Контроль целостности системы при доступе (OAFIM)

Во время работы задачи OAFIM каждое изменение объекта определяется путем перехвата файловых операций в режиме реального времени. При изменении объекта программа Kaspersky Endpoint Security отправляет событие на Сервер администрирования Kaspersky Security Center. Во время работы задачи контрольная сумма файла не рассчитывается. Задача OAFIM не отслеживает изменения файлов (атрибутов и содержимого) с жесткими ссылками, которые расположены вне области мониторинга. Kaspersky Endpoint Security отслеживает операции с конкретными файлами или в областях мониторинга, указанных в параметрах задачи.

Области мониторинга

Для задачи Контроль целостности системы требуется указать области мониторинга. Администратор может изменять области проверки и мониторинга в режиме реального времени. Если область мониторинга не указана, параметры задачи нельзя сохранить в конфигурационном файле. Вы можете указать несколько областей мониторинга.

Исключения из области мониторинга

Вы можете создавать исключения из области мониторинга. Исключения указываются для каждой отдельной области и работают только для указанной области мониторинга. Вы можете указать несколько областей исключения из мониторинга.

Исключения имеют более высокий приоритет, чем область мониторинга, и не проверяются задачей, даже если указанная директория или файл находятся в области мониторинга. Если параметры одного из правил указывают область мониторинга на более низком уровне, чем директория, указанная в исключении, область мониторинга не рассматривается при выполнении задачи.

Чтобы указать исключения, можно использовать те же маски в формате командной оболочки, которые используются для указания областей мониторинга.

При добавлении области мониторинга или области исключения программа не проверяет, существует ли такая директория.

Контролируемые параметры

Во время работы задачи Контроль целостности системы контролируется изменение следующих параметров:

• содержимое (write (), truncate (), etc.);
• метаданные (правообладание (chmod/chown));
• отметки времени (utimensat);
• расширенные атрибуты (setxattr) и другие.

Технологические ограничения операционной системы Linux не позволяют задаче Контроль целостности системы определять, какой администратор или процесс внес изменение в файл.

В начало