Security Essentials:隔離されたファイルを別の場所に復元しますか?
Security Essentialsが「オンサイト」で隔離したファイルがあります。このファイルを復元して、さらに分析を実行します。
ただし、ファイルは私のNASサーバーに保存されました。これは、実行ボックスに\\192.168.1.5と入力し、資格情報を入力してフォルダーを参照することでサーバーにアクセスしたことを意味します。SecurityEssentialsアイテムを削除して隔離に保存しました。エラーコード0x80508014で、アイテムを隔離から復元できません。
私の調査によると、このエラーは、SEが元のファイルが含まれていたパスにアクセスできないことを示しており、パスを再作成することを提案しています。問題は、フォルダを削除していないため、パスがすでに存在していることです。さらに掘り下げてみると、共有がシステムや管理者ではなくユーザーアカウントセッションに接続されているため、SEがネットワーク共有にアクセスできないことが問題であることが示されているようです。 SEは、元のファイルのパスをfile:\\192.168.1.5\storage\research\file.exeとして詳細にリストしているため、SEはファイルをこの場所に直接復元しようとしているようですが、SEプロセスが共有接続にアクセスできないため、復元できません。 。
管理者コマンドプロンプトを開き、Net Useを使用してネットワーク共有を管理者のセッションに手動で接続しようとしましたが、これは役に立ちませんでした。
隔離されたファイルを元の場所とは異なる場所に復元するようにSEに指示する方法はありますか? SEプロセスにネットワーク共有へのアクセスを許可してファイルを復元できるようにする方法がわかりません。
Windows 10DefenderがNASボックスからいくつかのファイルを隔離したときに、同様の問題が発生しました。
コマンドプロンプト(管理者として開いた)で、コマンドラインツールを使用して隔離されたファイルを一覧表示することができました。
c:\Program Files\Windows Defender>MpCmdRun.exe -restore -listall
The following items are quarantined:
XXX
XXX
次に、-restoreオプションと-Pathを使用して、ローカルパスに復元しました。
c:\Program Files\Windows Defender>MpCmdRun.exe -restore -All -Path C:\Path\To\Restore
その後、ファイルをネットワークドライブ(現在は除外リストにあります!)にコピーして戻すことができました。
管理コマンドプロンプトからNet Useコマンドを実行したとき、そのコマンドプロンプトからSEインターフェイスも実行/起動しましたか?
Net Use \\192.168.1.5\ipc$ /user:username pwd
Net Use \\192.168.1.5\storage /user:username pwd
"C:\Program Files\Microsoft Security Client\msseces.exe"
私の経験では、SEプロセスは同じユーザーIDで実行する必要があるだけでなく、同じセッションで実行する必要があるため、これが必要です。管理コマンドプロンプトからNet Useを実行する場合、SEがコマンドプロンプトとは別に起動されていれば、管理SEアプリに影響を与えない可能性があります。