A Fájlintegritás-figyelő nem működik a figyelés hatókörének meghatározása nélkül. Ez azt jelenti, hogy meg kell adnia azon fájlok és mappák elérési útját, amelyek módosításait a Fájlintegritás-figyelő felügyelni fogja. Javasoljuk, hogy olyan objektumokat adjon meg, amelyeket ritkán módosítanak, vagy amelyekhez kizárólag a rendszergazdának van hozzáférése. Ezzel csökkentheti a Fájlintegritás-figyelő eseményeinek számát.
Az események számának csökkentése érdekében kizárásokat is hozzáadhat a megfigyelési szabályokhoz. A kizárási bejegyzések prioritása magasabb, mint a figyelési hatókör bejegyzéseinek. Előfordulhat például, hogy a szervezet egy olyan alkalmazást használ, amelynek a fájlintegritását meg szeretné figyelni. Ehhez hozzá kell adnia az alkalmazást tartalmazó mappához az elérési utat (például C:\Users\Testadmin\Desktop\Utilities). A naplófájlokat kizárhatja a figyelési szabályból, mert ezek a fájlok nincsenek hatással a rendszer biztonságára. Ezen felül az alkalmazás folyamatosan módosítja a naplófájlokat, amely nagyon sok hasonló esemény rögzítéséhez vezet. Ennek elkerüléséhez adja hozzá a naplófájlokat a kivételekhez (pl. C:\Users\Testadmin\Desktop\Utilities\*.log).
Nyissa meg a Kaspersky Security Center Adminisztrációs Konzolt.
A konzolfán válassza ki a Policies lehetőséget.
Válassza ki a szükséges rendszabályt, és kattintson duplán a házirend tulajdonságainak megnyitásához.
A szabályzat ablakában válassza a Biztonsági felügyelet → Fájlintegritás-figyelő lehetőséget.
Győződjön meg arról, hogy a Fájlintegritás-figyelő jelölőnégyzet be van jelölve.
A Figyelési szabályok részben kattintson a Hozzáadás gombra.
Ekkor megnyílik egy ablak, amelyben konfigurálhatja a figyelési szabályt:
Szabály neve. Adja meg a szabály nevét, például „A” alkalmazás figyelése.
Esemény súlyossági szintje. Válassza ki azon események súlyossági szintjét, amelyet a Fájlintegritás-figyelő naplózni fog: Tájékoztatás, Figyelmeztetés, Kritikus.
Figyelés hatóköre. Adja meg a mappa vagy fájl elérési útját.
A figyelés hatókörének konfigurálásakor győződjön meg arról, hogy a mappa vagy fájl elérési útja meghajtóbetűvel vagy rendszerkörnyezeti változóval kezdődik. Az alkalmazás nem támogatja a felhasználói környezeti változókat. Ha a mappa vagy fájl elérési útja helytelenül van megadva, a Kaspersky Endpoint Security nem adja hozzá a megadott figyelési hatókört.
maszkok használata:
A * (csillag) karakter, mely helyettesít bármely karaktert, kivéve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\*\*.txt maszk a minden olyan TXT kiterjesztésű fájlhoz vezető útvonalat magába foglal, mely a C: meghajtón lévő mappákban található (kivéve az almappák).
Két egymást követő * karakter bármely karakterhalmazt helyettesíthet (az üres halmazt is) a fájlban, beleértve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\Mappa\**\*.txt maszk a Mappa nevű mappában és az azon belüli mappákban található TXT kiterjesztésű fájlok összes elérési útját tartalmazza, kivéve magát a Mappát. A maszknak legalább egy beágyazási szintet kell tartalmaznia. A C:\**\*.txt maszk nem érvényes maszk.
A ? (kérdőjel) karakter, mely helyettesít bármely egyedülálló karaktert, kivéve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\Folder\???.txt maszk tartalmazni fogja a Mappa nevű mappában lévő összes olyan fájl elérési útvonalát, aminek TXT-kiterjesztése van és három karakterből áll.
Kizárások. Adja meg a mappa vagy fájl elérési útját. A Kaspersky Endpoint Security támogatja a környezeti változókat, és a * és ? karaktereket egy maszk megadásakor. A kizárási bejegyzések prioritása magasabb, mint a figyelési hatókör bejegyzéseinek.
Kattintson az OK gombra.
Az új szabály felkerül a figyelési szabályok listájára. A figyelési szabályt letilthatja anélkül, hogy eltávolítaná a szabályok listájáról. Ehhez törölje az objektum melletti jelölőnégyzet jelölését.
A Web Console fő ablakában válassza a Devices → Policies & Profiles lehetőséget.
Kattintson a Kaspersky Endpoint Security házirend nevére.
Megnyílik a rendszabályok tulajdonságai ablak.
Válassza ki az Application settings lapot.
Lépjen a Security Controls → File Integrity Monitor menübe.
Győződjön meg arról, hogy a File Integrity Monitor kapcsoló be van kapcsolva.
A Monitoring rules részben kattintson a Add gombra.
Ekkor megnyílik egy ablak, amelyben konfigurálhatja a figyelési szabályt:
Rule name. Adja meg a szabály nevét, például „A” alkalmazás figyelése.
