按需系統完整性檢查

按需系統完整性檢查是一項可以手動或按排程執行的工作。當執行系統完整性檢查工作時,應用程式將監控範圍內包含的物件的目前狀態與它們的基線狀態進行比較 。與即時系統完整性監控相比,系統完整性檢查工作有助於限制事件數量,讓您產生作業系統變更的總體報告。

為了使系統完整性監控正常運作,您必須新增至少一個規則系統完整性監控規則是定義使用者對檔案和登錄檔的存取權限的一組標準。系統完整性監控可偵測指定監控範圍內檔案和登錄檔的變更。監控範圍是系統完整性監控規則的標準之一。您可以配置由即時系統完整性監控和 系統完整性檢查 工作共用的規則或為工作建立單獨規則。為了建立基線,Kaspersky Endpoint Security 會將系統完整性檢查 工作的監控範圍套用到基線更新工作。

建立和更新基線

系統完整性檢查工作需要基準才能工作。基線 是系統中物件的記錄狀態,應用程式在與目前狀態進行比較時將其用作參考。如果系統的目前狀態與基準中記錄的系統狀態不同,Kaspersky Endpoint Security 會產生對應的事件。您可以使用基線更新工作建立或更新基線。

您可以透過以下方式更新基線:

如何在管理主控台 (MMC) 中建立或更新基線

如何在網頁主控台中建立或更新基線

配置系統完整性檢查工作的監控範圍

預設情況下,系統完整性檢查 工作的監控範圍與即時系統完整性監控的監控範圍相同。您可以為工作配置不同的監控範圍。

如何在管理主控台 (MMC) 中為系統完整性檢查工作配置不同的監控範圍

如何在網頁主控台中為系統完整性檢查工作配置不同的監控範圍

如何配置不同的監控範圍 系統完整性檢查 應用程式介面中的工作

系統完整性檢查 工作規則的設定

參數

描述

規則名稱

系統完整性檢查 工作規則的名稱。

事件嚴重性級別

只要監控範圍中的檔案或登錄機碼被修改,Kaspersky Endpoint Security 就會記錄檔案修改事件。以下事件嚴重程度級別可用:資訊 資訊事件圖示。, 警告 警告事件圖示。, 緊急 緊急事件圖示。

監控範圍

  • 檔案元件監視的檔案和資料夾的清單。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*?字元。

    使用遮罩:

    • *(星號)字元代表任意一組字元,但 \/ 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩“C:\*\*.txt”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。
    • 兩個連續 * 字元在檔案或資料夾名稱中代表任意一組字元(包括空集),包括 \/ 字元(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\**\*.txt 將包括位於巢嵌在 Folder 內的資料夾(Folder自身除外)中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 C:\**\*.txt 不是有效遮罩。
    • ?(問號)字元代表任意單個字元,但 \/ 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\???.txt 將包括位於 Folder 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。
  • 登錄檔元件監視的登錄機碼和值的清單。Kaspersky Endpoint Security 輸入遮罩時支援*?字元。

排除項目

  • 檔案來自監控範圍的排除項目清單。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及*?字元。例如,C:\Folder\Application\*.log。排除項目比監控範圍項目具有更高的優先順序。

    使用遮罩:

    • *(星號)字元代表任意一組字元,但 \/ 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩“C:\*\*.txt”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。
    • 兩個連續 * 字元在檔案或資料夾名稱中代表任意一組字元(包括空集),包括 \/ 字元(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\**\*.txt 將包括位於巢嵌在 Folder 內的資料夾(Folder自身除外)中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 C:\**\*.txt 不是有效遮罩。
    • ?(問號)字元代表任意單個字元,但 \/ 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\???.txt 將包括位於 Folder 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。
  • 登錄檔來自監控範圍的排除項目清單。Kaspersky Endpoint Security 輸入遮罩時支援*?字元。排除項目比監控範圍項目具有更高的優先順序。

執行“系統完整性檢查”工作

系統完整性檢查 工作允許檢查檔案或登錄機碼是否有變更以及檢查外部裝置的連線。要檢查檔案是否發生變更,您可以用以下模式執行系統完整性檢查工作:

工作執行的模式不影響對登錄檔或外部裝置的檢查。

如何在管理主控台 (MMC) 中執行系統完整性檢查工作

如何在網頁主控台中執行“系統完整性檢查”工作

為了系統完整性檢查工作順利完成,系統完整性檢查工作的監控範圍必須完全匹配基線。如果監視範圍不同,工作結束時會出現錯誤。若要同步監控範圍,請執行具有新監控範圍的基線更新工作。

頁面頂部