Contrôle de l'intégrité du système en temps réel

Le Contrôle de l'intégrité du système permet de suivre en temps réel les modifications du système d'exploitation. Vous pouvez suivre les modifications susceptibles d'indiquer des atteintes à la sécurité sur l'ordinateur. Le module permet de bloquer ces modifications ou de consigner simplement les événements liés aux modifications.

Pour que le Contrôle de l'intégrité du système fonctionne, vous devez ajouter au moins une règle. Une règle du Contrôle de l'intégrité du système est un ensemble de critères qui définissent les conditions d'accès des utilisateurs aux fichiers et au registre. Le Contrôle de l'intégrité du système détecte les modifications dans les fichiers et dans le registre à l'intérieur de la zone de surveillance spécifiée. La zone de surveillance est l'un des critères d'une règle du Contrôle de l'intégrité du système.

Modes du Contrôle de l'intégrité du système en temps réel

Pour s'assurer que les règles du Contrôle de l'intégrité du système ne bloquent aucune action liée à des ressources essentielles au bon fonctionnement du système d'exploitation ou d'autres services, il est conseillé d'activer le mode Test et d'analyser l'impact du module sur le système. Lorsque le mode Test est activé, Kaspersky Endpoint Security ne bloque pas l'activité de l'utilisateur interdite par les règles, mais génère à la place des événements Avertissement Icône événement d'avertissement..

Le module Contrôle de l'intégrité du système en temps réel possède deux modes :

Activation du Contrôle de l'intégrité du système en temps réel

Comment activer le Contrôle de l'intégrité du système en temps réel dans la Console d'administration (MMC)

Comment activer le Contrôle de l'intégrité du système en temps réel dans la Web Console

Comment activer le Contrôle de l'intégrité du système en temps réel dans l'interface de l'application

Paramètres de la règle du Contrôle de l'intégrité du système en temps réel

Paramètre

Description

Nom de la règle

Nom de la règle du Contrôle de l'intégrité du système en temps réel

Opérations sur les fichiers et le registre

  • Autoriser. Le Contrôle de l'intégrité du système autorise les actions avec les fichiers et les clés de registre provenant de la zone de surveillance.
  • Bloquer. Le comportement du Contrôle de l'intégrité du système dépend du mode sélectionné. Si vous avez sélectionné le mode de protection du système, le Contrôle de l'intégrité du système bloque les actions avec les fichiers et les clés de registre de la zone de surveillance, génère un événement correspondant et modifie l'état de l'appareil dans la console de Kaspersky Security Center. Si vous avez sélectionné le mode Test, le Contrôle de l'intégrité du système autorise les actions avec les fichiers et les clés de registre provenant de la zone de surveillance.

Niveau de gravité de l'événement

Kaspersky Endpoint Security enregistre les événements de modification de fichier chaque fois qu'un fichier ou une clé de registre de la zone de surveillance est modifié. Les niveaux de gravité d'événement suivants sont disponibles : Informatif Icône d'événement d'information., Avertissement Icône événement d'avertissement., Critique Icône d'événement critique..

Zone de surveillance

  • Fichier. Liste des fichiers et des dossiers surveillés par le module. Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères * et ? lors de la saisie d'un masque.

    Utilisez des masques :

    • Le caractère * remplace n'importe quelle combinaison de caractères, y compris l'absence de caractères, sauf les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\*\*.txt inclura tous les chemins vers les fichiers avec l'extension TXT situés dans des dossiers sur le lecteur C:, mais pas dans des sous-dossiers.
    • Deux caractères * qui se suivent remplacent n'importe quelle combinaison de caractères, y compris des espaces, dans le nom du fichier ou de dossier, y compris les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\Dossier\**\*.txt inclura tous les chemins d'accès aux fichiers avec l'extension TXT situés dans le dossier joint nommé Dossier, sauf pour le Dossier lui-même. Le masque doit comprendre au moins un niveau d'imbrication. Le masque C:\**\*.txt n'est pas un masque valide.
    • Le caractère ? remplace n'importe quel caractère unique, sauf les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\Dossier\???.txt inclura les chemins d'accès à tous les fichiers résidant dans le dossier nommé Dossier qui ont l'extension TXT et un nom composé de trois caractères.
  • Registre. Liste des clés et des valeurs de registre surveillées par le module. Kaspersky Endpoint Security prend en charge les caractères * et ? lors de la saisie d'un masque.

Exclusions

  • Fichier. Liste des exclusions de la zone de surveillance. Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères * et ? lors de la saisie d'un masque. Par exemple, C:\Folder\Application\*.log. Les entrées d'exclusion ont une priorité plus élevée que les entrées de la zone de surveillance.

    Utilisez des masques :

    • Le caractère * remplace n'importe quelle combinaison de caractères, y compris l'absence de caractères, sauf les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\*\*.txt inclura tous les chemins vers les fichiers avec l'extension TXT situés dans des dossiers sur le lecteur C:, mais pas dans des sous-dossiers.
    • Deux caractères * qui se suivent remplacent n'importe quelle combinaison de caractères, y compris des espaces, dans le nom du fichier ou de dossier, y compris les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\Dossier\**\*.txt inclura tous les chemins d'accès aux fichiers avec l'extension TXT situés dans le dossier joint nommé Dossier, sauf pour le Dossier lui-même. Le masque doit comprendre au moins un niveau d'imbrication. Le masque C:\**\*.txt n'est pas un masque valide.
    • Le caractère ? remplace n'importe quel caractère unique, sauf les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\Dossier\???.txt inclura les chemins d'accès à tous les fichiers résidant dans le dossier nommé Dossier qui ont l'extension TXT et un nom composé de trois caractères.
  • Registre. Liste des exclusions de la zone de surveillance. Kaspersky Endpoint Security prend en charge les caractères * et ? lors de la saisie d'un masque. Les entrées d'exclusion ont une priorité plus élevée que les entrées de la zone de surveillance.

Utilisateurs et/ou groupes d'utilisateurs de confiance

Un utilisateur de confiance est un utilisateur qui est autorisé à exécuter des actions avec les fichiers et les clés de registre dans la zone de surveillance. Si Kaspersky Endpoint Security détecte une action effectuée par un utilisateur de confiance, le Contrôle de l'intégrité du système génère un événement Informatif Icône d'événement d'information..

Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine.

Marqueurs d'opérations sur les fichiers/Opérations contrôlées

Marqueurs caractérisant l'action avec les fichiers ou les clés de registre que l'application va surveiller.

Hachage

Calcul du hachage d'un fichier lors de sa modification. Kaspersky Endpoint Security ajoute des informations relatives au hachage du fichier lorsqu'un événement est généré.

Haut de page