Um ordnungsgemäß zu funktionieren, muss die Anwendung Systemereignisse im Sinne von Dateivorgängen und gestarteten Prozessen abfangen. Wenn das Abfangen von Systemereignissen von der Anwendung nicht verwendet wird, findet keine Dateiuntersuchung in Echtzeit statt. Dies reduziert die Schutzstufe des Geräts.
Wenn das Betriebssystem des Geräts die fanotify-Technologie unterstützt, können Sie auswählen, welchen Mechanismus die Anwendung zum Abfangen von Systemereignissen verwenden soll:
Wenn Sie Kaspersky Endpoint Security im Light Agent-Modus zum Schutz virtueller Umgebungen verwenden, wird das aktualisierbare Kernel-Modul nicht unterstützt.
Für Betriebssysteme, von denen die fanotify-Technologie nicht unterstützt wird, steht die Auswahl des Abfangmechanismus nicht zur Verfügung. Die Anwendung verwendet ein spezielles Kernel-Modul, um Systemereignisse abzufangen und dadurch den Schutz vor bedrohlichen Dateien zu realisieren. Dieses Modul wird beim Start des Schutzes vor bedrohlichen Dateien automatisch kompiliert, sofern die zur Kompilierung erforderlichen Pakete und Tools vorhanden sind.
Die Anwendung kann den auf dem aktualisierbaren Kernel-Modul basierenden Abfangmechanismus verwenden, wenn das Betriebssystem die Anforderungen an die Installation des Kernel-Moduls erfüllt.
Anhand des Tools "Kaspersky ULKM" können Sie prüfen, ob Ihr Gerät die Voraussetzungen für die Installation des aktualisierbaren Kernel-Moduls erfüllt.
Installieren können Sie das aktualisierbare Kernel-Modul sowohl während der Installation der Anwendung als auch später im Rahmen von Updates, welche die Unterstützung des aktualisierbaren Kernel-Moduls gewährleisten. Nach der Installation der Anwendung können Sie den Mechanismus zum Abfangen von Systemereignissen in der Web Console, der Verwaltungskonsole und in der Befehlszeile auswählen.
Wenn Sie als Abfangmechanismus das aktualisierbare Kernel-Modul ausgewählt haben, können Sie das Verhalten der Anwendung für den Fall konfigurieren, in dem beim Starten des Kernel-Moduls ein Fehler auftritt und das Modul nicht gestartet wird. In diesem Fall kann die Anwendung auf die fanotify-Technologie wechseln, Systemereignissen abzufangen, oder das Abfangen von Systemereignissen komplett deaktivieren.
Die Anwendung kann in den folgenden Fällen zur Verwendung des aktualisierbaren Kernel-Moduls übergehen:
Damit die Anwendung ordnungsgemäß funktioniert, muss der Übergang zur Verwendung des aktualisierbaren Kernel-Moduls nach dem automatischen Neustart der Anwendung erfolgen.
Sie können Informationen zum Status und zur Verfügbarkeit des aktualisierbaren Kernel-Moduls auf einem Gerät anzeigen:
kesl-control --app-info.Informationen zum Zustand des aktualisierbaren Kernel-Moduls werden als Statuswerte angezeigt: