Während der Ausführung der Aufgabe Prüfung der Systemintegrität werden Änderungen in jedem Objekt ermittelt, indem der aktuelle Status des überwachten Objekts mit dem Originalstatus verglichen wird. Vergleiche können anhand der folgenden Kriterien durchgeführt werden:
Der Originalstatus der überwachten Objekte wird als Baseline aufgezeichnet. Die Baseline enthält Pfade zu überwachten Objekten und deren Metadaten.
Die Baseline kann persönliche Daten enthalten.
Die Baseline wird während der ersten Ausführung der Aufgabe zur Prüfung der Systemintegrität auf dem Gerät erstellt. Wenn Sie mehrere Aufgaben zur Prüfung der Systemintegrität erstellt haben, wird für jede Aufgabe eine separate Baseline erstellt. Die Aufgabe wird nur ausgeführt, wenn die Baseline Informationen zu Objekten enthält, die zum für die Aufgabe konfigurierten Überwachungsbereich gehören. Wenn die Baseline nicht dem Überwachungsbereich entspricht, erstellt die App Kaspersky Endpoint Security ein Ereignis über die Verletzung der System-Integrität.
Eine Baseline wird dann neu erstellt, wenn die Einstellungen einer Aufgabe geändert werden (z. B. wenn ein neuer Überwachungsbereich hinzugefügt wurde).
Die App erstellt Speicher für Baselines auf dem geschützten Gerät. Standardmäßig befindet sich der Speicher für Baselines unter /var/opt/kaspersky/kesl/private/fim.db. Für den Zugriff auf die Datenbank mit Baselines sind Root-Rechte erforderlich.
Sie können eine Baseline löschen, indem Sie die entsprechende Aufgabe zur Prüfung der Systemintegrität löschen.
Sie können die Prüfung der Systemintegrität auf Befehl durchführen und Einstellungen für die Prüfung konfigurieren: