Au cours de la tâche Vérification de l'intégrité du système, une modification de chaque objet est déterminée en comparant l'état actuel de l'objet surveillé avec l'état initial. Des comparaisons peuvent être faites en utilisant les critères suivants :
L'état initial des objets surveillés est enregistré sous forme d'instantané de l'état du système. La référence contient les chemins vers les objets surveillés et leurs métadonnées.
La référence peut contenir des données personnelles.
Un instantané du système est pris la première fois qu'une tâche de vérification de l'intégrité du système est exécutée sur un appareil. Si vous avez créé plusieurs tâches de vérification de l'intégrité du système, un instantané du système distinct est créé pour chaque tâche. La tâche s'exécute uniquement si l'instantané de l'état du système contient des informations sur les objets appartenant à la zone de surveillance configurée pour la tâche. Si la référence ne correspond pas à la zone de contrôle, l'application Kaspersky Endpoint Security génère un événement à propos de la violation de l'intégrité du système.
L'instantané du système est mis à jour lorsque les paramètres de la tâche changent, par exemple, lorsqu'une nouvelle zone de surveillance est ajoutée.
L'application crée un stockage pour les instantanés de l'état du système sur l'appareil protégé. Par défaut, le stockage des références s'opère dans /var/opt/kaspersky/kesl/private/fim.db. L'accès à une base de données contenant des références requiert des privilèges root.
Vous pouvez supprimer un instantané du système en supprimant la tâche de vérification de l'intégrité du système associée.
Vous pouvez exécuter une vérification de l'intégrité du système à la demande et configurer les paramètres d'analyse :