Event severity level. Válassza ki azon események súlyossági szintjét, amelyet a Fájlintegritás-figyelő naplózni fog: Informational, Warning, Critical.
Monitoring scope. Adja meg a mappa vagy fájl elérési útját.
A figyelés hatókörének konfigurálásakor győződjön meg arról, hogy a mappa vagy fájl elérési útja meghajtóbetűvel vagy rendszerkörnyezeti változóval kezdődik. Az alkalmazás nem támogatja a felhasználói környezeti változókat. Ha a mappa vagy fájl elérési útja helytelenül van megadva, a Kaspersky Endpoint Security nem adja hozzá a megadott figyelési hatókört.
maszkok használata:
A * (csillag) karakter, mely helyettesít bármely karaktert, kivéve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\*\*.txt maszk a minden olyan TXT kiterjesztésű fájlhoz vezető útvonalat magába foglal, mely a C: meghajtón lévő mappákban található (kivéve az almappák).
Két egymást követő * karakter bármely karakterhalmazt helyettesíthet (az üres halmazt is) a fájlban, beleértve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\Mappa\**\*.txt maszk a Mappa nevű mappában és az azon belüli mappákban található TXT kiterjesztésű fájlok összes elérési útját tartalmazza, kivéve magát a Mappát. A maszknak legalább egy beágyazási szintet kell tartalmaznia. A C:\**\*.txt maszk nem érvényes maszk.
A ? (kérdőjel) karakter, mely helyettesít bármely egyedülálló karaktert, kivéve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\Folder\???.txt maszk tartalmazni fogja a Mappa nevű mappában lévő összes olyan fájl elérési útvonalát, aminek TXT-kiterjesztése van és három karakterből áll.
Exclusions. Adja meg a mappa vagy fájl elérési útját. A Kaspersky Endpoint Security támogatja a környezeti változókat, és a * és ? karaktereket egy maszk megadásakor. A kizárási bejegyzések prioritása magasabb, mint a figyelési hatókör bejegyzéseinek.
Kattintson az OK gombra.
Az új szabály felkerül a figyelési szabályok listájára. A figyelési szabályt letilthatja anélkül, hogy eltávolítaná a szabályok listájáról. Ehhez állítsa a mellette lévő kapcsolót kikapcsolt helyzetbe.
Az alkalmazásbeállítások ablakában válassza a Biztonsági felügyelet → Fájlintegritás-figyelő lehetőséget.
Győződjön meg arról, hogy a Fájlintegritás-figyelő kapcsoló be van kapcsolva.
A Figyelési szabályok részen kattintson a Szabályok konfigurálása gombra.
A Figyelési szabályok részben kattintson a Hozzáadás gombra.
Ekkor megnyílik egy ablak, amelyben konfigurálhatja a figyelési szabályt:
Szabály neve. Adja meg a szabály nevét, például „A” alkalmazás figyelése.
Esemény súlyossági szintje. Válassza ki azon események súlyossági szintjét, amelyet a Fájlintegritás-figyelő naplózni fog: Tájékoztatás, Figyelmeztetés, Kritikus.
Figyelés hatóköre. Adja meg a mappa vagy fájl elérési útját.
A figyelés hatókörének konfigurálásakor győződjön meg arról, hogy a mappa vagy fájl elérési útja meghajtóbetűvel vagy rendszerkörnyezeti változóval kezdődik. Az alkalmazás nem támogatja a felhasználói környezeti változókat. Ha a mappa vagy fájl elérési útja helytelenül van megadva, a Kaspersky Endpoint Security nem adja hozzá a megadott figyelési hatókört.
maszkok használata:
A * (csillag) karakter, mely helyettesít bármely karaktert, kivéve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\*\*.txt maszk a minden olyan TXT kiterjesztésű fájlhoz vezető útvonalat magába foglal, mely a C: meghajtón lévő mappákban található (kivéve az almappák).
Két egymást követő * karakter bármely karakterhalmazt helyettesíthet (az üres halmazt is) a fájlban, beleértve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\Mappa\**\*.txt maszk a Mappa nevű mappában és az azon belüli mappákban található TXT kiterjesztésű fájlok összes elérési útját tartalmazza, kivéve magát a Mappát. A maszknak legalább egy beágyazási szintet kell tartalmaznia. A C:\**\*.txt maszk nem érvényes maszk.
A ? (kérdőjel) karakter, mely helyettesít bármely egyedülálló karaktert, kivéve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\Folder\???.txt maszk tartalmazni fogja a Mappa nevű mappában lévő összes olyan fájl elérési útvonalát, aminek TXT-kiterjesztése van és három karakterből áll.
Kizárások. Adja meg a mappa vagy fájl elérési útját. A Kaspersky Endpoint Security támogatja a környezeti változókat, és a * és ? karaktereket egy maszk megadásakor. A kizárási bejegyzések prioritása magasabb, mint a figyelési hatókör bejegyzéseinek.
Kattintson az OK gombra.
Az új szabály felkerül a figyelési szabályok listájára. A figyelési szabályt letilthatja anélkül, hogy eltávolítaná a szabályok listájáról. Ehhez állítsa a mellette lévő kapcsolót kikapcsolt helyzetbe.
, 
, 
.
gombra.