Création et configuration d’une règle de surveillance des opérations sur les fichiers

Pour créer et configurer une règle de contrôle du fonctionnement des fichiers à l’aide du Plug-in d’administration :

1. Développez le nœud Appareils administrés dans la Console d'administration de Kaspersky Security Center.
2. Sélectionnez le groupe d’administration pour lequel vous souhaitez configurer les paramètres de l’application.
3. Dans le panneau de détails du groupe d’administration sélectionné, exécutez une des actions suivantes :
   • Pour configurer les paramètres de l’application pour un groupe d’appareils protégés, sélectionnez l’onglet Stratégies et ouvrez la fenêtre Propriétés : <Nom de la stratégie>
   • Pour configurer les paramètres d’une tâche ou d’une application pour un appareil protégé particulier, sélectionnez l’onglet Appareils et accédez aux paramètres locaux de la tâche ou de l’application.
4. Réalisez une des opérations suivantes :
   • Si vous créez une règle de surveillance des opérations sur les fichiers dans une stratégie, dans la section Diagnostic du système du bloc Moniteur d'intégrité des fichiers, cliquez sur le bouton Configuration.

     La fenêtre Moniteur d'intégrité des fichiers s’ouvre sous l’onglet Paramètres de surveillance des opérations sur les fichiers.

   • Si vous créez une règle de contrôle des opérations sur les fichiers pour une tâche locale, accédez à la section Paramètres de la fenêtre Propriétés : Contrôle de l’intégrité des fichiers.
5. Dans le bloc Zone de surveillance, cliquez sur le bouton Ajouter.

   La fenêtre Règle de surveillance des opérations sur les fichiers s’ouvre.

6. Ajoutez une zone de surveillance à l’aide de l’une des méthodes suivantes :
   • Si vous voulez choisir les dossiers via la boîte de dialogue Microsoft Windows standard :
     1. Cliquez sur le bouton Parcourir.

        La fenêtre standard de Microsoft Windows Rechercher le dossier s’ouvre.

     2. Sélectionnez le dossier pour lequel vous souhaitez surveiller les opérations sur les fichiers.
     3. Cliquez sur le bouton OK.
   • Si vous voulez définir la zone de surveillance manuellement, ajoutez le chemin d’accès à l’aide d’un des masques pris en charge :
     • <*.ext> : tous les fichiers avec l’extension <ext>, quel que soit leur emplacement ;
     • <*\name.ext> : tous les fichiers portant le nom name et l’extension <ext>, quel que soit leur emplacement ;
     • <\dir\*> : tous les fichiers du dossier <\dir> ;
     • <\dir\*\name.ext> : tous les fichiers portant le nom <name> et l’extension <ext> dans le dossier <\dir> et l’ensemble de ses sous-dossiers.

   Au moment de définir une zone de surveillance manuellement, assurez-vous que le chemin d’accès respecte le format : <lettre du volume>:\<masque> En l’absence de l’indication du volume, Kaspersky Embedded Systems Security for Windows n’ajoute pas la zone de surveillance indiquée.

7. Le cas échéant, indiquez les utilisateurs de confiance :
   1. Sous l’onglet Utilisateurs de confiance, dans le menu contextuel du bouton Ajouter, sélectionnez la méthode d’ajout d’utilisateurs de confiance.

      La fenêtre Sélection d'un utilisateur ou d'un groupe d'utilisateurs s’ouvre.

   2. Sélectionnez les utilisateurs ou groupes d’utilisateurs autorisés à exécuter des opérations sur les fichiers dans la zone de surveillance sélectionnée.
   3. Cliquez sur le bouton OK.

   Kaspersky Embedded Systems Security for Windows considère par défaut tous les utilisateurs qui ne figurent pas dans la liste des utilisateurs de confiance comme des utilisateurs douteux et génère pour ceux-ci des événements de niveau Critique. Pour les utilisateurs de confiance, les statistiques sont compilées.

