即時系統完整性監控

系統完整性監控允許即時追蹤作業系統中的變化。您可以追蹤可能表明電腦上存在安全漏洞的變更。此元件可封鎖這些變更或僅記錄變更事件。

為了使系統完整性監控正常運作,您必須新增至少一個規則系統完整性監控規則是定義使用者對檔案和登錄檔的存取權限的一組標準。系統完整性監控可偵測指定監控範圍內檔案和登錄檔的變更。監控範圍是系統完整性監控規則的標準之一。

即時系統完整性監控模式

為了確保系統完整性監控規則不會封鎖對作業系統或其他服務的運作至關重要的資源的任何操作,我們建議啟用測試模式並分析元件如何影響系統。開啟測試模式後,Kaspersky Endpoint Security 不會封鎖規則禁止的使用者活動,而是產生 警告 警告事件圖示。 事件。

即時系統完整性監控元件有兩種模式:

啟用即時系統完整性監控

如何在管理主控台 (MMC) 中啟用即時系統完整性監控

如何在網頁主控台中啟用即時系統完整性監控

如何在應用程式介面中啟用即時系統完整性監控

即時系統完整性監控規則設定

參數

描述

規則名稱

即時系統完整性監控規則的名稱

檔案和登錄檔操作

  • 允許系統完整性監控允許對監控範圍內的檔案和登錄機碼進行操作。
  • 封鎖系統完整性監控行為取決於所選模式。如果您選擇了系統防護模式,系統完整性監控會封鎖監控範圍內的檔案和登錄機碼操作,產生對應的事件,並在在卡巴斯基安全管理中心主控台中變更裝置的狀態。如果您選擇了測試模式,系統完整性監控將允許對監控範圍內的檔案和登錄機碼進行操作。

事件嚴重性級別

只要監控範圍中的檔案或登錄機碼被修改,Kaspersky Endpoint Security 就會記錄檔案修改事件。以下事件嚴重程度級別可用:資訊 資訊事件圖示。, 警告 警告事件圖示。, 緊急 緊急事件圖示。

監控範圍

  • 檔案元件監視的檔案和資料夾的清單。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*?字元。

    使用遮罩:

    • *(星號)字元代表任意一組字元,但 \/ 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩“C:\*\*.txt”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。
    • 兩個連續 * 字元在檔案或資料夾名稱中代表任意一組字元(包括空集),包括 \/ 字元(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\**\*.txt 將包括位於巢嵌在 Folder 內的資料夾(Folder自身除外)中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 C:\**\*.txt 不是有效遮罩。
    • ?(問號)字元代表任意單個字元,但 \/ 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\???.txt 將包括位於 Folder 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。
  • 登錄檔元件監視的登錄機碼和值的清單。Kaspersky Endpoint Security 輸入遮罩時支援*?字元。

排除項目

  • 檔案來自監控範圍的排除項目清單。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*?字元。例如,C:\Folder\Application\*.log。排除項目比監控範圍項目具有更高的優先順序。

    使用遮罩:

    • *(星號)字元代表任意一組字元,但 \/ 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩“C:\*\*.txt”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。
    • 兩個連續 * 字元在檔案或資料夾名稱中代表任意一組字元(包括空集),包括 \/ 字元(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\**\*.txt 將包括位於巢嵌在 Folder 內的資料夾(Folder自身除外)中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 C:\**\*.txt 不是有效遮罩。
    • ?(問號)字元代表任意單個字元,但 \/ 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\???.txt 將包括位於 Folder 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。
  • 登錄檔來自監控範圍的排除項目清單。Kaspersky Endpoint Security 輸入遮罩時支援*?字元。排除項目比監控範圍項目具有更高的優先順序。

受信任的使用者和/或使用者群組

受信任使用者 是被允許對監視範圍內的檔案和登錄機碼執行操作的使用者。如果 Kaspersky Endpoint Security 偵測到受信任使用者執行的操作,系統完整性監控會產生一個 資訊 資訊事件圖示。 事件。

您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。

檔案作業標誌/被監控的作業

標記,標誌對應用程式將監視的檔案或登錄機碼採取的操作。

散列

計算修改時的檔案雜湊值。Kaspersky Endpoint Security 在產生事件時會加入有關檔案雜湊的資訊。

頁面頂部