编辑监控范围
没有指定的监控范围,文件完整性监控无法工作。这意味着您必须指定文件完整性监控将控制其更改的文件和文件夹的路径。我们建议添加很少修改的对象或只有管理员才能访问的对象。这将减少文件完整性监控事件的数量。
为了减少事件的数量,您还可以向监控规则中添加排除项。排除项的优先级高于监控范围。例如,组织使用一个应用程序,您要监控其文件的完整性。为此,需要将路径添加到应用程序所在的文件夹中(例如,C:\Users\Testadmin\Desktop\Utilities)。您可以从监控规则中排除日志文件,因为此类文件不会影响系统安全性。此外,应用程序不断修改日志文件,这会导致大量类似事件。为了避免这种情况,请将日志文件添加到异常中(例如,C:\Users\Testadmin\Desktop\Utilities\*.log)。
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 安全控制 → 文件完整性监控。
- 确保“文件完整性监控”复选框被选中。
- 在“监控规则”块中单击“添加”按钮。
- 这打开了一个窗口;在该窗口中,配置监控规则:
- “规则名称”。输入规则名称,例如“监控应用程序 A”。
- “事件严重级别”。选择文件完整性监控将记录的事件严重性级别:信息
、警告 
、关键 
。 - “监控范围”。输入文件夹或文件的路径。
配置监控范围时,请确保文件夹或文件的路径以驱动器号或系统环境变量开头。应用程序不支持用户环境变量。如果文件夹或文件的路径指定不正确,Kaspersky Endpoint Security 将不会添加指定的监控范围。
使用掩码:
*(星号)字符代表任意一组字符,但\和/字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\*\*.txt将包括位于 C: 驱动器的文件夹(但不包括子文件夹)中所有具有 TXT 扩展名的文件的路径。- 两个连续
*字符在文件或文件夹名称中代表任意一组字符(包括空集),包括\和/字符(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\Folder\**\*.txt将包括位于Folder嵌套子文件夹(除了Folder本身)中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码C:\**\*.txt不是有效掩码。 ?(问号)字符代表任意单个字符,但\和/字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\Folder\???.txt将包括位于Folder文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。
- “排除项”。输入文件夹或文件的路径。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
*以及?字符。排除项的优先级高于监控范围。
- 单击“确定”。
新规则被添加到监控规则列表中。您可以禁用监控规则,而无需将其从规则列表中删除。为此,清空对象旁边的复选框。
- 保存更改。
- 在 Web Console 的主窗口中,选择“设备” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 安全控制 → 文件完整性监控。
- 确保“文件完整性监控”开关已开启。
- 在“监控规则”块中单击“添加”按钮。
- 这打开了一个窗口;在该窗口中,配置监控规则:
- “规则名称”。输入规则名称,例如“监控应用程序 A”。
- “事件严重级别”。选择文件完整性监控将记录的事件严重性级别:信息 、警告 、关键 。
- “监控范围”。输入文件夹或文件的路径。
配置监控范围时,请确保文件夹或文件的路径以驱动器号或系统环境变量开头。应用程序不支持用户环境变量。如果文件夹或文件的路径指定不正确,Kaspersky Endpoint Security 将不会添加指定的监控范围。
使用掩码:
*(星号)字符代表任意一组字符,但\和/字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\*\*.txt将包括位于 C: 驱动器的文件夹(但不包括子文件夹)中所有具有 TXT 扩展名的文件的路径。- 两个连续
*字符在文件或文件夹名称中代表任意一组字符(包括空集),包括\和/字符(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\Folder\**\*.txt将包括位于Folder嵌套子文件夹(除了Folder本身)中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码C:\**\*.txt不是有效掩码。 ?(问号)字符代表任意单个字符,但\和/字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\Folder\???.txt将包括位于Folder文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。
- “排除项”。输入文件夹或文件的路径。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
*以及?字符。排除项的优先级高于监控范围。
- 单击“确定”。
新规则被添加到监控规则列表中。您可以禁用监控规则,而无需将其从规则列表中删除。为此,请将其旁边的切换开关设置为关闭位置。
- 保存更改。
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“安全控制” → “文件完整性监控”。
- 确保“文件完整性监控”开关已开启。
- 在监控规则块,单击配置规则。
- 在“监控规则”块中单击“添加”按钮。
- 这打开了一个窗口;在该窗口中,配置监控规则:
- “规则名称”。输入规则名称,例如“监控应用程序 A”。
- “事件严重级别”。选择文件完整性监控将记录的事件严重性级别:信息 、警告 、关键 。
- “监控范围”。输入文件夹或文件的路径。
配置监控范围时,请确保文件夹或文件的路径以驱动器号或系统环境变量开头。应用程序不支持用户环境变量。如果文件夹或文件的路径指定不正确,Kaspersky Endpoint Security 将不会添加指定的监控范围。
使用掩码:
*(星号)字符代表任意一组字符,但\和/字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\*\*.txt将包括位于 C: 驱动器的文件夹(但不包括子文件夹)中所有具有 TXT 扩展名的文件的路径。- 两个连续
*字符在文件或文件夹名称中代表任意一组字符(包括空集),包括\和/字符(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\Folder\**\*.txt将包括位于Folder嵌套子文件夹(除了Folder本身)中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码C:\**\*.txt不是有效掩码。 ?(问号)字符代表任意单个字符,但\和/字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码C:\Folder\???.txt将包括位于Folder文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。
- “排除项”。输入文件夹或文件的路径。当输入掩码时,Kaspersky Endpoint Security 支持环境变量和
*以及?字符。排除项的优先级高于监控范围。
- 单击“确定”。
新规则被添加到监控规则列表中。您可以禁用监控规则,而无需将其从规则列表中删除。为此,请将其旁边的切换开关设置为关闭位置。
- 保存更改。