Während der Ausführung der ODFIM-Aufgabe wird die Änderung in jedem Objekt bestimmt, indem der aktuelle Status des überwachten Objekts mit dem zuvor als Momentaufnahme des Systemstatus aufgezeichneten Anfangsstatus anhand der folgenden Kriterien verglichen wird: Datei-Hash, Zeitpunkt der Dateiänderung, und Dateigröße.
Diese Baseline wird während der ersten Ausführung der ODFIM-Aufgabe auf dem Gerät erstellt. Sie können mehrere ODFIM-Aufgaben erstellen. Für jede ODFIM-Aufgabe wird eine eigene Baseline erstellt. Die Aufgabe wird nur ausgeführt, wenn die Baseline dem Überwachungsbereich entspricht. Wenn die Baseline nicht dem Überwachungsbereich entspricht, erstellt Kaspersky Endpoint Security ein Ereignis über die Verletzung der System-Integrität. Die Baseline enthält Pfade zu überwachten Objekten und deren Metadaten. Die Baseline kann auch persönliche Daten enthalten.
Die Baseline wird nach Abschluss der ODFIM-Aufgabe neu erstellt. Sie können eine Baseline für eine Aufgabe mithilfe der Einstellung RebuildBaseline neu erstellen. Eine Baseline wird auch dann neu erstellt, wenn die Einstellungen einer Aufgabe geändert werden (z. B. wenn ein neuer Überwachungsbereich hinzugefügt wurde). Die Baseline wird während der nächsten Ausführung der Aufgabe neu erstellt. Sie können eine Baseline löschen, indem Sie die entsprechende ODFIM-Aufgabe löschen.
Die ODFIM-Aufgabe erstellt einen Speicher für Baselines auf einem Gerät, auf dem die Komponente zur Überwachung der System-Integrität installiert ist. Standardmäßig befindet sich der Speicher für Baselines unter /var/opt/kaspersky/kesl/private/fim.db. Für den Zugriff auf die Datenbank mit Baselines sind Root-Rechte erforderlich.
Nach oben