Как восстановить файл из карантина Microsoft Defender

Почему Defender может поместить безопасный файл в карантин

Microsoft Defender обычно аккуратно относится к безопасным файлам: при регулярных обновлениях сигнатур ложные срабатывания редки. Тем не менее, ложные срабатывания происходят по нескольким причинам:

• Несоответствие или срок действия цифровой подписи файла.
• Файл содержит поведение или структуру, похожую на известный вредоносный код.
• Неправильный отчёт о файле на стороне поставщика репутаций (ошибочный репорт).
• Проактивные эвристики Defender помечают подозрительное поведение до окончательного подтверждения.

Важно: карантин — это безопасное состояние хранения файла, а не его немедленное удаление. В карантине файл изолирован, чтобы предотвратить вред системе, пока вы решаете, что с ним делать.

Как восстановить файл в приложении Безопасность Windows

1. Откройте Настройки > Конфиденциальность и безопасность > Безопасность Windows, затем нажмите кнопку Открыть Безопасность Windows (Settings > Privacy & Security > Windows Security).
2. Выберите Защита от вирусов и угроз (Virus & Threat Protection) и под кнопкой сканирования нажмите История защиты (Protection History).

3. В верхней части экрана вы можете отфильтровать записи, чтобы отобразить только объекты в карантине.
4. Найдите нужный файл в списке, выделите запись и выберите опцию восстановления (Restore).

После восстановления рекомендуется добавить файл в исключения, чтобы Defender не пометил его снова. Опция добавления исключений находится в настройках Защита от вирусов и угроз -> Управление настройками -> Исключения (Virus & Threat Protection Settings -> Exclusions).

Примечание: если файл был подтверждён как заражённый, система могла автоматически удалить его вместо помещения в карантин — в таком случае восстановление невозможно.

Как восстановить файл через Командную строку

Если приложение «Безопасность Windows» недоступно (повреждён интерфейс, политика или удалённый доступ), используйте Командную строку от имени администратора.

1. Введите в поиске Windows “Command Prompt” и выберите Запуск от имени администратора (Run as Administrator).
2. Введите команду для перехода в папку Defender:

cd "%ProgramFiles%\Windows Defender"

3. Просмотрите список файлов, находящихся в карантине:

MpCmdRun.exe -restore -listall

4. Восстановите конкретный файл по имени:

MpCmdRun.exe -restore -name "ИмяФайла"

Замените “ИмяФайла” на точное имя из вывода команды -listall.

Важно: если файл помечен как потенциальная сетевая угроза, восстановление может быть недоступно — системе могут понадобиться сетевые учётные данные или доступ к исходному сетевому ресурсу.

Когда восстановление может не сработать

• Файл был окончательно удалён после подтверждённого заражения.
• Карантинный объект связан с ресурсом в сети, к которому у текущей машины нет доступа.
• Политики групповой политики (GPO) или корпоративные настройки безопасности запрещают локальное восстановление.
• Файл подпадает под правила защиты от утечек данных или шифрования, запретившие перенос/восстановление.

Если восстановление недоступно, рассмотрите альтернативы ниже.

Альтернативные подходы

• Запросите файл у поставщика или разработчика ПО и проверьте подпись заново.
• Отправьте файл на анализ в Microsoft (через портал безопасности) или в независимую лабораторию AV, чтобы получить исключение для всех пользователей.
• Восстановите из резервной копии, если файл был ранее сохранён в бэкапе.
• В корпоративной среде обратитесь в службу безопасности/администратору для проверки и снятия блока на уровне политики.

Короткая методика проверки перед восстановлением

1. Проверить подпись файла и источник (однострочное правило: доверяй, но проверяй).
2. Запустить локальное сканирование файла вторым независимым антивирусом или в песочнице.
3. Убедиться, что файл действительно нужен и его восстановление безопасно.
4. Добавить в исключения после восстановления, если файл подтверждён безопасным.

Контрольный список по ролям

Для обычного пользователя:

• Найти файл в Истории защиты и восстановить.
• Добавить исключение для этого файла, если вы уверены в его безопасности.

Для системного администратора/специалиста по безопасности:

• Проверить телеметрию и причину срабатывания (подпись/эвристика/репорт).
• Если нужно, запросить анализ файла у Microsoft и при необходимости откорректировать GPO.
• Обновить документацию и список доверенных приложений.

Критерии приёмки

• Файл успешно восстановлен и корректно запускается без побочных эффектов.
• Нет повторных срабатываний Defender после добавления корректного исключения.
• В случае корпоративной среды — аудит и запись инцидента в систему тикетов выполнены.

Меры безопасности и соответствие

Восстанавливая файл, соблюдайте внутренние политики безопасности и требования по защите данных. Не добавляйте в исключения файлы из ненадёжных источников; в организациях это должно выполняться только после одобрения команды безопасности.

Краткое резюме

Microsoft Defender помещает в карантин подозрительные и потенциально опасные файлы, но вы можете восстановить ошибочно помеченные элементы через приложение «Безопасность Windows» или через Командную строку с правами администратора. После восстановления добавьте файл в исключения и при необходимости задокументируйте инцидент.

Важно: если файл был подтверждён как заражённый или был удалён системой, восстановление может быть невозможно. В корпоративной среде привлекайте специалиста по безопасности.