить .

    Примечание Поддерживаются только файлы PE, включая файлы .exe, и .dll, ,

    Отображается индикатор выполнения, который предоставляет информацию о различных этапах анализа. После этого вы сможете просмотреть отчет после завершения анализа.

    Примечание

    В зависимости от доступности устройства время сбора пробы может варьироваться. Для сбора пробы существует 3-часовой тайм-аут. Сбор не удастся, и операция будет прервана, если в это время не будет отчетов об устройстве Windows 10 в Интернете.Вы можете повторно отправить файлы для глубокого анализа, чтобы получить свежие данные о файле.

    Просмотр отчетов глубокого анализа

    Просмотрите отчет о глубоком анализе, который предоставляет Microsoft Defender ATP, чтобы просмотреть подробные сведения о глубоком анализе, выполненном для отправленного вами файла. Эта функция доступна в контексте просмотра файла.

    Вы можете просмотреть подробный отчет, в котором подробно описаны следующие разделы:

    Предоставленные сведения могут помочь вам выяснить, есть ли признаки потенциальной атаки.

    1. Выберите файл, который вы отправили для глубокого анализа.

    2. Выберите вкладку Глубокий анализ . Если есть какие-либо предыдущие отчеты, сводка отчета появится на этой вкладке.

    Устранение неполадок глубокого анализа

    Если вы столкнулись с проблемой при отправке файла, попробуйте каждый из следующих шагов по устранению неполадок.

    1. Убедитесь, что рассматриваемый файл является PE-файлом.PE-файлы обычно имеют расширение .exe или .dll (исполняемые программы или приложения).

    2. Убедитесь, что служба имеет доступ к файлу, что он все еще существует и не был поврежден или изменен.

    3. Вы можете немного подождать и попробовать отправить файл еще раз, если очередь заполнена или произошла временная ошибка соединения или связи.

    4. Если политика сбора образцов не настроена, то по умолчанию сбор образцов разрешен.Если он настроен, то перед повторной отправкой файла убедитесь, что параметр политики разрешает сбор образцов. После настройки сбора образцов проверьте следующее значение реестра: 

        Путь: HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows Advanced Threat Protection Имя: AllowSampleCollection Тип: DWORD Шестнадцатеричное значение: Значение = 0 - блокировать сбор образцов Значение = 1 - разрешить сбор образцов

    5. Измените организационную единицу с помощью групповой политики.Дополнительные сведения см. В разделе Настройка с помощью групповой политики.

    6. Если эти действия не помогли решить проблему, обратитесь по адресу [email protected].

    .

    Как удалить файлы в Windows 10, которые нельзя удалить

    Windows не может избавиться от своего наследия. Достигнув точки, которая выглядит очень современной и не похожей на комичную Windows XP или супер-стоическую Windows 7, есть еще кое-что, что не оставит без внимания Windows 10. Поврежденные файлы - это только один из них.

    Не стучите по клавиатуре, если не можете удалить файл.

    Я уже видел, как несколько пользователей получали сообщение об ошибке при удалении ненужных файлов в своих системах.Файлы, которые настаивают на том, что они «используются», хотя в системе пользователя явно ничего не открыто. Как можно избавиться от таких файлов, которые невозможно удалить? Не нужно гуглить, мы здесь, чтобы облегчить вам жизнь.

    1. Попробуйте убить задачу

    Я не зря говорил о наследии Window. Конечно, у него есть свои минусы, но есть и плюсы. Одна замечательная вещь, которая мне всегда нравилась в Windows, - это отличный диспетчер задач. Это не только дает вам представление о запуске приложений и служб в любое время на вашем компьютере, вы также можете использовать его для отключения служб, которые могут мешать вам удалить определенные файлы.

    Так, например, если вы можете распознать тип файла самостоятельно (скажем, Excel), найдите заблокированный файл или процесс в окне диспетчера задач и щелкните его правой кнопкой мыши. Затем нажмите Завершить задачу. Не волнуйтесь, если это системная задача, вы все равно не сможете ее убить. Даже если у вас есть права администратора.

    2. Удалить файл с помощью стороннего инструмента

    Доступ администратора запрещен? Не волнуйся. Существует удобное стороннее решение, которое может помочь избавиться от файлов и даже папок, которые Windows не позволяет удалить.Он называется Unlocker, и после его загрузки и установки все, что вам нужно сделать, это щелкнуть правой кнопкой мыши файлы / папки и выбрать Unlocker .

    Здесь вы можете получить список процессов, связанных с определенным файлом или папкой. Нажмите Unlock All , и это должно освободить файл / папку для удаления. Если не работает, попробуйте Kill Process .

    3. Удалить файл с помощью командной строки

    Этот вариант предназначен для тех, кто имеет некоторый опыт работы с командной строкой Microsoft Windows.Перейдите в меню «Пуск» или нажмите кнопку Windows на клавиатуре и выберите «Выполнить» или просто нажмите Win + R. В правом нижнем углу рабочего стола появится крошечная рамка.

    Здесь введите Cmd и нажмите Enter, чтобы открыть командную строку. Теперь вы увидите черное окно, введите там в командной строке del / f filename. Убедитесь, что «имя файла» - это имя файла, который вы хотите удалить. Вы также можете принудительно удалить несколько файлов, которые вы можете указать с помощью запятых.

    Вы также можете удалить папку с помощью командной строки.Выполняйте указанные выше действия, пока не найдете командное окно и не введите в командной строке RD / S / Q <путь к папке>. Здесь путь к файлу - это то, что отображается в адресной строке проводника Windows, когда вы переходите в папку, которую хотите удалить. Например, RD / S / Q C: \ Users \ XXX \ Premium \ Folder X.

    4. Безопасная загрузка в случае сбоя всего остального

    Если ничего не работает, безопасная загрузка - лучший спаситель. Делайте этот шаг только в том случае, если вы попробовали все остальное, и вам не повезло. Есть много способов перейти в безопасный режим, но мне больше всего нравится, если набрать msconfig в поле поиска Windows 10, а затем перейти на вкладку Boot всплывающего окна.

    Здесь выберите вариант загрузки Safe , и как только вы нажмете Применить , вам будет предложено перезагрузить систему.

    Теперь вы автоматически перейдете в безопасный режим, где вы сможете удалить файл. Чтобы вернуться в обычный режим, вернитесь в окно MSCONFIG и снимите флажок Безопасная загрузка в меню загрузки, и компьютер перезагрузится обратно в нормальное состояние.

    Есть альтернативы?

    Это лучшие варианты удаления файлов / папок, которые не обойдутся без боя.Но если у вас есть лучшие альтернативы, мы хотели бы услышать ответ. Присоединяйтесь к нам на наших форумах, чтобы обсудить.


    Вышеупомянутая статья может содержать партнерские ссылки, которые помогают поддерживать Guiding Tech. Однако это не влияет на нашу редакционную честность. Содержание остается объективным и достоверным.

    .

    Смотрите также