当 ODFIM 任务运行时,每个对象更改都是通过将受监控对象的当前状态与其原始状态进行比较来确定的,原始状态是之前根据以下标准建立的基线:文件哈希、文件修改时间和文件大小。
基线在设备上首次运行 ODFIM 任务时创建。您可以创建多个 ODFIM 任务。对于每个 ODFIM 任务,都会创建一个单独的基线。仅当基线对应于监控范围时才执行任务。如果基线与监控范围不匹配,则 Kaspersky Endpoint Security 会创建系统完整性违规事件。基线包含受监控对象及其元数据的路径。基线也可能包含个人数据。
基线将在 ODFIM 任务完成后重新构建。您可以使用 RebuildBaseline 设置重建任务基线。此外,当任务的设置更改时将重建基线,例如,如果添加了新的监控范围。基线将在下一次任务运行时重新构建。仅可通过删除相应的 ODFIM 任务来删除基线。
ODFIM 任务将在已安装系统完整性监控组件的设备上创建基线存储。默认情况下,基线的存储位于 /var/opt/kaspersky/kesl/private/fim.db。需要 root 特权才能访问包含基线的数据库。
页面顶部