8. Sous l’onglet Marqueurs d'opérations sur les fichiers, indiquez si nécessaire les marqueurs d’opérations sur le fichier que vous souhaitez surveiller :
   1. Choisissez l’option Détecter les opérations sur les fichiers à l'aide des marqueurs suivants.
   2. Dans la liste des opérations sur les fichiers disponibles, cochez les cases en regard des opérations que vous souhaitez surveiller.

   Par défaut, Kaspersky Embedded Systems Security for Windows détecte tous les marqueurs d’opérations sur les fichiers disponibles. L’option Détecter les opérations sur les fichiers à l'aide de tous les marqueurs identifiables est sélectionnée.

9. Si vous souhaitez que l’application bloque toutes les opérations sur les fichiers pour la zone sélectionnées, cochez la case Détecter et bloquer toutes les opérations sur les fichiers dans la zone sélectionnée.
10. Si vous souhaitez que l’application calcule la somme de contrôle d’un fichier après sa modification :
    1. Cochez la case Calculer, si possible, la somme de contrôle du fichier. La somme de contrôle est reprise dans le rapport de la tâche de la tâche.
       

       Si la case est cochée, Kaspersky Embedded Systems Security for Windows calcule la somme de contrôle du fichier modifié si une opération avec au moins un marqueur sélectionné a été détectée.

       Si l’opération sur les fichiers est détectée par plusieurs marqueurs, Kaspersky Embedded Systems Security for Windows calcule uniquement la somme de contrôle du fichier final après toutes les modifications.

       Si la case est décochée, Kaspersky Embedded Systems Security for Windows ne calcule pas la somme de contrôle pour les fichiers modifiés.

       Aucune somme de contrôle n’est calculée dans les cas suivants :

       • si le fichier est devenu inaccessible (par exemple, modification des autorisations d’accès au fichier) ;
       • si l’opération réalisée sur le fichier concerne un fichier qui a été supprimé par la suite.

       Par défaut, la case est décochée.

    2. Dans la liste déroulante Type de somme de contrôle, sélectionnez une des options :
       • Hash MD5
       • Hash SHA256.
11. Ajoutez, le cas échéant, des dossiers ou des disques à exclure de la zone de surveillance des opérations sur les fichiers sélectionnée :
    1. Sous l’onglet Exclusions, cochez la case Exclure les dossiers suivants du contrôle.
       

       La case désactive l’application des exclusions pour les dossiers dans lesquels il n’est pas nécessaire de contrôler les opérations sur les fichiers.

       Si la case est cochée, Kaspersky Embedded Systems Security for Windows ignore les zones de surveillance reprises dans la liste des exclusions lors de l’exécution de la tâche Contrôle de l’intégrité des fichiers.

       Si la case est décochée, Kaspersky Embedded Systems Security for Windows enregistre les événements pour toutes les zones de surveillance définies.

       La case est décochée par défaut, la liste des exclusions est vide.

    2. Cliquez sur Ajouter.

       La fenêtre Exclusion de la zone d'application contrôlée.

    3. Cliquez sur le bouton Parcourir.

       La fenêtre standard de Microsoft Windows Rechercher le dossier s’ouvre.

    4. Sélectionnez un dossier ou un disque.
    5. Cliquez sur le bouton OK.

    Le dossier ou le disque spécifié s’affichera dans la liste des exclusions sous l’onglet Exclusions.

    Vous pouvez également ajouter manuellement des exclusions pour la zone de surveillance en utilisant des masques identiques à ceux employés pour définir les zones de surveillance des opérations sur les fichiers.

12. Cliquez sur le bouton Règle de surveillance des opérations sur les fichiers dans la fenêtre OK.

La règle de surveillance des opérations sur les fichiers configurée s’affiche dans la fenêtre Contrôle de l’intégrité des fichiers/Propriétés : Contrôle de l’intégrité des fichiers dans le bloc Zone de surveillance.