Erstellen und Konfigurieren einer Regel zur Überwachung von Dateivorgängen

Gehen Sie wie folgt vor, um mithilfe des Verwaltungs-Plug-ins eine Regel zur Überwachung von Dateivorgängen zu erstellen und zu konfigurieren:

1. Erweitern Sie den Knoten Verwaltete Geräte in der Struktur der Kaspersky Security Center Verwaltungskonsole.
2. Wählen Sie die Administrationsgruppe aus, für die Sie Programmeinstellungen konfigurieren möchten.
3. Im Ergebnisfenster der ausgewählten Administrationsgruppe führen Sie eine der folgenden Aktionen aus:
   • Um die Aufgabeneinstellungen für eine Gruppe von geschützten Geräten anzupassen, wählen Sie die Registerkarte Richtlinien und öffnen Sie das Fenster Einstellungen: <Name der Richtlinie>.
   • Um die Einstellungen einer Aufgabe oder eines Programms für ein einzelnes geschütztes Gerät anzupassen, wählen Sie die Registerkarte Geräte und wechseln Sie zu den lokalen Aufgabeneinstellungen oder den Programmeinstellungen.
4. Führen Sie einen der folgenden Schritte aus:
   • Wenn Sie eine Regel zur Überwachung von Dateivorgängen in einer Richtlinie erstellen, klicken Sie im Block System-Diagnose im Block Überwachung der Überwachung der Datei-Integrität auf die Schaltfläche Einstellungen.

     Das Fenster Überwachung der Datei-Integrität wird auf der Registerkarte Einstellungen zur Überwachung von Dateioperationen des Dateiintegritätsmonitors geöffnet.

   • Wenn Sie eine Regel für die Überwachung des Dateivorgangs für eine lokale Aufgabe erstellen, wechseln Sie im Fenster Eigenschaften: Überwachung der Dateiintegrität zum Abschnitt Einstellungen.
5. Klicken Sie im Abschnitt Überwachungsbereich auf die Schaltfläche Hinzufügen.

   Das Fenster Regel zur Überwachung von Dateioperationen erscheint.

6. Fügen Sie einen Überwachungsbereich für Dateivorgänge auf eine der folgenden Arten hinzu:
   • Wenn Sie einen Ordner oder ein Laufwerk über das Standarddialogfeld von Microsoft Windows auswählen möchten:
     1. Klicken Sie auf die Schaltfläche Durchsuchen.

        Das Microsoft-Windows-Standardfenster Ordner durchsuchen erscheint.

     2. Wählen Sie den Ordner aus, dessen Dateivorgänge Sie überwachen möchten.
     3. Klicken Sie auf die Schaltfläche OK.
   • Um den Überwachungsbereich manuell festzulegen, fügen Sie mithilfe einer der unterstützten Masken einen Pfad hinzu:
     • <*.ext> — alle Dateien mit der Erweiterung <ext> unabhängig von ihrem Speicherort
     • <*\name.ext> — alle Dateien mit dem Namen <name> und der Erweiterung <ext> unabhängig von ihrem Speicherort
     • <\dir\*> — alle Dateien im Ordner <\dir>
     • <\dir\*\name.ext> — alle Dateien mit dem Namen <name> und der Erweiterung <ext> im Ordner <\dir> und allen Unterordnern

   Stellen Sie bei der manuellen Angabe des Überwachungsbereichs sicher, dass der Pfad dem folgenden Format entspricht: <Laufwerksbuchstabe>:\<Maske>. Wenn der Laufwerksbuchstabe fehlt, fügt Kaspersky Embedded Systems Security für Windows den angegebenen Überwachungsbereich nicht hinzu.

7. Geben Sie bei Bedarf vertrauenswürdige Benutzer an:
   1. Wählen Sie auf der Registerkarte Vertrauenswürdige Benutzer im Kontextmenü der Schaltfläche Hinzufügen die Methode zum Hinzufügen vertrauenswürdiger Benutzer aus.

      Das Fenster Auswahl von Benutzern oder Benutzergruppen auswählen wird geöffnet.

   2. Wählen Sie die Benutzer oder Benutzergruppen aus, für die Dateioperationen im ausgewählten Überwachungsbereich zulässig sind.
   3. Klicken Sie auf die Schaltfläche OK.

   Standardmäßig stuft Kaspersky Embedded Systems Security für Windows alle Benutzer, die nicht zur Liste der vertrauenswürdigen Benutzer hinzugefügt wurden, als nicht vertrauenswürdig ein und erstellt für sie kritische Ereignisse. Für vertrauenswürdige Benutzer werden Statistiken erstellt.

