為了使系統完整性監控正常運作,您必須新增至少一個規則。系統完整性監控規則是定義使用者對檔案和登錄檔的存取權限的一組標準。系統完整性監控可偵測指定監控範圍內檔案和登錄檔的變更。監控範圍是系統完整性監控規則的標準之一。
系統完整性監控允許監控以下物件:
檔案監控涉及的特殊注意事項
系統完整性監控監控檔案和資料夾的變更以及被新增至監控範圍或從監控範圍中刪除的檔案。這些變更可能表明有電腦安全入侵。我們建議新增很少修改的物件或者只有管理員有權存取的物件。這有助於減少系統完整性監控事件數量。
系統完整性監控不會監控伺服器共用資料夾中檔案的變更。系統完整性監控只能在本機使用。
Kaspersky Endpoint Security 僅監控即時系統完整性監控開始運行時連線的磁碟上的檔案和資料夾的變更。如果即時系統完整性監控開始運行時未連線磁碟,則即使檔案和資料夾已新增至監控範圍,應用程式也不會監控該磁碟上的檔案和資料夾的變更。
登錄檔監控涉及的特殊注意事項
系統完整性監控監控登錄檔。這些變更可能表明有電腦安全入侵。
系統完整性監控監控登錄的以下根鍵:
HKCRHKLMHKUHKCCHKEY_CLASSES_ROOTHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIG(僅在即時系統完整性監控中可用)HKEY_CURRENT_USER(僅在即時系統完整性監控中可用)系統完整性檢查工作不支援 HKEY_CURRENT_USER 金鑰。您可以在下面指定 HKEY_USERS 下面的一個鍵作為 HKEY_USERS\<user profile ID>\<key>。
外部裝置監控涉及的特殊注意事項
系統完整性監控監控外部裝置的連線和斷開連線。為了防護電腦免受因與此類裝置交換檔案而導致的安全威脅,這樣很有必要。系統完整性監控不會監控對外部裝置的存取,也不會封鎖檔案交換。您可以使用不同的應用程式元件裝置控制配置對裝置的存取。
執行基線系統完整性監控工作時,如果外部裝置在作業系統中具有相同的磁碟機字母,應用程式將忽略其重新連線。若要進行記錄,重新連線的裝置必須具有不同的磁碟機字母。
系統完整性監控監控以下類型外部裝置的連線: