建立並設定檔案操作監控規則
若要使用管理外掛程式建立和設定檔案操作監控規則:
- 展開卡巴斯基安全管理中心管理主控台樹狀目錄中的“受管理裝置”節點。
- 選擇要為其配置應用程式設定的管理群組。
- 在選定的管理群組的詳情視窗中執行以下之一操作:
- 要為一組受防護裝置配置應用程式設定,請選擇“政策”標籤,然後開啟“內容:<政策名稱>”視窗。
- 若要為個別受防護裝置設定工作或應用程式的設定,請選擇裝置標籤並前往本機工作設定或應用程式設定。
- 執行以下操作之一:
- 如果您要在政策中建立檔案操作監控規則,請在系統稽核區塊的檔案完整性監控部分中,按一下設定按鈕。
檔案完整性監控視窗會在檔案操作監控設定標籤上開啟。
- 如果您要為本機工作建立檔案操作監控規則,請在屬性:檔案完整性監控視窗中,前往設定部分。
- 如果您要在政策中建立檔案操作監控規則,請在系統稽核區塊的檔案完整性監控部分中,按一下設定按鈕。
- 在監控範圍區塊中,按一下新增按鈕。
將顯示“檔案操作監控規則”視窗。
- 透過以下方式之一新增檔案操作監控範圍:
- 如果要透過標準的 Microsoft Windows 對話方塊來選擇資料夾或磁碟機:
- 點擊“瀏覽”按鈕。
將顯示標準的 Microsoft Windows“瀏覽資料夾”視窗。
- 選擇要監控其檔案操作的資料夾。
- 點擊“確定”按鈕。
- 點擊“瀏覽”按鈕。
- 如果想要手動指定監控範圍,請使用支援的遮罩新增路徑:
- <*.ext> — 帶有 <ext> 副檔名的所有檔案,與其位置無關
- <*\name.ext> — 帶有 <name> 名稱和 <ext> 副檔名的所有檔案,與其位置無關
- <\dir\*> — 位於 <\dir> 資料夾中的所有檔案
- <\dir\*\name.ext> — <\dir> 資料夾及其所有子資料夾中帶有 <name> 名稱和 <ext> 副檔名的所有檔案
當手動指定監控範圍時,請確保路徑為以下格式:<卷字母>:\<遮罩>。如果缺少磁區字母,則 Kaspersky Embedded Systems Security for Windows 將不會新增指定的監控範圍。
- 如果要透過標準的 Microsoft Windows 對話方塊來選擇資料夾或磁碟機:
- 如有必要,指定受信任使用者:
- 在受信任使用者索引標籤上的新增按鈕的內容功能表中,選擇新增受信任使用者的方法。
將會開啟使用者或使用者群組選項視窗。
- 選擇在選定監控範圍中允許其檔案操作的使用者或群組。
- 點擊“確定”按鈕。
預設情況下,Kaspersky Embedded Systems Security for Windows 將未列入受信任使用者清單的所有使用者視為不受信任,並為他們產生嚴重事件。針對受信任使用者,將編譯統計資料。
- 在受信任使用者索引標籤上的新增按鈕的內容功能表中,選擇新增受信任使用者的方法。
- 在檔案操作標記索引標籤上,如有必要,指定要監控的檔案操作標記:
- 選擇“根據以下標記偵測檔案操作”選項。
- 在可用檔案操作清單中,選中要監控的操作旁邊的核取方塊。
預設情況下,Kaspersky Embedded Systems Security for Windows 會偵測所有檔案操作標記。選擇根據所有可辨識的標記偵測檔案操作選項。
- 如果您希望應用程式封鎖所選範圍的所有檔案操作,請選取在所選區域中偵測並封鎖所有檔案操作核取方塊。
- 如果您希望應用程式在修改檔案後計算其總和檢查碼:
- 選取如果可能,計算檔案的核對總和。該核對總和將可在工作記錄中檢視核取方塊。
- 在“核對總和類型”下拉清單中,選擇以下選項之一:
- MD5 雜湊
- SHA256 雜湊。
- 如有必要,請新增要從所選檔案操作監控範圍中排除的資料夾或磁碟機:
- 在排除索引標籤上,選擇從控制中排除以下資料夾核取方塊。
- 點擊“新增”按鈕。
將開啟從控制範圍中排除視窗。
- 按一下瀏覽按鈕。
將顯示標準的 Microsoft Windows“瀏覽資料夾”視窗。
- 選擇一個資料夾或磁碟機。
- 點擊“確定”按鈕。
指定的資料夾或磁碟機將顯示在排除索引標籤上的排除清單中。
您也可以使用與用於指定檔案操作監控範圍相同的遮罩,手動新增檔案操作監控範圍排除內容。
- 在確定視窗中按一下檔案操作監控規則按鈕。
已設定的檔案操作監控規則顯示在檔案完整性監控視窗 / 屬性:檔案完整性監控,這位於監控範圍區塊中。