Основы безопасности: восстановить файл из карантина в другом месте?
У меня есть файл, который Security Essentials помещает в карантин "на месте", и я хочу восстановить его для дальнейшего анализа.
Тем не менее, файл был сохранен на моем сервере NAS. Это означает, что я получил доступ к серверу, введя \\192.168.1.5 в поле "Выполнить" введите учетные данные и перейдите в папку. Security Essentials удалил элемент и сохранил его в карантине. Я не могу восстановить элемент из карантина, с кодом ошибки 0x80508014,
Мои исследования показывают, что эта ошибка указывает, что SE не может получить доступ к пути, в котором находился исходный файл, и предлагает воссоздать путь. Проблема в том, что я не удалил никаких папок, поэтому путь уже существует. Дальнейшее копание указывает на то, что проблема в том, что SE не может получить доступ к общему сетевому ресурсу, потому что общий ресурс подключен к сеансу моей учетной записи пользователя, а не к SYSTEM или администратору. SE перечисляет путь к исходному файлу в деталях как file:\\192.168.1.5\storage\research\file.exeТаким образом, кажется, что SE пытается напрямую восстановить файл в этом месте и не может этого сделать, потому что процесс SE не имеет доступа к соединению общего ресурса.
Я попытался открыть командную строку администратора и вручную подключить сетевой ресурс к сеансу администратора, используя net use но это не помогло.
Есть ли способ указать SE восстановить файл из карантина в другое место, чем он был изначально найден? Я не вижу способа предоставить процессу SE доступ к общему сетевому ресурсу, чтобы он мог восстановить файл.
2 ответа
Я столкнулся с подобной проблемой, когда Защитник Windows 10 помещал на карантин некоторые файлы из моей коробки NAS.
В командной строке (открытой как администратор) я смог использовать инструмент командной строки для вывода списка помещенных в карантин файлов:
c:\Program Files\Windows Defender>MpCmdRun.exe -restore -listall
The following items are quarantined:
XXX
XXX
Затем я использовал опцию -restore вместе с -Path, чтобы восстановить локальный путь:
c:\Program Files\Windows Defender>MpCmdRun.exe -restore -All -Path C:\Path\To\Restore
После этого я смог скопировать файлы обратно на сетевой диск (который теперь находится в списке исключений!).
Когда ты побежал net use команда из командной строки администратора, вы также запускаете / запускаете интерфейс SE из этой командной строки?
net use \\192.168.1.5\ipc$ /user:username pwd
net use \\192.168.1.5\storage /user:username pwd
"C:\Program Files\Microsoft Security Client\msseces.exe"
По моему опыту это необходимо, потому что процесс SE должен работать не только с тем же идентификатором пользователя, но и с тем же сеансом. Если вы бежите net use из административной командной строки это может не повлиять на административное приложение SE, если SE был запущен отдельно от командной строки.