編輯監控範圍
沒有指定監控範圍,則檔案完整性監控無法工作。這意味著您必須指定檔案完整性監控將控制其變更的檔案和資料夾的路徑。我們建議新增很少修改的物件或者只有管理員有權存取的物件。這將減少檔案完整性監控事件數量。
為了減少事件數量,您也可以新增排除項目到監控規則。排除項目比監控範圍項目具有更高的優先順序。例如,組織使用您想要監控其檔案的完整性的應用程式。為此,您需要用應用程式新增資料夾路徑(例如,C:\Users\Testadmin\Desktop\Utilities)。您可以將記錄檔案從監控規則中排除,因為此類檔案不影響系統安全。此外,應用程式會不斷修改記錄檔案,因此產生大量類似事件。為了避免這種情況,請將記錄檔案新增到例外(例如,C:\Users\Testadmin\Desktop\Utilities\*.log)。
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“安全控制 → 檔案完整性監控”。
- 請確保選中檔案完整性監控核取方塊。
- 在”監控規則”塊中,點擊”新增”按鈕。
- 這會開啟一個視窗;在該視窗中,配置監控規則:
- 規則名稱輸入規則名稱,例如監控應用程式 A。
- 事件嚴重性級別選擇檔案完整性監控將記錄的事件嚴重程度級別:資訊
,警告 
,緊急 
。 - 監控範圍輸入資料夾或者檔案路徑。
當配置監控範圍時,請確保資料夾或者檔案路徑以磁碟機字母或者系統環境變數開始。應用程式不支援使用者環境變數。如果資料夾或者檔案路徑未正確指定,Kaspersky Endpoint Security 將不新增指定的監控範圍。
使用遮罩:
*(星號)字元代表任意一組字元,但\和/字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩“C:\*\*.txt”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。- 兩個連續
*字元在檔案或資料夾名稱中代表任意一組字元(包括空集),包括\和/字元(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩C:\Folder\**\*.txt將包括位於巢嵌在Folder內的資料夾(Folder自身除外)中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩C:\**\*.txt不是有效遮罩。 ?(問號)字元代表任意單個字元,但\和/字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩C:\Folder\???.txt將包括位於Folder資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。
- 排除項目輸入資料夾或者檔案路徑。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。排除項目比監控範圍項目具有更高的優先順序。
- 點擊“確定”。
一個新規則被新增到監控規則清單。您可以停用監控規則而無需從規則清單中刪除它。為此,請清除物件旁邊的核取方塊。
- 儲存變更。
- 在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”安全控制”→”檔案完整性監控”。
- 請確保檔案完整性監控開關已開啟。
- 在”監控規則”塊中,點擊”新增”按鈕。
- 這會開啟一個視窗;在該視窗中,配置監控規則:
- 規則名稱輸入規則名稱,例如監控應用程式 A。
- 事件嚴重性級別選擇檔案完整性監控將記錄的事件嚴重程度級別:資訊 ,警告 ,緊急 。
- 監控範圍輸入資料夾或者檔案路徑。
當配置監控範圍時,請確保資料夾或者檔案路徑以磁碟機字母或者系統環境變數開始。應用程式不支援使用者環境變數。如果資料夾或者檔案路徑未正確指定,Kaspersky Endpoint Security 將不新增指定的監控範圍。
使用遮罩:
*(星號)字元代表任意一組字元,但\和/字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩“C:\*\*.txt”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。- 兩個連續
*字元在檔案或資料夾名稱中代表任意一組字元(包括空集),包括\和/字元(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩C:\Folder\**\*.txt將包括位於巢嵌在Folder內的資料夾(Folder自身除外)中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩C:\**\*.txt不是有效遮罩。 ?(問號)字元代表任意單個字元,但\和/字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩C:\Folder\???.txt將包括位於Folder資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。
- 排除項目輸入資料夾或者檔案路徑。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。排除項目比監控範圍項目具有更高的優先順序。
- 點擊“確定”。
一個新規則被新增到監控規則清單。您可以停用監控規則而無需從規則清單中刪除它。為此,將它旁邊的切換開關設為關閉位置。
- 儲存變更。
- 在“應用程式主視窗”中,點擊
按鈕。 - 在應用程式設定視窗中,選取”安全控制“→“檔案完整性監控”。
- 請確保檔案完整性監控開關已開啟。
- 在“監控規則”塊中, 點擊“設定規則”。
- 在”監控規則”塊中,點擊”新增”按鈕。
- 這會開啟一個視窗;在該視窗中,配置監控規則:
- 規則名稱輸入規則名稱,例如監控應用程式 A。
- 事件嚴重性級別選擇檔案完整性監控將記錄的事件嚴重程度級別:資訊 ,警告 ,緊急 。
- 監控範圍輸入資料夾或者檔案路徑。
當配置監控範圍時,請確保資料夾或者檔案路徑以磁碟機字母或者系統環境變數開始。應用程式不支援使用者環境變數。如果資料夾或者檔案路徑未正確指定,Kaspersky Endpoint Security 將不新增指定的監控範圍。
使用遮罩:
*(星號)字元代表任意一組字元,但\和/字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩“C:\*\*.txt”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。- 兩個連續
*字元在檔案或資料夾名稱中代表任意一組字元(包括空集),包括\和/字元(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩C:\Folder\**\*.txt將包括位於巢嵌在Folder內的資料夾(Folder自身除外)中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩C:\**\*.txt不是有效遮罩。 ?(問號)字元代表任意單個字元,但\和/字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩C:\Folder\???.txt將包括位於Folder資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。
- 排除項目輸入資料夾或者檔案路徑。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及
*和?字元。排除項目比監控範圍項目具有更高的優先順序。
- 單擊“確定”。
一個新規則被新增到監控規則清單。您可以停用監控規則而無需從規則清單中刪除它。為此,將它旁邊的切換開關設為關閉位置。
- 儲存變更。