Während der Ausführung der Aufgabe zur Untersuchung der System-Integrität (ODFIM) wird durch Vergleich des aktuellen Status des überwachten Objekts mit dem Originalstatus, der zuvor als Baseline festgelegt wurde, jede Änderung eines Objekts registriert.
Diese Funktionalität wird im KESL-Container nicht unterstützt.
Die Baseline wird während der ersten Ausführung der ODFIM-Aufgabe auf dem Computer festgelegt. Sie können mehrere ODFIM-Aufgaben erstellen. Für jede ODFIM-Aufgabe wird eine eigene Baseline erstellt. Die Aufgabe wird nur ausgeführt, wenn die Baseline dem Überwachungsbereich entspricht. Wenn die Baseline nicht dem Überwachungsbereich entspricht, erstellt Kaspersky Endpoint Security ein Ereignis über die Verletzung der System-Integrität.
Die Baseline wird nach Abschluss der ODFIM-Aufgabe neu erstellt. Sie können eine Baseline für eine Aufgabe mithilfe der entsprechenden Einstellung neu erstellen. Eine Baseline wird auch dann neu erstellt, wenn die Einstellungen einer Aufgabe geändert werden (z. B. wenn ein neuer Überwachungsbereich hinzugefügt wurde). Die Baseline wird während der nächsten Ausführung der Aufgabe neu erstellt. Sie können eine Baseline löschen, indem Sie die entsprechende ODFIM-Aufgabe löschen.
Die ODFIM-Aufgabe erstellt einen Speicher für Baselines auf einem Computer, auf dem die Komponente Überwachung der System-Integrität installiert ist.
Einstellungen der Aufgabe zur Untersuchung der System-Integrität
Einstellung |
Beschreibung |
---|---|
Baseline bei jedem Aufgabenstart aktualisieren |
Dieses Kontrollkästchen aktiviert oder deaktiviert die Neuerstellung der Baseline bei jedem Start der Aufgabe Prüfung der Systemintegrität. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Hash für die Überwachung verwenden (SHA-256) |
Dieses Kontrollkästchen aktiviert und deaktiviert die Verwendung von SHA-256-Hash für die Aufgabe zur Untersuchung der System-Integrität. SHA-256 ist eine kryptografische Hash-Funktion, die einen 256-Bit-Hash-Wert erzeugt. Ein 256-Bit-Hash-Wert ist eine Sequenz von 64 hexadezimalen Ziffern. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Verzeichnisse in Überwachungsbereichen überwachen |
Dieses Kontrollkästchen aktiviert und deaktiviert die Untersuchung der angegebenen Verzeichnisse während der Ausführung der Aufgabe zur Untersuchung der System-Integrität. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Zeitpunkt des letzten Zugriffs auf die Datei überwachen |
Mit diesem Kontrollkästchen wird die Überwachung der Zeit, welche die Aufgabe "Untersuchung der System-Integrität" für den Zugriff auf eine Datei benötigt, aktiviert oder deaktiviert. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Überwachungsbereiche |
Eine Tabelle mit Überwachungsbereichen, die von der Aufgabe untersucht werden sollen. Standardmäßig enthält die Tabelle den Überwachungsbereich Interne Programmobjekte von Kaspersky (/opt/kaspersky/kesl/). Sie können Überwachungsbereiche in der Tabelle hinzufügen, konfigurieren, löschen, nach oben verschieben und nach unten verschieben. |