Lors de l'exécution de la tâche ODFIM, le changement de chaque objet est déterminé en comparant l'état actuel de l'objet surveillé avec l'état initial enregistré précédemment sous forme d'instantané de l'état du système, selon les critères suivants : hachage du fichier, heure de changement de fichier, taille du fichier.
La référence est établie lors de la première exécution de la tâche ODFIM sur le périphérique. Vous pouvez créer plusieurs tâches ODFIM. Une référence distincte est créée pour chaque tâche ODFIM. La tâche est réalisée uniquement si la référence correspond à la zone de contrôle. Si la référence ne correspond pas à la zone de contrôle, l'application Kaspersky Endpoint Security génère un événement à propos de la violation de l'intégrité du système. La référence contient les chemins vers les objets surveillés et leurs métadonnées. La référence peut également contenir des données personnelles.
La référence est à nouveau générée après l'exécution de la tâche ODFIM. Il est possible de recréer une référence pour une tâche à l'aide du paramètre RebuildBaseline. Une référence est également à nouveau générée après la modification des paramètres d'une tâche, par exemple si une nouvelle zone de contrôle est ajoutée. La nouvelle référence est générée lors de l'exécution suivante de la tâche. Vous pouvez supprimer une référence uniquement si vous supprimez la tâche ODFIM correspondante.
La tâche ODFIM crée un stockage pour les références sur un périphérique doté du composant Contrôle de l'intégrité du système. Par défaut, le stockage des références s'opère dans /var/opt/kaspersky/kesl/private/fim.db. L'accès à une base de données contenant des références requiert des privilèges root.
Haut de page