當系統完整性檢查工作執行時,透過比較被監視物件的目前狀態與原始狀態來發現每個物件的變化。可以使用以下比較標準:
被監控物件的初始狀態被記錄為基線。基線包含受監控物件的路徑及其中繼資料。
基線可能還包含個人資料。
當系統完整性檢查工作首次在裝置上執行時,會建立系統基線。如果您建立了多個系統完整性檢查工作,則會為每個工作建立一個單獨的基線。只有當基線包含屬於為該工作定義的監控範圍的物件的資訊時,該工作才會執行。如果基線與監控範圍不匹配,Kaspersky Endpoint Security 將產生系統完整性違規事件。
每當工作設定被修改(例如,當新增新的監控範圍時)以及啟動工作時RebuildBaseline=Yes(或如果在卡巴斯基安全管理中心的工作屬性中選取了每次工作啟動時重建基線核取方塊),基準都會更新。
應用程式在受防護裝置上建立基線儲存。預設情況下,基線儲存位於 /var/opt/kaspersky/kesl/private/fim.db。存取包含基線的資料庫需要 root 權限。
您可以透過刪除適當的系統完整性檢查工作來刪除基線。
您可以根據需要執行系統完整性檢查並配置掃描設定: