Regel zur Überwachung der Systemintegrität erstellen und ändern

Sie können eine Regel zur Überwachung der Systemintegrität erstellen, den Überwachungsbereich und/oder eine Liste mit Ausnahmen aus dem Überwachungsbereich für Dateien und Ordner, Schlüssel und Registrierungseinstellungen erstellen. Nach dem Erstellen oder Importieren der Regeln zur Überwachung der Systemintegrität können Sie die Einstellungen ändern, falls dies erforderlich ist.

So erstellen oder ändern Sie eine Regel zur Überwachung der Systemintegrität über Kaspersky Security Center:

1. Öffnen Sie die Kaspersky Security Center Verwaltungskonsole.
2. Öffnen Sie im Ordner Verwaltete Geräte der Konsolenstruktur den Unterordner mit dem Namen der Administrationsgruppe, zu der die erforderlichen geschützten virtuellen Maschinen gehören.
3. Wählen Sie im Arbeitsplatz die Registerkarte Richtlinien aus.
4. Wählen Sie in der Richtlinienliste die Richtlinie für Light Agent for Windows und öffnen Sie das Fenster Eigenschaften: <Name der Richtlinie> mit einem Doppelklick.
5. Wählen Sie im Eigenschaftsfenster der Richtlinie in der Liste links den Abschnitt Überwachung der Systemintegrität aus.
6. Klicken Sie im rechten Teil des Fensters in einem der folgenden Blöcke auf die Schaltfläche Einstellungen rechts neben dem Kontrollkästchen Dateien und Registrierung überwachen:
   • Im Block Bereich zur Überwachung der Systemintegrität, wenn Sie die Regel zur Überwachung der Systemintegrität in Echtzeit anpassen möchten.
   • Im Block Bereich zur Prüfung der Systemintegrität, wenn Sie die Regel für die Aufgabe zur Prüfung der Systemintegrität und die Aufgabe zum Update des System-Grundstatus anpassen möchten.
7. Führen Sie im nächsten Fenster Regeln zur Überwachung der Systemintegrität eine der folgenden Aktionen aus:
   • Wenn Sie eine Regel zur Überwachung der Systemintegrität erstellen möchten, klicken Sie über der Regelliste auf die Schaltfläche Hinzufügen.
   • Wenn Sie eine Regel zur Überwachung der Systemintegrität ändern möchten, wählen Sie diese in der Liste aus und klicken Sie auf Ändern.
8. Geben Sie im nächsten Fenster Regel zur Überwachung der Systemintegrität den Namen der Regel ein und wählen Sie eine Ereigniskategorie für die Ereignisse aus, die von der Überwachung der Systemintegrität bei Anwendung dieser Regel festgelegt wird. Standardmäßig werden Ereignisse der Stufe Informativ erstellt.
9. Passen Sie den Überwachungsbereich für Dateien und Ordner auf der Registerkarte Dateien an.

   So fügen Sie eine Datei oder einen Ordner hinzu, deren bzw. dessen Änderungen vom Programm Kaspersky Security kontrolliert werden sollen:

   1. Klicken Sie auf die Schaltfläche Hinzufügen über dem Feld Überwachungsbereich auf der Registerkarte Dateien.
   2. Geben Sie im nächsten Fenster Datei oder Ordner den absoluten Ordnerpfad oder die Maske des Ordnerpfads ein, an dem Änderungen überwacht werden sollen.

      Bei der Eingabe der Pfadmaske können Sie in einem beliebigen Teil des Pfades folgende Zeichen verwenden:

      • Das Zeichen * kann beliebige Zeichen, außer \ / : ? " < > | * ersetzen. Dabei gilt:
        • Wenn das Zeichen * verwendet wird, um vollständig den Namen eines Pfadelements zu ersetzen (z. B. den Ordnernamen: /*/), dann kann es für ein oder mehrere Zeichen stehen.
        • Wenn das Zeichen * verwendet wird, um den Teil eines Namens des Pfadelements zu ersetzen (z. B. den Teil eines Ordnernamens: /abc*/), dann kann es für null oder mehr Zeichen stehen.
      • Das Zeichen ? kann ein beliebiges Einzelzeichen ersetzen.

      Bei der Eingabe des Ordnerpfads können Sie Umgebungsvariablen verwenden. Vor und nach dem Namen der Umgebungsvariablen muss das Zeichen % angegeben werden.

   3. Wenn es erforderlich ist, die Änderungen von Dateien im angegebenen Ordner zu überwachen, geben Sie den Namen oder die Maske der Datei im Feld Name oder Maske der Datei ein.

      Bei der Eingabe der Maske können Sie folgende Zeichen verwenden:

      • * – Zeichen, das null und mehr Zeichen ersetzt. Kann beliebige Zeichen ersetzen außer \ / : ? " < > | *
      • ? – Symbol, das ein beliebiges Einzelzeichen ersetzt

      Wenn Sie die Änderungen der angegebenen Dateien auch in den untergeordneten Ordnern kontrollieren möchten, aktivieren Sie das Kontrollkästchen Inklusive Dateien in Unterordnern.

   4. Klicken Sie im Fenster Datei oder Ordner auf OK.

   Der Datei- oder Ordnerpfad wird in der Liste der Pfade im Feld Überwachungsbereich angezeigt.

   Kaspersky Security überwacht Änderungen von Dateien und Ordnern nur auf jenen Festplatten, die zum Zeitpunkt der ersten Schritte der Überwachung der Systemintegrität in Echtzeit, d. h. zur Zeit der Übernahme der Richtlinie oder zur Zeit der Aktivierung der Überwachung der Systemintegrität in Echtzeit angeschlossen sind. Wenn das Laufwerk zum Zeitpunkt der ersten Schritte der Überwachung der Systemintegrität in Echtzeit deaktiviert ist, werden Änderungen der Dateien und der Ordner auf diesem Laufwerk nicht überwacht, selbst wenn diese Dateien und die Ordner zum Überwachungsbereich hinzugefügt wurden.

   Sie können in der Liste eine Suche nach Schlüsselwörtern ausführen sowie Dateien und Ordner mithilfe der Schaltfläche Löschen aus der Liste löschen.

10. Passen Sie erforderlichenfalls die Liste der Datei- und/oder Ordnerpfade, die vom Überwachungsbereich ausgeschlossen werden sollen, auf die gleiche Weise an. Kaspersky Security überwacht Dateien und Ordnern, die in der Liste der Pfade zum Feld Ausnahmen hinzugefügt wurden, nicht auf Änderungen.

    Verwenden Sie für die Konfiguration der Liste der Ausnahmen die Schaltflächen Hinzufügen und Löschen über dem Feld Ausnahmen auf der Registerkarte Dateien.

11. Passen Sie den Überwachungsbereich für Registrierungsschlüssel und die Einstellungen für Schlüssel auf der Registerkarte Registrierung an.

    So fügen Sie einen Registrierungsschlüssel oder eine Schlüsseleinstellung, der bzw. die von Kaspersky Security auf Änderungen überwacht werden soll:

    1. Klicken Sie auf die Schaltfläche Hinzufügen über dem Feld Überwachungsbereich auf der Registerkarte Registrierung.

       Das Fenster Registrierungsschlüssel wird geöffnet.

    2. Geben Sie den Namen des Registrierungsschlüssels ein, der auf Änderungen überwacht werden soll.

       Der Schlüssel HKEY_CURRENT_USER wird nicht unterstützt. Sie können den Pfad des Schlüssels in der Registrierung über den Abschnitt HKEY_USER in Form von HKEY_USERS \<ID des Benutzerprofils>\<Schlüssel> angeben.

    3. Wenn Sie möchten, dass das Programm Kaspersky Security auch untergeordnete Schlüssel überwacht, aktivieren Sie das Kontrollkästchen Untergeordnete Schlüssel einschließen.
    4. Wenn es erforderlich ist, die Änderungen von Einstellungen im angegebenen Schlüssel zu überwachen, geben Sie den Namen oder die Maske der Einstellung im Feld Name oder Maske des Schlüsselparameters ein.

       Bei der Eingabe einer Maske können Sie die Zeichen * (beliebige Zeichenfolge) und? (ein beliebiges Zeichen) verwenden.

    5. Klicken Sie im Fenster Registrierungsschlüssel auf OK.

    Der Name des Schlüssels und die Einstellung des Schlüssels, sofern er angegeben war, werden in der Liste der Schlüssel und Registrierungseinstellungen im Feld Überwachungsbereich angezeigt.

    Sie können in der Liste eine Suche nach Schlüsselwörtern ausführen sowie Schlüssel mithilfe der Schaltfläche Löschen aus der Liste löschen.

12. Passen Sie erforderlichenfalls die Liste der Schlüssel und Registrierungseinstellungen, die vom Überwachungsbereich ausgeschlossen werden sollen, auf die gleiche Weise an. Kaspersky Security überwacht Schlüssel und Registrierungseinstellungen, die in der Liste zum Feld Ausnahmen hinzugefügt wurden, nicht auf Änderungen.

    Verwenden Sie für die Konfiguration der Liste der Ausnahmen die Schaltflächen Hinzufügen und Löschen, die sich über dem Feld Ausnahmen auf der Registerkarte Registrierung befinden.

13. Klicken Sie im Fenster Regel zur Überwachung der Systemintegrität auf OK.

    Die Regel wird in der Liste der Regeln im Fenster Regeln zur Überwachung der Systemintegrität angezeigt.

14. Klicken Sie im Fenster Regeln zur Überwachung der Systemintegrität auf OK.
15. Klicken Sie auf die Schaltfläche Übernehmen.

So erstellen oder ändern Sie die Regel zur Überwachung der Systemintegrität in der lokalen Benutzeroberfläche:

1. Öffnen Sie auf der geschützten virtuellen Maschine das Programmkonfigurationsfenster.
2. Wählen Sie im linken Fensterbereich unter Arbeitsplatz-Überwachung den Abschnitt Überwachung der Systemintegrität.

   Im rechten Fensterbereich werden die Einstellungen für die Komponente "Überwachung der Systemintegrität" angezeigt.

   Wenn die Einstellungen in der lokalen Benutzeroberfläche nicht verfügbar sind, bedeutet das, dass für alle geschützten virtuellen Maschinen der Administrationsgruppe die Einstellungswerte verwendet werden, die von der Richtlinie festgelegt sind.

3. Führen Sie eine der folgenden Aktionen aus:
   • Klicken Sie auf die Schaltfläche Einstellungen rechts neben dem Kontrollkästchen Dateien und Registrierung überwachen im oberen Teil des Blocks Einstellungen zur Überwachung der Systemintegrität, wenn Sie die Regel zur Überwachung der Systemintegrität in Echtzeit anpassen möchten.
   • Klicken Sie auf die Schaltfläche Einstellungen rechts neben dem Kontrollkästchen Dateien und Registrierung überwachen im unteren Teil des Blocks Einstellungen zur Überwachung der Systemintegrität, wenn Sie die Regel für die Aufgabe zur Prüfung der Systemintegrität und die Aufgabe zum Update des System-Grundstatus anpassen möchten.

   Das Fenster Regeln zur Überwachung der Systemintegrität wird geöffnet.

4. Führen Sie die Punkte 7–14 der vorangehenden Anleitung aus.
5. Klicken Sie auf Speichern, um die Änderungen zu speichern.