按需系統完整性檢查是一項可以手動或按排程執行的工作。當執行系統完整性檢查工作時,應用程式將監控範圍內包含的物件的目前狀態與它們的基線狀態進行比較 。與即時系統完整性監控相比,系統完整性檢查工作有助於限制事件數量,讓您產生作業系統變更的總體報告。
為了使系統完整性監控正常運作,您必須新增至少一個規則。系統完整性監控規則是定義使用者對檔案和登錄檔的存取權限的一組標準。系統完整性監控可偵測指定監控範圍內檔案和登錄檔的變更。監控範圍是系統完整性監控規則的標準之一。您可以配置由即時系統完整性監控和 系統完整性檢查 工作共用的規則或為工作建立單獨規則。為了建立基線,Kaspersky Endpoint Security 會將系統完整性檢查 工作的監控範圍套用到基線更新工作。
建立和更新基線
系統完整性檢查工作需要基準才能工作。基線 是系統中物件的記錄狀態,應用程式在與目前狀態進行比較時將其用作參考。如果系統的目前狀態與基準中記錄的系統狀態不同,Kaspersky Endpoint Security 會產生對應的事件。您可以使用基線更新工作建立或更新基線。
您可以透過以下方式更新基線:
應用程式更新監控範圍內的所有物件。
應用程式僅偵測和更新已修改或新的物件。
配置系統完整性檢查工作的監控範圍
預設情況下,系統完整性檢查 工作的監控範圍與即時系統完整性監控的監控範圍相同。您可以為工作配置不同的監控範圍。
如何在管理主控台 (MMC) 中為系統完整性檢查工作配置不同的監控範圍
如何配置不同的監控範圍 系統完整性檢查 應用程式介面中的工作
系統完整性檢查 工作規則的設定
參數 |
描述 |
---|---|
規則名稱 |
系統完整性檢查 工作規則的名稱。 |
事件嚴重性級別 |
只要監控範圍中的檔案或登錄機碼被修改,Kaspersky Endpoint Security 就會記錄檔案修改事件。以下事件嚴重程度級別可用:資訊 , 警告 , 緊急 。 |
監控範圍 |
|
排除項目 |
|
執行“系統完整性檢查”工作
系統完整性檢查 工作允許檢查檔案或登錄機碼是否有變更以及檢查外部裝置的連線。要檢查檔案是否發生變更,您可以用以下模式執行系統完整性檢查工作:
檢查檔案是否發生變更時,應用程式僅檢查檔案屬性。該應用程式不檢查檔案的內容。
檢查檔案是否發生變更時,應用程式會檢查所有檔案屬性和檔案內容。
工作執行的模式不影響對登錄檔或外部裝置的檢查。
為了系統完整性檢查工作順利完成,系統完整性檢查工作的監控範圍必須完全匹配基線。如果監視範圍不同,工作結束時會出現錯誤。若要同步監控範圍,請執行具有新監控範圍的基線更新工作。
頁面頂部