Erstellen und Konfigurieren einer Regel zur Überwachung von Dateivorgängen

Gehen Sie wie folgt vor, um mithilfe des Web-Plug-ins eine Regel zur Überwachung von Dateivorgängen zu erstellen und zu konfigurieren:

1. Wählen Sie im Hauptfenster Kaspersky Security Center Web Console aus Geräte → Richtlinien & Profile aus.
2. Klicken Sie auf den Namen der Richtlinie, die Sie konfigurieren möchten.
3. Wählen Sie im Fenster <Name der Richtlinie> die Registerkarte Programmeinstellungen aus.
4. Wählen Sie den Abschnitt System-Diagnose aus.
5. Klicken Sie im Unterabschnitt Überwachung der Datei-Integrität auf die Schaltfläche Einstellungen.

   Das Fenster Überwachung der Datei-Integrität wird auf der Registerkarte Einstellungen zur Überwachung von Dateioperationen des Dateiintegritätsmonitors geöffnet.

6. Klicken Sie auf die Schaltfläche Hinzufügen.

   Das Fenster Regel zur Überwachung von Dateioperationen erscheint.

7. Geben Sie unter Dateioperationen im folgenden Bereich überwachen mithilfe einer der unterstützten Masken einen Pfad an:
   • <*.ext> — alle Dateien mit der Erweiterung <ext> unabhängig von ihrem Speicherort
   • <*\name.ext> — alle Dateien mit dem Namen <name> und der Erweiterung <ext> unabhängig von ihrem Speicherort
   • <\dir\*> — alle Dateien im Ordner <\dir>
   • <\dir\*\name.ext> — alle Dateien mit dem Namen <name> und der Erweiterung <ext> im Ordner <\dir> und allen Unterordnern

   Stellen Sie bei der manuellen Angabe des Überwachungsbereichs sicher, dass der Pfad dem folgenden Format entspricht: <Laufwerksbuchstabe>:\<Maske>. Wenn der Laufwerksbuchstabe fehlt, fügt Kaspersky Embedded Systems Security für Windows den angegebenen Überwachungsbereich nicht hinzu.

8. Geben Sie auf der Registerkarte Vertrauenswürdige Benutzer bei Bedarf auf eine der folgenden Arten vertrauenswürdige Benutzer an:
   • Nutzen Sie die Schaltfläche Hinzufügen.
     1. Klicken Sie auf die Schaltfläche Hinzufügen.
     2. Geben Sie im folgenden Fenster im Feld Benutzername den Benutzername oder die Benutzergruppe im SID-Format an.
     3. Klicken Sie auf die Schaltfläche OK.
   • Mit der Schaltfläche Aus der Liste des Administrationsservers hinzufügen hinzufügen:
     1. Klicken Sie auf die Schaltfläche Aus der Liste des Administrationsservers hinzufügen hinzufügen.
     2. Wählen Sie im angezeigten Fenster einen Benutzer oder eine Benutzergruppe aus der Liste aus.
     3. Klicken Sie auf die Schaltfläche OK.

   Vertrauenswürdige Benutzer können Dateien aus dem ausgewählten Überwachungsbereich bearbeiten.

   Standardmäßig stuft Kaspersky Embedded Systems Security für Windows alle Benutzer, die nicht zur Liste der vertrauenswürdigen Benutzer hinzugefügt wurden, als nicht vertrauenswürdig ein und erstellt für sie kritische Ereignisse. Für vertrauenswürdige Benutzer werden Statistiken erstellt.

9. Geben Sie auf der Registerkarte Datei-Operations-Marker bei Bedarf die Dateivorgangsmarkierungen an, die Sie überwachen möchten:
   1. Wählen Sie die Option Dateioperationen anhand folgender Marker erkennen aus.
   2. Aktivieren Sie in der Liste der verfügbaren Dateioperationen die Kontrollkästchen aller Operationen, die Sie überwachen möchten.

   Kaspersky Embedded Systems Security für Windows erkennt standardmäßig alle Markierungen für Dateioperationen. Die Option Dateioperationen anhand aller bekannten Marker erkennen ist ausgewählt.

10. Wenn Sie alle Dateioperationen für den ausgewählten Überwachungsbereich blockieren möchten, aktivieren Sie das Kontrollkästchen Alle Dateioperationen im ausgewählten Bereich erkennen und blockieren.
11. Wenn Sie möchten, dass das Programm die Prüfsumme einer Datei berechnet, nachdem diese geändert wurde:
    1. Aktivieren Sie das Kontrollkästchen Prüfsumme der Datei berechnen, wenn möglich. Die Prüfsumme kann im Bericht zur Aufgabenausführung eingesehen werden angezeigt.
       

       Wenn das Kontrollkästchen aktiviert ist, ermittelt Kaspersky Embedded Systems Security für Windows die Prüfsumme der geänderten Datei, weine eine Dateioperation gefunden wurde, die mindestens einem ausgewählten Marker entspricht.

       Wenn die Dateioperation durch verschiedene Marker erkannt wird, berechnet Kaspersky Embedded Systems Security für Windows nur die Prüfsumme der endgültigen Datei, nachdem alle Änderungen vorgenommen wurden.

       Ist das Kontrollkästchen deaktiviert, berechnet Kaspersky Embedded Systems Security für Windows keine Prüfsumme der geänderten Dateien.

       In den folgenden Fällen wird keine Berechnung der Prüfsumme vorgenommen:

       • Wenn infolge der Dateioperation die Datei nicht mehr verfügbar ist (weil z. B. die Zugriffsrechte für die Datei geändert wurden)
       • Wenn in der Datei eine Dateioperation gefunden wurde, die daraufhin gelöscht wurde

       Das Kontrollkästchen ist standardmäßig deaktiviert.

    2. Wählen Sie in der Dropdownliste Prüfsummentyp eine der folgenden Optionen aus:
       • SHA256-Hash
       • MD5-Hash
12. Fügen Sie bei Bedarf Ordner oder Laufwerke hinzu, um Dateivorgänge von der Überwachung auszuschließen:
    1. Aktivieren Sie im Registerfenster Ausnahmen das Kontrollkästchen bei Folgende Ordner aus der Überwachung ausschließen.
       

       Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Ausnahmen für Ordner, in denen keine Dateioperationen überwacht werden müssen.

       Wenn dieses Kontrollkästchen aktiviert ist, überspringt Kaspersky Embedded Systems Security für Windows bei der Ausführung der Aufgabe zur Überwachung der Datei-Integrität die Überwachungsbereiche, die zur Liste mit Ausnahmen hinzugefügt wurden.

       Wenn das Kontrollkästchen deaktiviert ist, protokolliert Kaspersky Embedded Systems Security für Windows Ereignisse für alle angegebenen Überwachungsbereiche.

       Standardmäßig ist das Kontrollkästchen deaktiviert und die Ausnahmeliste leer.

    2. Klicken Sie auf die Schaltfläche Hinzufügen.
    3. Geben Sie im sich öffnenden Fenster im Feld Ordnername den Pfad des Ordners oder Laufwerks ein, den Sie aus der Überwachung des Dateibetriebs ausschließen möchten.
    4. Klicken Sie auf die Schaltfläche OK.

    Der Pfad zu dem angegebenen Ordner oder Laufwerk wird in der Liste angezeigt.

13. Klicken Sie im Fenster Regel zur Überwachung von Dateioperationen auf OK.

Die konfigurierte Regel für die Überwachung von Dateivorgängen wird im Fenster Dateiintegritätsmonitor auf der Registerkarte Einstellungen zur Überwachung von Dateioperationen für Dateiintegritätsmonitor angezeigt.