Настройка параметров перехвата системных событий

Для полноценной работы приложение должно использовать перехват системных событий – файловых операций и запуска процессов. Если приложение не использует перехват системных событий, проверка файлов в режиме реального времени не выполняется, уровень защиты устройства снижается.

Если операционная система на устройстве поддерживает технологию fanotify, вы можете выбрать, какой механизм приложение должно использовать для перехвата системных событий:

• Механизм перехвата на основе обновляемого модуля ядра. Использование обновляемого модуля ядра позволяет оптимизировать перехват запуска процессов приложением Kaspersky Endpoint Security. Обновляемый модуль ядра входит в комплект поставки приложения.
• Системный механизм перехвата на основе технологии fanotify. Этот механизм используется по умолчанию.

Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, обновляемый модуль ядра не поддерживается.

Для операционных систем, не поддерживающих технологию fanotify, выбор механизма перехвата недоступен. Приложение использует для перехвата системных событий специальный модуль ядра для защиты от файловых угроз. Этот модуль автоматически компилируется при запуске Защиты от файловых угроз при наличии необходимых пакетов и утилит компиляции.

Приложение может использовать механизм перехвата на основе обновляемого модуля ядра, если операционная система соответствует требованиям для установки обновляемого модуля ядра.

Вы можете проверить соответствие вашего устройства требованиям для установки обновляемого модуля ядра с помощью утилиты Kaspersky ULKM tool.

Вы можете установить обновляемый модуль ядра в ходе установки приложения или позже, в результате получения обновлений, обеспечивающих поддержку обновляемого модуля ядра. После установки приложения вы можете выбирать используемый механизм перехвата системных событий в Web Console, в Консоли администрирования или в командной строке.

Если вы выбрали механизм перехвата на основе обновляемого модуля ядра, вы можете настроить поведение приложения в случае, если при запуске обновляемого модуля ядра происходит ошибка, и модуль не запускается. В этом случае приложение может перейти к использованию технологии fanotify для перехвата системных событий или выключить перехват системных событий.

Приложение может перейти к использованию обновляемого модуля ядра в следующих ситуациях:

• Если вы изменили механизм перехвата системных событий в параметрах приложения на обновляемый модуль ядра.
• Если на устройстве, где обновляемый модуль ядра не запускался, в ходе обновления баз и модулей получены обновления, обеспечивающие поддержку обновляемого модуля ядра.

Для корректной работы приложения требуется, чтобы переход к использованию обновляемого модуля ядра выполнялся после автоматического перезапуска приложения.

Вы можете просматривать информацию о состоянии и доступности обновляемого модуля ядра на устройстве:

• В Web Console или в Консоли администрирования с помощью статуса функционального компонента Обновляемый модуль ядра.
• В командной строке в выводе команды kesl-control --app-info.

Информация о состоянии обновляемого модуля ядра отображается в виде статусов:

• Запущен – модуль установлен и работает.
• Остановлен – модуль установлен, но не работает.
• Недоступен – модуль не поддерживается на устройстве.
• Ошибка в работе – произошла ошибка при запуске модуля, модуль не работает.

В этом разделе Проверка возможности установки обновляемого модуля ядра "Безопасный" режим при использовании обновляемого модуля ядра Настройка параметров перехвата в Web Console Настройка параметров перехвата в Консоли администрирования Настройка параметров перехвата в командной строке

В начало