Erstellen und Konfigurieren einer Regel zur Überwachung von Dateivorgängen

Gehen Sie wie folgt vor, um mithilfe der Programmkonsole eine Regel zur Überwachung von Dateivorgängen zu erstellen und zu konfigurieren:

1. Öffnen Sie in der Struktur der Programmkonsole den Knoten System-Diagnose.
2. Wählen Sie darin den untergeordneten Knoten Überwachung der Datei-Integrität aus.
3. Klicken Sie im Ergebnisbereich des Knotens Regeln zur Überwachung von Datei-Operationen auf den Link Überwachung der Datei-Integrität.

   Das Fenster Regeln zur Überwachung von Datei-Operationen erscheint.

4. Geben Sie den Pfad für den Gültigkeitsbereich der Dateioperationsüberwachung auf eine der folgenden Arten an:
   • Wenn Sie einen Ordner oder ein Laufwerk über das Standarddialogfeld von Microsoft Windows auswählen möchten:
     1. Klicken Sie im linken Bereich des Fensters auf die Schaltfläche Durchsuchen.

        Das Microsoft-Windows-Standardfenster Ordner durchsuchen erscheint.

     2. Wählen Sie den Ordner aus, dessen Dateivorgänge Sie überwachen möchten.
     3. Klicken Sie auf die Schaltfläche OK.
   • Um den Überwachungsbereich manuell festzulegen, fügen Sie mithilfe einer der unterstützten Masken einen Pfad hinzu:
     • <*.ext> — alle Dateien mit der Erweiterung <ext> unabhängig von ihrem Speicherort
     • <*\name.ext> — alle Dateien mit dem Namen <name> und der Erweiterung <ext> unabhängig von ihrem Speicherort
     • <\dir\*> — alle Dateien im Ordner <\dir>
     • <\dir\*\name.ext> — alle Dateien mit dem Namen <name> und der Erweiterung <ext> im Ordner <\dir> und allen Unterordnern

   Stellen Sie bei der manuellen Angabe des Überwachungsbereichs sicher, dass der Pfad dem folgenden Format entspricht: <Laufwerksbuchstabe>:\<Maske>. Wenn der Laufwerksbuchstabe fehlt, fügt Kaspersky Embedded Systems Security für Windows den angegebenen Überwachungsbereich nicht hinzu.

5. Klicken Sie auf die Schaltfläche Hinzufügen.

   Der Überwachungsbereich wird in der Liste links im Fenster Regeln zur Überwachung von Datei-Operationen für die Überwachung von Dateivorgängen angezeigt.

6. Geben Sie bei Bedarf vertrauenswürdige Benutzer an:
   1. Klicken Sie auf der Registerkarte Vertrauenswürdige Benutzer auf die Schaltfläche Hinzufügen.

      Das Microsoft-Windows-Standardfenster Benutzer oder Gruppen auswählen wird geöffnet.

   2. Wählen Sie Benutzer oder Benutzergruppen aus, die im ausgewählten Überwachungsbereich Vorgänge für Dateien ausführen dürfen.
   3. Klicken Sie auf die Schaltfläche OK.

   Standardmäßig stuft Kaspersky Embedded Systems Security für Windows alle Benutzer, die nicht zur Liste der vertrauenswürdigen Benutzer hinzugefügt wurden, als nicht vertrauenswürdig ein und erstellt für sie kritische Ereignisse. Für vertrauenswürdige Benutzer werden Statistiken erstellt.

7. Geben Sie auf der Registerkarte Marker für Datei-Operationen bei Bedarf die Dateivorgangsmarkierungen an, die Sie überwachen möchten:
   1. Wählen Sie die Option Dateioperationen anhand folgender Marker erkennen aus.
   2. Aktivieren Sie in der Liste der verfügbaren Dateioperationen die Kontrollkästchen aller Operationen, die Sie überwachen möchten.

