Contrôle de l'intégrité du système en temps réel
Le Contrôle de l'intégrité du système permet de suivre en temps réel les modifications du système d'exploitation. Vous pouvez suivre les modifications susceptibles d'indiquer des atteintes à la sécurité sur l'ordinateur. Le module permet de bloquer ces modifications ou de consigner simplement les événements liés aux modifications.
Pour que le Contrôle de l'intégrité du système fonctionne, vous devez ajouter au moins une règle. Une règle du Contrôle de l'intégrité du système est un ensemble de critères qui définissent les conditions d'accès des utilisateurs aux fichiers et au registre. Le Contrôle de l'intégrité du système détecte les modifications dans les fichiers et dans le registre à l'intérieur de la zone de surveillance spécifiée. La zone de surveillance est l'un des critères d'une règle du Contrôle de l'intégrité du système.
Modes du Contrôle de l'intégrité du système en temps réel
Pour s'assurer que les règles du Contrôle de l'intégrité du système ne bloquent aucune action liée à des ressources essentielles au bon fonctionnement du système d'exploitation ou d'autres services, il est conseillé d'activer le mode Test et d'analyser l'impact du module sur le système. Lorsque le mode Test est activé, Kaspersky Endpoint Security ne bloque pas l'activité de l'utilisateur interdite par les règles, mais génère à la place des événements Avertissement .
Le module Contrôle de l'intégrité du système en temps réel possède deux modes :
- Protéger le système contre les modifications par des règles
Dans ce mode, le Contrôle de l'intégrité du système suit les modifications dans le système et exécute une action conformément aux règles : Autoriser ou Bloquer. Le Contrôle de l'intégrité du système génère également un événement correspondant et modifie l'état de l'appareil dans la console de Kaspersky Security Center.
- Mode test : ne pas bloquer, enregistrer uniquement
Dans ce mode, le Contrôle de l'intégrité du système autorise les actions avec les fichiers et les clés de registre provenant de la zone de surveillance. Si les actions avec les fichiers ou le registre sont interdites, l'application génère un événement : The prohibited operation was allowed in test mode. Pour analyser l'impact des règles sur le système, vous pouvez consulter les rapports.
Activation du Contrôle de l'intégrité du système en temps réel
Comment activer le Contrôle de l'intégrité du système en temps réel dans la Web Console
Paramètres de la règle du Contrôle de l'intégrité du système en temps réel
Paramètre | Description |
---|---|
Nom de la règle | Nom de la règle du Contrôle de l'intégrité du système en temps réel |
Opérations sur les fichiers et le registre |
|
Niveau de gravité de l'événement | Kaspersky Endpoint Security enregistre les événements de modification de fichier chaque fois qu'un fichier ou une clé de registre de la zone de surveillance est modifié. Les niveaux de gravité d'événement suivants sont disponibles : Informatif |
Zone de surveillance |
|
Exclusions |
|
Utilisateurs et/ou groupes d'utilisateurs de confiance | Un utilisateur de confiance est un utilisateur qui est autorisé à exécuter des actions avec les fichiers et les clés de registre dans la zone de surveillance. Si Kaspersky Endpoint Security détecte une action effectuée par un utilisateur de confiance, le Contrôle de l'intégrité du système génère un événement Informatif Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine. |
Marqueurs d'opérations sur les fichiers/Opérations contrôlées | Marqueurs caractérisant l'action avec les fichiers ou les clés de registre que l'application va surveiller. |
Hachage | Calcul du hachage d'un fichier lors de sa modification. Kaspersky Endpoint Security ajoute des informations relatives au hachage du fichier lorsqu'un événement est généré. |