Echtzeitüberwachung der Systemintegrität
Mit der Überwachung der Systemintegrität können Änderungen am Betriebssystem in Echtzeit verfolgt werden. Sie können Änderungen nachverfolgen, die auf Sicherheitslücken auf dem Computer hinweisen können. Die Komponente kann solche Änderungen blockieren oder nur entsprechende Ereignisse protokollieren.
Damit die Überwachung der Systemintegrität funktioniert, müssen Sie mindestens eine Regel hinzufügen. Eine Regel für die Überwachung der Systemintegrität ist eine Reihe von Kriterien, die den Zugriff von Benutzern auf Dateien und auf die Registrierung definieren. Die Überwachung der Systemintegrität erkennt Änderungen an Dateien und an der Registrierung innerhalb des angegebenen Überwachungsbereichs. Der Überwachungsbereich ist eines der Kriterien für eine Regel zur Überwachung der Systemintegrität.
Modi für die Echtzeitüberwachung der Systemintegrität
Sie müssen sicherstellen, dass die Regeln für die Überwachung der Systemintegrität keine Aktionen mit Ressourcen blockiert werden, die für das Betriebssystem oder andere Dienste wichtig sind. Darum wird empfohlen, den Testmodus zu aktivieren und die Auswirkungen der Komponente auf das System zu analysieren. Im Testmodus blockiert Kaspersky Endpoint Security keine Benutzeraktivitäten, die gemäß den Regeln verboten sind, sondern generiert Ereignisse des Typs Warnung .
Die Komponente „Echtzeitüberwachung der Systemintegrität“ verfügt über zwei Modi:
- System durch Regeln vor Änderungen schützen
In diesem Modus verfolgt die Überwachung der Systemintegrität Änderungen im System und führt eine Aktion gemäß den Regeln aus: Erlauben oder Blockieren. Außerdem generiert die Überwachung der Systemintegrität ein entsprechendes Ereignis und ändert den Status des Geräts in der Kaspersky Security Center-Konsole.
- Testmodus: nicht blockieren, nur protokollieren
In diesem Modus erlaubt die Überwachung der Systemintegrität Aktionen mit Dateien und Registrierungsschlüsseln aus dem Überwachungsbereich. Wenn die Aktion mit Dateien oder der Registrierung verboten ist, generiert das Programm ein Ereignis: The prohibited operation was allowed in test mode. Um zu analysieren, wie sich Regeln auf das System auswirken, können Sie sich die Berichte ansehen.
Echtzeitüberwachung der Systemintegrität aktivieren
So aktivieren Sie die Echtzeitüberwachung der Systemintegrität über die Verwaltungskonsole (MMC)
So aktivieren Sie die Echtzeitüberwachung der Systemintegrität über die Web Console
So aktivieren Sie die Echtzeitüberwachung der Systemintegrität über die App-Benutzeroberfläche
Einstellungen einer Regel für die Echtzeitüberwachung der Systemintegrität
Einstellung | Beschreibung |
---|---|
Regelname | Name der Regel für die Echtzeitüberwachung der Systemintegrität |
Vorgänge mit Dateien und Registrierung |
|
Signifikanz von Ereignissen | Kaspersky Endpoint Security protokolliert Dateiänderungsereignisse, wenn eine Datei oder ein Registrierungsschlüssel im Überwachungsbereich geändert wird. Es gibt folgende Prioritätsstufen für Ereignisse: Informativ |
Überwachungsbereich |
|
Ausnahmen |
|
Vertrauenswürdige Benutzer und/oder Benutzergruppen | Ein vertrauenswürdiger Benutzer ist ein Benutzer, der Aktionen mit Dateien und Registrierungsschlüsseln im Überwachungsbereich ausführen darf. Wenn Kaspersky Endpoint Security eine Aktion erkennt, die von einem vertrauenswürdigen Benutzer ausgeführt wurde, generiert die Überwachung der Systemintegrität ein Ereignis des Typs Informativ Sie können Benutzer in Active Directory, in der Liste für Benutzerkonten in Kaspersky Security Center oder durch manuelle Eingabe eines lokalen Benutzernamens auswählen. Kaspersky empfiehlt, lokale Benutzerkonten nur in besonderen Fällen zu verwenden, in denen keine Domänenbenutzerkonten verwendet werden können. |
Markierungen für Dateivorgänge / Überwachte Vorgänge | Markierungen, die die Aktion mit Dateien oder Registrierungsschlüsseln charakterisieren, die von der App überwacht werden. |
Hashing | Berechnung des Datei-Hashs bei einer Änderung. Kaspersky Endpoint Security fügt Informationen über den Hash der Datei hinzu, wenn ein Ereignis generiert wird. |