Während der Ausführung der Aufgabe Prüfung der Systemintegrität werden Änderungen in jedem Objekt ermittelt, indem der aktuelle Status des überwachten Objekts mit dem Originalstatus verglichen wird. Vergleiche können anhand der folgenden Kriterien durchgeführt werden:
Der Originalstatus der überwachten Objekte wird als Baseline aufgezeichnet. Die Baseline enthält Pfade zu überwachten Objekten und deren Metadaten.
Die Baseline kann persönliche Daten enthalten.
Die Baseline wird während der ersten Ausführung der Aufgabe zur Prüfung der Systemintegrität auf dem Gerät erstellt. Wenn Sie mehrere Aufgaben zur Prüfung der Systemintegrität erstellt haben, wird für jede Aufgabe eine separate Baseline erstellt. Die Aufgabe wird nur ausgeführt, wenn die Baseline Informationen zu Objekten enthält, die zum für die Aufgabe konfigurierten Überwachungsbereich gehören. Wenn die Baseline nicht dem Überwachungsbereich entspricht, erstellt die Anwendung Kaspersky Endpoint Security ein Ereignis über die Verletzung der System-Integrität.
Die Baseline wird sowohl bei der Änderung der Aufgabenparameter (z. B. beim Hinzufügen eines Überwachungsbereichs) als auch beim Start einer Aufgabe mit dem Parameter RebuildBaseline=Yes (oder bei aktiviertem Kontrollkästchen Baseline bei jedem Aufgabenstart aktualisieren in den Aufgabeneigenschaften in Kaspersky Security Center) aktualisiert.
Die Anwendung erstellt Speicher für Baselines auf dem geschützten Gerät. Standardmäßig befindet sich der Speicher für Baselines unter /var/opt/kaspersky/kesl/private/fim.db. Für den Zugriff auf die Datenbank mit Baselines sind Root-Rechte erforderlich.
Sie können eine Baseline löschen, indem Sie die entsprechende Aufgabe zur Prüfung der Systemintegrität löschen.
Sie können die Prüfung der Systemintegrität auf Befehl durchführen und Einstellungen für die Prüfung konfigurieren: