在系统完整性检查 (ODFIM) 任务运行时,每个对象的更改均通过比较受监控对象的当前状态与原始状态来确定,该原始状态先前已被确定为基线。
KESL 容器不支持此功能。
基线在计算机上首次运行 ODFIM 任务时建立。您可以创建多个 ODFIM 任务。对于每个 ODFIM 任务,都会创建一个单独的基线。仅当基线对应于监控范围时才执行任务。如果基线与监控范围不匹配,则 Kaspersky Endpoint Security 会生成系统完整性违规事件。
基线将在 ODFIM 任务完成后重新构建。您可以使用相应的设置重建任务基线。此外,当任务的设置更改时将重建基线,例如,如果添加了新的监控范围。基线将在下一次任务运行时重新构建。仅可通过删除相应的 ODFIM 任务来删除基线。
ODFIM 任务将在已安装系统完整性监控组件的计算机上为基线创建存储。
“系统完整性检查”任务设置
|
设置 |
描述 |
|---|---|
|
每次任务启动时重建基线 |
此复选框用于启用或禁用在每次启动系统完整性检查任务时重新建立系统基线。 默认情况下,清除此复选框。 |
|
使用哈希进行监控 (SHA-256) |
此复选框用于启用或禁用将 SHA-256 哈希用于系统完整性检查任务。 SHA-256 是一种加密哈希函数,可生成 256 位哈希值。该 256 位哈希值表示为 64 个十六进制数字的序列。 默认情况下,清除此复选框。 |
|
跟踪监控范围中的目录 |
此复选框用于启用或禁用在系统完整性检查任务运行时监控指定目录的功能。 默认情况下,清除此复选框。 |
|
跟踪上次文件访问时间 |
此复选框用于启用或禁用在系统完整性检查任务运行时跟踪文件访问时间。 默认情况下,清除此复选框。 |
|
监控范围 |
包含任务扫描的监控范围的表。 默认情况下,该表包含卡巴斯基内部对象 (/opt/kaspersky/kesl/) 监控范围。 |