您可透過為檔案和資料夾、登錄機碼和值建立監控範圍和/或監控範圍排除清單,來建立系統完整性監控規則。建立或匯入系統完整性監控規則後,您可以在必要時變更規則設定。
若要透過卡巴斯基安全管理中心建立或編輯系統完整性監控規則:
若要新增一個檔案或者資料夾以便 Kaspersky Security 監控其中的變更:
輸入路徑遮罩時,您可在路徑的任何部分使用以下字元:
*
字元可代表任何字元,除了 \ / :
。此外:*
字元用於指定路徑的整個元件名稱(例如用來指定資料夾名稱:/*/
),可代表一個或多個字元。*
字元用於指定路徑元件的部分名稱(例如用來指定資料夾名稱的一部分:/abc*/
),則可代表零或更多個字元。?
字元可取代任何單一字元。輸入資料夾路徑時可使用環境變數。您必須在環境變數名稱前或後輸入 %
字元。
輸入遮罩時,可以使用以下字元:
*
代表零或多個字元。其可代表任何字元,除了 \ / :
?
代表任何單一字元如果您還希望監控對嵌套資料夾中指定檔案所做的修改,請選擇在子資料夾中包含檔案核取方塊。
檔案或資料夾路徑會顯示在監控範圍欄位中的路徑清單。
Kaspersky Security 僅會在即時系統完整性監控啟動執行時(代表套用政策或啟用即時系統完整性監控),在連線磁碟機上的檔案和資料夾所做變更進行監控。如果即時系統完整性監控開始執行時磁碟機處於關閉狀態,即使檔案和資料夾已新增到監控範圍中,在磁碟機上對檔案和資料夾進行的修改也不會受到監控。
您可在清單中執行關鍵字搜尋,並使用刪除按鈕從清單中刪除檔案和資料夾。
若要配置排除清單,請使用位於檔案標籤排除欄位上方的新增與刪除按鈕。
若要新增一個登錄機碼或者參數以便 Kaspersky Security 監控其中的變更:
將開啟登錄機碼視窗。
不支援 HKEY_CURRENT_USER 金鑰。您可以下列方式透過 HKEY_USER 指定登錄機碼路徑:HKEY_USERS\<user profile ID>\<key>。
輸入遮罩時,您可使用萬用字元 *
(任何字元序列)和 ?
(任何單一字元)。
登錄機碼和金鑰參數(若指定)的名稱會顯示在監控範圍欄位中的登錄機碼和登錄檔值清單中。
您可以在清單中執行關鍵字搜尋,並使用刪除按鈕從清單中刪除登錄機碼。
若要配置排除清單,請使用位於登錄檔標籤排除欄位上方的新增與刪除按鈕。
規則會顯示在系統完整性監控規則視窗的規則清單中。
若要在本機介面中建立或編輯系統完整性監控規則:
系統完整性監控元件的設定將顯示在視窗右邊。
如果無法使用本機介面中的設定,表示由政策定義的設定值用於管理群組的所有受防護的虛擬機。
將開啟系統完整性監控規則視窗。