   Kaspersky Embedded Systems Security für Windows erkennt standardmäßig alle Markierungen für Dateioperationen. Die Option Dateioperationen anhand aller bekannten Marker erkennen ist ausgewählt.

8. Wenn Sie alle Dateioperationen für den ausgewählten Überwachungsbereich blockieren möchten, aktivieren Sie das Kontrollkästchen Alle Dateioperationen im ausgewählten Bereich erkennen und blockieren.
9. Wenn Sie möchten, dass das Programm die Prüfsumme einer Datei berechnet, nachdem diese geändert wurde:
   1. Aktivieren Sie im Abschnitt Berechnung der Prüfsumme die Option Prüfsumme der geänderten Datei berechnen, wenn möglich. Die Prüfsumme wird im Protokoll der Aufgabenausführung angegeben. Die Prüfsumme wird im Protokoll der Aufgabenausführung angezeigt.
      

      Wenn das Kontrollkästchen aktiviert ist, ermittelt Kaspersky Embedded Systems Security für Windows die Prüfsumme der geänderten Datei, weine eine Dateioperation gefunden wurde, die mindestens einem ausgewählten Marker entspricht.

      Wenn die Dateioperation durch verschiedene Marker erkannt wird, berechnet Kaspersky Embedded Systems Security für Windows nur die Prüfsumme der endgültigen Datei, nachdem alle Änderungen vorgenommen wurden.

      Ist das Kontrollkästchen deaktiviert, berechnet Kaspersky Embedded Systems Security für Windows keine Prüfsumme der geänderten Dateien.

      In den folgenden Fällen wird keine Berechnung der Prüfsumme vorgenommen:

      • Wenn infolge der Dateioperation die Datei nicht mehr verfügbar ist (weil z. B. die Zugriffsrechte für die Datei geändert wurden)
      • Wenn in der Datei eine Dateioperation gefunden wurde, die daraufhin gelöscht wurde

      Das Kontrollkästchen ist standardmäßig deaktiviert.

   2. Wählen Sie in der Dropdown-Liste Prüfsumme anhand von Algorithmus berechnen eine der folgenden Optionen aus:
      • MD5-Hash
      • SHA256-Hash
10. Fügen Sie bei Bedarf Ordner oder Laufwerke hinzu, um Dateivorgänge von der Überwachung auszuschließen:
    1. Aktivieren Sie auf der Registerkarte Ausnahmen das Ausgeschlossene Überwachungsbereiche berücksichtigen.
       

       Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Ausnahmen für Ordner, in denen keine Dateioperationen überwacht werden müssen.

       Wenn dieses Kontrollkästchen aktiviert ist, überspringt Kaspersky Embedded Systems Security für Windows bei der Ausführung der Aufgabe zur Überwachung der Datei-Integrität die Überwachungsbereiche, die zur Liste mit Ausnahmen hinzugefügt wurden.

       Wenn das Kontrollkästchen deaktiviert ist, protokolliert Kaspersky Embedded Systems Security für Windows Ereignisse für alle angegebenen Überwachungsbereiche.

       Standardmäßig ist das Kontrollkästchen deaktiviert und die Ausnahmeliste leer.

    2. Klicken Sie auf die Schaltfläche Durchsuchen.

       Das Microsoft-Windows-Standardfenster Ordner durchsuchen erscheint.

    3. Wählen Sie einen Ordner oder ein Laufwerk aus.
    4. Klicken Sie auf die Schaltfläche OK.
    5. Klicken Sie auf die Schaltfläche Hinzufügen.

    Der angegebene Ordner oder das angegebene Laufwerk wird in der Liste der Ausnahmen angezeigt.

    Sie können auch manuell Ausnahmen für den Überwachungsbereich von Dateivorgängen hinzufügen, indem Sie dieselben Masken verwenden, die für die Festlegung von Überwachungsbereichen für Dateivorgänge verwendet werden.

11. Klicken Sie auf die Schaltfläche Speichern.