Echtzeitüberwachung der Systemintegrität

Mit der Überwachung der Systemintegrität können Änderungen am Betriebssystem in Echtzeit verfolgt werden. Sie können Änderungen nachverfolgen, die auf Sicherheitslücken auf dem Computer hinweisen können. Die Komponente kann solche Änderungen blockieren oder nur entsprechende Ereignisse protokollieren.

Damit die Überwachung der Systemintegrität funktioniert, müssen Sie mindestens eine Regel hinzufügen. Eine Regel für die Überwachung der Systemintegrität ist eine Reihe von Kriterien, die den Zugriff von Benutzern auf Dateien und auf die Registrierung definieren. Die Überwachung der Systemintegrität erkennt Änderungen an Dateien und an der Registrierung innerhalb des angegebenen Überwachungsbereichs. Der Überwachungsbereich ist eines der Kriterien für eine Regel zur Überwachung der Systemintegrität.

Modi für die Echtzeitüberwachung der Systemintegrität

Sie müssen sicherstellen, dass die Regeln für die Überwachung der Systemintegrität keine Aktionen mit Ressourcen blockiert werden, die für das Betriebssystem oder andere Dienste wichtig sind. Darum wird empfohlen, den Testmodus zu aktivieren und die Auswirkungen der Komponente auf das System zu analysieren. Im Testmodus blockiert Kaspersky Endpoint Security keine Benutzeraktivitäten, die gemäß den Regeln verboten sind, sondern generiert Ereignisse des Typs Warnung Symbol für ein Warnereignis..

Die Komponente „Echtzeitüberwachung der Systemintegrität“ verfügt über zwei Modi:

Echtzeitüberwachung der Systemintegrität aktivieren

So aktivieren Sie die Echtzeitüberwachung der Systemintegrität über die Verwaltungskonsole (MMC)

So aktivieren Sie die Echtzeitüberwachung der Systemintegrität über die Web Console

So aktivieren Sie die Echtzeitüberwachung der Systemintegrität über die App-Benutzeroberfläche

Einstellungen einer Regel für die Echtzeitüberwachung der Systemintegrität

Einstellung

Beschreibung

Regelname

Name der Regel für die Echtzeitüberwachung der Systemintegrität

Vorgänge mit Dateien und Registrierung

  • Erlauben. Die Überwachung der Systemintegrität erlaubt Aktionen mit Dateien und Registrierungsschlüsseln aus dem Überwachungsbereich.
  • Blockieren. Der ausgewählte Modus bestimmt, wie sich die Überwachung der Systemintegrität verhält. Wenn Sie den Systemschutzmodus ausgewählt haben, blockiert die Überwachung der Systemintegrität Aktionen mit Dateien und Registrierungsschlüsseln aus dem Überwachungsbereich, generiert ein entsprechendes Ereignis und ändert den Status des Geräts in der Kaspersky Security Center-Konsole. Wenn Sie den Testmodus ausgewählt haben, erlaubt die Überwachung der Systemintegrität Aktionen mit Dateien und Registrierungsschlüsseln aus dem Überwachungsbereich.

Signifikanz von Ereignissen

Kaspersky Endpoint Security protokolliert Dateiänderungsereignisse, wenn eine Datei oder ein Registrierungsschlüssel im Überwachungsbereich geändert wird. Es gibt folgende Prioritätsstufen für Ereignisse: Informativ Symbol für ein Informationsereignis., Warnung Symbol für ein Warnereignis., Kritisch Symbol für ein kritisches Ereignis..

Überwachungsbereich

  • Datei. Liste der Dateien und Ordner, die von der Komponente überwacht werden. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.

    Verwenden Sie Masken:

    • Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
    • Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder befinden, unter Ausnahme des Ordners Folder selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
    • Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
  • Registrierung. Liste der Registrierungsschlüssel und -werte, die von der Komponente überwacht werden. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske.

Ausnahmen

  • Datei. Liste der Ausnahmen vom Überwachungsbereich. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske. Zum Beispiel C:\Folder\Application\*.log. Ausnahmeneinträge haben eine höhere Priorität als Einträge im Überwachungsbereich.

    Verwenden Sie Masken:

    • Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
    • Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder befinden, unter Ausnahme des Ordners Folder selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
    • Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
  • Registrierung. Liste der Ausnahmen vom Überwachungsbereich. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske. Ausnahmeneinträge haben eine höhere Priorität als Einträge im Überwachungsbereich.

Vertrauenswürdige Benutzer und/oder Benutzergruppen

Ein vertrauenswürdiger Benutzer ist ein Benutzer, der Aktionen mit Dateien und Registrierungsschlüsseln im Überwachungsbereich ausführen darf. Wenn Kaspersky Endpoint Security eine Aktion erkennt, die von einem vertrauenswürdigen Benutzer ausgeführt wurde, generiert die Überwachung der Systemintegrität ein Ereignis des Typs Informativ Symbol für ein Informationsereignis..

Sie können Benutzer in Active Directory, in der Liste für Benutzerkonten in Kaspersky Security Center oder durch manuelle Eingabe eines lokalen Benutzernamens auswählen. Kaspersky empfiehlt, lokale Benutzerkonten nur in besonderen Fällen zu verwenden, in denen keine Domänenbenutzerkonten verwendet werden können.

Markierungen für Dateivorgänge / Überwachte Vorgänge

Markierungen, die die Aktion mit Dateien oder Registrierungsschlüsseln charakterisieren, die von der App überwacht werden.

Hashing

Berechnung des Datei-Hashs bei einer Änderung. Kaspersky Endpoint Security fügt Informationen über den Hash der Datei hinzu, wenn ein Ereignis generiert wird.

Nach oben