8. Geben Sie auf der Registerkarte Datei-Operations-Marker bei Bedarf die Dateivorgangsmarkierungen an, die Sie überwachen möchten:
   1. Wählen Sie die Option Dateioperationen anhand folgender Marker erkennen aus.
   2. Aktivieren Sie in der Liste der verfügbaren Dateioperationen die Kontrollkästchen aller Operationen, die Sie überwachen möchten.

   Kaspersky Embedded Systems Security für Windows erkennt standardmäßig alle Markierungen für Dateioperationen. Die Option Dateioperationen anhand aller bekannten Marker erkennen ist ausgewählt.

9. Wenn Sie alle Dateioperationen für den ausgewählten Bereich blockieren möchten, aktivieren Sie das Kontrollkästchen Alle Dateioperationen im ausgewählten Bereich erkennen und blockieren.
10. Wenn Sie möchten, dass das Programm die Prüfsumme einer Datei berechnet, nachdem diese geändert wurde:
    1. Aktivieren Sie das Kontrollkästchen Prüfsumme der Datei berechnen, wenn möglich. Die Prüfsumme kann im Bericht zur Aufgabenausführung eingesehen werden angezeigt.
       

       Wenn das Kontrollkästchen aktiviert ist, ermittelt Kaspersky Embedded Systems Security für Windows die Prüfsumme der geänderten Datei, weine eine Dateioperation gefunden wurde, die mindestens einem ausgewählten Marker entspricht.

       Wenn die Dateioperation durch verschiedene Marker erkannt wird, berechnet Kaspersky Embedded Systems Security für Windows nur die Prüfsumme der endgültigen Datei, nachdem alle Änderungen vorgenommen wurden.

       Ist das Kontrollkästchen deaktiviert, berechnet Kaspersky Embedded Systems Security für Windows keine Prüfsumme der geänderten Dateien.

       In den folgenden Fällen wird keine Berechnung der Prüfsumme vorgenommen:

       • Wenn infolge der Dateioperation die Datei nicht mehr verfügbar ist (weil z. B. die Zugriffsrechte für die Datei geändert wurden)
       • Wenn in der Datei eine Dateioperation gefunden wurde, die daraufhin gelöscht wurde

       Das Kontrollkästchen ist standardmäßig deaktiviert.

    2. Wählen Sie in der Dropdownliste Prüfsummentyp eine der folgenden Optionen aus:
       • MD5-Hash
       • SHA256-Hash
11. Fügen Sie bei Bedarf Ordner oder Laufwerke hinzu, die aus dem ausgewählten Bereich der Überwachung des Dateibetriebs ausgeschlossen werden sollen:
    1. Aktivieren Sie auf der Ausnahmen Folgende Ordner aus der Überwachung ausschließen.
       

       Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Ausnahmen für Ordner, in denen keine Dateioperationen überwacht werden müssen.

       Wenn dieses Kontrollkästchen aktiviert ist, überspringt Kaspersky Embedded Systems Security für Windows bei der Ausführung der Aufgabe zur Überwachung der Datei-Integrität die Überwachungsbereiche, die zur Liste mit Ausnahmen hinzugefügt wurden.

       Wenn das Kontrollkästchen deaktiviert ist, protokolliert Kaspersky Embedded Systems Security für Windows Ereignisse für alle angegebenen Überwachungsbereiche.

       Standardmäßig ist das Kontrollkästchen deaktiviert und die Ausnahmeliste leer.

    2. Klicken Sie auf die Schaltfläche Hinzufügen.

       Das Fenster Ausnahme von der Ausschluss aus dem kontrollierten Bereich wird geöffnet.

    3. Klicken Sie auf die Schaltfläche Durchsuchen.

       Das Microsoft-Windows-Standardfenster Ordner durchsuchen erscheint.

    4. Wählen Sie einen Ordner oder ein Laufwerk aus.
    5. Klicken Sie auf die Schaltfläche OK.

    Der angegebene Ordner oder das angegebene Laufwerk wird in der Liste der Ausnahmen auf der Ausnahmen Ausnahmen angezeigt.

    Sie können auch manuell Ausnahmen für den Überwachungsbereich von Dateivorgängen hinzufügen, indem Sie dieselben Masken verwenden, die für die Festlegung von Überwachungsbereichen für Dateivorgänge verwendet werden.

12. Klicken Sie im Fenster OK auf Regel zur Überwachung von Dateioperationen.

Die konfigurierte Regel für die Überwachung von Dateivorgängen wird im Fenster Dateiintegritätsmonitor / Eigenschaften: Dateiintegritätsmonitor im Block Überwachungsbereich angezeigt.