Einstellungen der Überwachungsregeln anpassen

Um einen Überwachungsbereich hinzuzufügen, gehen Sie wie folgt vor:

1. Wählen Sie im Hauptfenster der Web-Konsole Geräte → Richtlinien & Profile aus.
2. Klicken Sie auf den Namen der Richtlinie, die Sie konfigurieren möchten.
3. Wählen Sie im Fenster <Name der Richtlinie> die Registerkarte Programmeinstellungen aus.
4. Wählen Sie den Abschnitt System-Diagnose aus.
5. Klicken Sie im Unterabschnitt Überwachung der Datei-Integrität auf Einstellungen.
6. Öffnen Sie im nächsten Fenster Überwachung der Datei-Integrität die Registerkarte Einstellungen zur Überwachung von Dateioperationen.
7. Klicken Sie im Abschnitt USN-Protokoll auf die Schaltfläche Hinzufügen.

   Das Fenster Regel zur Überwachung von Dateioperationen erscheint.

8. Geben Sie unter Dateioperationen im folgenden Bereich überwachen mithilfe einer der unterstützten Masken einen Pfad an:
   • <*.ext> – alle Dateien mit der Erweiterung <ext> unabhängig von ihrem Speicherort
   • <*\name.ext> – alle Dateien mit dem Namen <name> und der Erweiterung <ext> unabhängig von ihrem Speicherort
   • <\dir\*> – alle Dateien im Ordner <\dir>
   • <\dir\*\name.ext> – alle Dateien mit dem Namen <name> und der Erweiterung <ext> im Ordner <\dir> und allen Unterordnern

   Stellen Sie bei der manuellen Angabe des Überwachungsbereichs sicher, dass der Pfad dem folgenden Format entspricht: <Laufwerksbuchstabe>:\<Maske>. Wenn der Laufwerksbuchstabe fehlt, fügt Kaspersky Embedded Systems Security den angegebenen Überwachungsbereich nicht hinzu.

9. Auf der Registerkarte Vertrauenswürdige Benutzer führen Sie einen der folgenden Schritte aus:
   • Klicken Sie auf die Schaltfläche Hinzufügen und geben in dem sich öffnenden Fenster den Benutzer im Feld Benutzername in SID-Notation an.
   • Klicken Sie auf die Schaltfläche Vom Administrationsserver hinzufügen und wählen im anschließend erscheinenden Fenster den Benutzer aus der Liste aus.

   Standardmäßig stuft Kaspersky Embedded Systems Security alle Benutzer, die nicht zur Liste der vertrauenswürdigen Benutzer hinzugefügt wurden, als nicht vertrauenswürdig ein und erstellt für sie kritische Ereignisse. Für vertrauenswürdige Benutzer werden Statistiken erstellt.

10. Klicken Sie auf OK.
11. Wählen Sie die Registerkarte Datei-Operations-Marker aus.
12. Um mehrere Marker nach Bedarf auszuwählen, folgen Sie den Schritten:
    1. Wählen Sie die Option Dateioperationen anhand folgender Marker erkennen aus.
    2. Aktivieren Sie in der Liste der verfügbaren Dateioperationen die Kontrollkästchen aller Operationen, die Sie überwachen möchten.

    Standardmäßig überwacht Kaspersky Embedded Systems Security alle verfügbaren Dateioperationen, wenn die Option Dateioperationen anhand aller bekannten Marker erkennen ausgewählt ist.

13. Wenn Sie alle Dateioperationen für den ausgewählten Bereich blockieren möchten, aktivieren Sie das Kontrollkästchen Alle Dateioperationen im ausgewählten Bereich erkennen und blockieren.
14. Wenn Sie möchten, dass Kaspersky Embedded Systems Security eine Prüfsumme der Dateien nach ihrer Bearbeitung ermittelt, gehen Sie wie folgt vor:
    1. Aktivieren Sie das Kontrollkästchen Prüfsumme der Datei berechnen, wenn möglich. Die Prüfsumme kann im Bericht zur Aufgabenausführung eingesehen werden angezeigt.
       

       Wenn das Kontrollkästchen aktiviert ist, ermittelt Kaspersky Embedded Systems Security die Prüfsumme der geänderten Datei, weine eine Dateioperation gefunden wurde, die mindestens einem ausgewählten Marker entspricht.

       Wenn die Dateioperation durch verschiedene Marker erkannt wird, berechnet Kaspersky Embedded Systems Security nur die Prüfsumme der endgültigen Datei, nachdem alle Änderungen vorgenommen wurden.

       Ist das Kontrollkästchen deaktiviert, berechnet Kaspersky Embedded Systems Security keine Prüfsumme der geänderten Dateien.

       In den folgenden Fällen wird keine Berechnung der Prüfsumme vorgenommen:

       • Wenn infolge der Dateioperation die Datei nicht mehr verfügbar ist (weil z. B. die Zugriffsrechte für die Datei geändert wurden)
       • Wenn in der Datei eine Dateioperation gefunden wurde, die daraufhin gelöscht wurde

       Das Kontrollkästchen ist standardmäßig deaktiviert.

    2. Wählen Sie in der Dropdownliste Prüfsummentyp eine der folgenden Optionen aus:
       • SHA256-Hash
       • MD5-Hash
15. Wenn Sie nicht alle Dateioperationen überwachen möchten, aktivieren Sie in der Liste der verfügbaren Dateioperationen die Kontrollkästchen neben den Operationen, die Sie überwachen möchten.
16. Fügen Sie bei Bedarf ausgeschlossene Überwachungsbereich hinzu:
    1. Wählen Sie die Registerkarte Ausnahmen aus.
    2. Aktivieren Sie das Kontrollkästchen Folgende Ordner aus der Überwachung ausschließen.
       

       Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Ausnahmen für Ordner, in denen keine Dateioperationen überwacht werden müssen.

       Wenn dieses Kontrollkästchen aktiviert ist, überspringt Kaspersky Embedded Systems Security bei der Ausführung der Aufgabe zur Überwachung der Datei-Integrität die Überwachungsbereiche, die zur Liste mit Ausnahmen hinzugefügt wurden.

       Wenn das Kontrollkästchen deaktiviert ist, protokolliert Kaspersky Embedded Systems Security Ereignisse für alle angegebenen Überwachungsbereiche.

       Standardmäßig ist das Kontrollkästchen deaktiviert und die Ausnahmeliste leer.

    3. Klicken Sie auf die Schaltfläche Hinzufügen.

       Das Fenster Ordner zum Hinzufügen auswählen wird geöffnet.

    4. Wählen Sie in dem Bereich, der rechts geöffnet wird, den Ordner aus, den Sie aus dem Überwachungsbereich ausschließen möchten.
    5. Klicken Sie auf OK.

       Der angegebene Ordner wird zur Liste der ausgeschlossenen Bereiche hinzugefügt.

17. Klicken Sie im Fenster Regel zur Überwachung von Dateioperationen auf OK.

    Die angegebenen Einstellungen der Regeln werden im ausgewählten Überwachungsbereich der Aufgabe zur Überwachung der Datei-Integrität angewendet.