建立和編輯系統完整性監控規則

您可透過為檔案和資料夾、登錄機碼和值建立監控範圍和/或監控範圍排除清單,來建立系統完整性監控規則。建立或匯入系統完整性監控規則後,您可以在必要時變更規則設定。

若要透過卡巴斯基安全管理中心建立或編輯系統完整性監控規則:

  1. 開啟卡巴斯基安全管理中心管理主控台。
  2. 在主控台樹狀目錄的受管理裝置資料夾中,開啟具相關受防護的虛擬機所屬管理群組名稱之資料夾。
  3. 在工作區選擇政策標籤。
  4. 在政策清單中選擇 Light Agent for Windows 政策,按兩下開啟內容:<政策名稱>
  5. 在政策屬性視窗中,選擇左側清單中的“系統完整性監控”區域。
  6. 在視窗右側,在以下其中一個區域中,點擊位於監控檔案與登錄核取方塊右側的設定按鈕:
    • 如果希望配置即時系統完整性監控規則,則在系統完整性監控範圍區域中。
    • 如果希望配置系統完整性檢查工作和基線更新工作規則,則在系統完整性檢查範圍區域中。
  7. 在開啟的“系統完整性監控規則”視窗中,執行以下操作之一:
    • 如果您要建立系統完整性監控規則,請點擊位於規則清單上方的新增按鈕。
    • 如果您要編輯系統完整性監控規則,請在清單中選擇並點擊編輯按鈕。
  8. 在開啟的“系統完整性監控規則”視窗中,輸入規則名稱,然後選擇系統完整性監控套用該規則時生產的事件的重要性等級。預設情況下,會產生資訊事件。
  9. 檔案標籤上配置檔案和資料夾的監控範圍。

    若要新增一個檔案或者資料夾以便 Kaspersky Security 監控其中的變更:

    1. 點擊檔案標籤監控範圍欄位上方的新增按鈕。
    2. 在開啟的“檔案或資料夾”視窗中,輸入要被監控的資料夾的絕對路徑或者資料夾的路徑遮罩。

      輸入路徑遮罩時,您可在路徑的任何部分使用以下字元:

      • * 字元可代表任何字元,除了 \ / : ? ” < > | *。此外:
        • 如果 * 字元用於指定路徑的整個元件名稱(例如用來指定資料夾名稱:/*/),可代表一個或多個字元。
        • 如果 * 字元用於指定路徑元件的部分名稱(例如用來指定資料夾名稱的一部分:/abc*/),則可代表零或更多個字元。
      • ? 字元可取代任何單一字元。

      輸入資料夾路徑時可使用環境變數。您必須在環境變數名稱前或後輸入 % 字元。

    3. 如果您需要監控指定資料夾中的檔案變更,請在檔案名稱或檔案遮罩欄位中輸入檔案名稱或檔案遮罩。

      輸入遮罩時,可以使用以下字元:

      • * 代表零或多個字元。其可代表任何字元,除了 \ / : ? ” < > | *
      • ? 代表任何單一字元

      如果您還希望監控對嵌套資料夾中指定檔案所做的修改,請選擇包括子資料夾中的檔案核取方塊。

    4. 檔案或資料夾視窗中點擊 OK

    檔案或資料夾路徑會顯示在監控範圍欄位中的路徑清單。

    Kaspersky Security 僅會在即時系統完整性監控啟動執行時(代表套用政策或啟用即時系統完整性監控),在連線磁碟機上的檔案和資料夾所做變更進行監控。如果即時系統完整性監控開始執行時磁碟機處於關閉狀態,即使檔案和資料夾已新增到監控範圍中,在磁碟機上對檔案和資料夾進行的修改也不會受到監控。

    您可在清單中執行關鍵字搜尋,並使用刪除按鈕從清單中刪除檔案和資料夾。

  10. 如有必要,您同樣可配置從監控範圍排除的檔案和/或資料夾路徑清單。Kaspersky Security 不會對新增至排除欄位中路徑清單的檔案和資料夾,監控對其所做的變更。

    若要配置排除清單,請使用位於檔案標籤排除欄位上方的新增刪除按鈕。

  11. 登錄檔標籤上配置登錄機碼和值的監控範圍。

    若要新增一個登錄機碼或者參數以便 Kaspersky Security 監控其中的變更:

    1. 點擊位於登錄檔標籤監控範圍欄位上方的新增按鈕。

      將開啟登錄機碼視窗。

    2. 輸入必須監控其修改的登錄機碼名稱。

      不支援 HKEY_CURRENT_USER 金鑰。您可以下列方式透過 HKEY_USER 指定登錄機碼路徑:HKEY_USERS\<user profile ID>\<key>。

    3. 如果希望 Kaspersky Security 也監控嵌套項,請選擇包括巢狀索引鍵核取方塊。
    4. 如果需要監控對指定金鑰參數的變更,請在金鑰參數的名稱或遮罩欄位中輸入參數的名稱或遮罩。

      輸入遮罩時,您可使用萬用字元 *(任何字元序列)和 ?(任何單一字元)。

    5. 登錄機碼視窗中點擊 OK

    登錄機碼和金鑰參數(若指定)的名稱會顯示在監控範圍欄位中的登錄機碼和登錄檔值清單中。

    您可以在清單中執行關鍵字搜尋,並使用刪除按鈕從清單中刪除登錄機碼。

  12. 如有必要,您同樣可配置從監控範圍排除的登錄機碼和登錄檔值清單。Kaspersky Security 不會對新增至排除欄位中清單的登錄機碼和登錄檔值的變更。

    若要配置排除清單,請使用位於登錄檔標籤排除欄位上方的新增刪除按鈕。

  13. 系統完整性監控規則視窗中點擊 OK

    規則會顯示在系統完整性監控規則視窗的規則清單中。

  14. 系統完整性監控規則視窗中,點擊 OK
  15. 點擊套用按鈕。

若要在本機介面中建立或編輯系統完整性監控規則:

  1. 在受防護的虛擬機上,開啟應用程式設定視窗
  2. 在視窗左側的端點控制區域,選擇系統完整性監控區域。

    系統完整性監控元件的設定將顯示在視窗右邊。

    如果無法使用本機介面中的設定,表示由政策定義的設定值用於管理群組的所有受防護的虛擬機。

  3. 請執行以下操作之一:
    • 如果您希望配置即時系統完整性監控規則,請點擊系統完整性監控設定區域上部監控檔案與登錄核取方塊右側的設定按鈕。
    • 如果您希望配置系統完整性檢查工作與基線更新工作的規則,請點擊系統完整性監控設定區域下部監控檔案與登錄核取方塊右側的設定按鈕。

    將開啟系統完整性監控規則視窗。

  4. 完成前面說明的第 7 步至第 14 步。
  5. 若要儲存變更,請點擊儲存按鈕。
頁面頂部