Para que a Monitorização da integridade do sistema funcione, tem de adicionar, pelo menos, uma regra. A regra de Monitorização da integridade do sistema é um conjunto de critérios que definem o acesso dos utilizadores aos ficheiros e ao registo. A Monitorização da integridade do sistema deteta alterações nos ficheiros e no registo dentro do âmbito especificado da monitorização. O âmbito da monitorização é um dos critérios de uma regra da Monitorização da integridade do sistema.
A Monitorização da integridade do sistema permite monitorizar os seguintes objetos:
Considerações especiais envolvidas na monitorização de ficheiros
A Monitorização da integridade do sistema monitoriza alterações em ficheiros e pastas, bem como ficheiros que são adicionados ao âmbito de monitorização ou removidos dele. Estas alterações podem indicar uma violação de segurança do computador. Recomendamos que adicione objetos raramente modificados ou objetos aos quais apenas o administrador tem acesso. O que irá reduzir o número de eventos da Monitorização da integridade do sistema.
A Monitorização da integridade do sistema não monitoriza as alterações aos ficheiros nas pastas partilhadas do servidor. A Monitorização da integridade do sistema só pode ser utilizada localmente.
O Kaspersky Endpoint Security monitoriza as alterações de ficheiros e pastas apenas nos discos que estavam ligados quando a Monitorização da integridade do sistema em tempo real começou a funcionar. Se um disco não estiver ligado quando a Monitorização da integridade do sistema em tempo real começou a funcionar, a aplicação não irá monitorizar as alterações de ficheiros e pastas nesse disco, mesmo que os ficheiros e pastas sejam adicionados ao âmbito de monitorização.
Considerações especiais envolvidas na monitorização de registos
A Monitorização da integridade do sistema monitoriza o registo. Estas alterações podem indicar uma violação de segurança do computador.
A Monitorização da integridade do sistema monitoriza as seguintes chaves raiz do registo:
HKCRHKLMHKUHKCCHKEY_CLASSES_ROOTHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG (disponível apenas na Monitorização da integridade do sistema em tempo real)HKEY_CURRENT_USER (disponível apenas na Monitorização da integridade do sistema em tempo real)A tarefa Verificação de integridade do sistema não suporta a chave HKEY_CURRENT_USER. Pode especificar uma chave em HKEY_USERS como HKEY_USERS\<user profile ID>\<key>.
Considerações especiais envolvidas na monitorização de dispositivos externos
A Monitorização da integridade do sistema monitoriza a ligação e desativação de dispositivos externos. Isto é necessário para proteger o computador contra ameaças à segurança que podem resultar da troca de ficheiros com esses dispositivos. A Monitorização da integridade do sistema não monitoriza o acesso a dispositivos externos e não bloqueia a troca de ficheiros. Pode configurar o acesso aos dispositivos através de um componente de aplicação diferente, Controlo de Dispositivos.
Ao executar a tarefa Monitorização da integridade do sistema de linha de base, a aplicação ignora a nova ligação de dispositivos externos se os dispositivos tiverem a mesma letra de unidade no sistema operativo. Para serem registados, os dispositivos novamente ligados têm de ter letras de unidade diferentes.
A Monitorização da integridade do sistema monitoriza a ligação dos seguintes tipos de dispositivos externos: