Prüfung der Systemintegrität auf Befehl

Die Aufgabe zur Prüfung der Systemintegrität auf Befehl können Sie manuell oder nach einem Zeitplan ausführen. Wenn die Aufgabe Prüfung der Systemintegrität ausgeführt wird, vergleicht die App den aktuellen Status der Objekte, die zum Überwachungsbereich gehören, mit ihrem Baseline-Status. Im Gegensatz zur Echtzeitüberwachung der Systemintegrität können Sie mit der Aufgabe Prüfung der Systemintegrität die Anzahl der Ereignisse begrenzen und einen Gesamtbericht über die Änderungen im Betriebssystem erstellen.

Damit die Überwachung der Systemintegrität funktioniert, müssen Sie mindestens eine Regel hinzufügen. Eine Regel für die Überwachung der Systemintegrität ist eine Reihe von Kriterien, die den Zugriff von Benutzern auf Dateien und auf die Registrierung definieren. Die Überwachung der Systemintegrität erkennt Änderungen an Dateien und an der Registrierung innerhalb des angegebenen Überwachungsbereichs. Der Überwachungsbereich ist eines der Kriterien für eine Regel zur Überwachung der Systemintegrität. Sie können Regeln konfigurieren, die sowohl von der Echtzeitüberwachung der Systemintegrität als auch von der Aufgabe Prüfung der Systemintegrität verwendet werden, oder Sie können separate Regeln für die Aufgabe erstellen. Um eine Baseline zu erstellen, wendet Kaspersky Endpoint Security den Überwachungsbereich der Aufgabe Prüfung der Systemintegrität auf die Aufgabe Baseline-Update an.

Baseline erstellen und aktualisieren

Die Aufgabe Prüfung der Systemintegrität erfordert eine Baseline, damit sie funktioniert. Eine Baseline ist ein aufgezeichneter Zustand von Objekten im System, den die App beim Vergleich mit dem aktuellen Zustand als Referenz verwendet. Unterscheidet sich der aktuelle Systemstatus von dem in der Baseline aufgezeichneten Systemstatus, generiert Kaspersky Endpoint Security ein entsprechendes Ereignis. Sie können eine Baseline mithilfe der Aufgabe Baseline-Update erstellen oder aktualisieren.

Sie können die Baseline in den folgenden Modi aktualisieren:

So erstellen oder aktualisieren Sie eine Baseline über die Verwaltungskonsole (MMC)

So erstellen oder aktualisieren Sie eine Baseline über die Web Console

Überwachungsbereich für die Aufgabe Prüfung der Systemintegrität konfigurieren

Standardmäßig ist der Überwachungsbereich der Aufgabe Prüfung der Systemintegrität identisch mit dem Überwachungsbereich der Echtzeitüberwachung der Systemintegrität. Sie können einen anderen Überwachungsbereich für die Aufgabe konfigurieren.

So konfigurieren Sie über die Verwaltungskonsole (MMC) einen anderen Überwachungsbereich für die Aufgabe Prüfung der Systemintegrität

So konfigurieren Sie über die Web Console einen anderen Überwachungsbereich für die Aufgabe Prüfung der Systemintegrität

So konfigurieren Sie über die App-Benutzeroberfläche einen anderen Überwachungsbereich für die Aufgabe Prüfung der Systemintegrität

Einstellungen einer Regel für die Aufgabe Prüfung der Systemintegrität

Einstellung

Beschreibung

Regelname

Name der Regel für die Aufgabe Prüfung der Systemintegrität.

Signifikanz von Ereignissen

Kaspersky Endpoint Security protokolliert Dateiänderungsereignisse, wenn eine Datei oder ein Registrierungsschlüssel im Überwachungsbereich geändert wird. Es gibt folgende Prioritätsstufen für Ereignisse: Informativ Symbol für ein Informationsereignis., Warnung Symbol für ein Warnereignis., Kritisch Symbol für ein kritisches Ereignis..

Überwachungsbereich

  • Datei. Liste der Dateien und Ordner, die von der Komponente überwacht werden. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske.

    Verwenden Sie Masken:

    • Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
    • Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder befinden, unter Ausnahme des Ordners Folder selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
    • Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
  • Registrierung. Liste der Registrierungsschlüssel und -werte, die von der Komponente überwacht werden. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske.

Ausnahmen

  • Datei. Liste der Ausnahmen vom Überwachungsbereich. Kaspersky Endpoint Security unterstützt Umgebungsvariablen und die Zeichen * und ? bei der Eingabe einer Maske. Zum Beispiel C:\Folder\Application\*.log. Ausnahmeneinträge haben eine höhere Priorität als Einträge im Überwachungsbereich.

    Verwenden Sie Masken:

    • Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
    • Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung TXT, die sich in Ordnern innerhalb des Ordners Folder befinden, unter Ausnahme des Ordners Folder selbst. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
    • Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
  • Registrierung. Liste der Ausnahmen vom Überwachungsbereich. Kaspersky Endpoint Security unterstützt die Zeichen * und ? bei der Eingabe einer Maske. Ausnahmeneinträge haben eine höhere Priorität als Einträge im Überwachungsbereich.

Aufgabe Prüfung der Systemintegrität starten

Die Aufgabe Prüfung der Systemintegrität ermöglicht es, Dateien oder Registrierungsschlüssel auf Änderungen zu überprüfen und das Verbinden externer Geräte zu überprüfen. Um Dateien auf Änderungen zu überprüfen, können Sie die Aufgabe Prüfung der Systemintegrität in den folgenden Modi ausführen:

Der Ausführungsmodus der Aufgabe hat keinen Einfluss auf die Überprüfung der Registrierung oder externer Geräte.

So führen Sie die Aufgabe Prüfung der Systemintegrität über die Verwaltungskonsole (MMC) aus

So führen Sie die Aufgabe Prüfung der Systemintegrität über die Web Console aus

Damit die Aufgabe Prüfung der Systemintegrität erfolgreich abgeschlossen werden kann, muss der Überwachungsbereich der Aufgabe Prüfung der Systemintegrität vollständig mit der Baseline übereinstimmen. Wenn sich der Überwachungsbereich unterscheidet, wird die Aufgabe mit einem Fehler beendet. Um die Überwachungsbereiche zu synchronisieren, führen Sie die Aufgabe Baseline-Update mit einem neuen Überwachungsbereich aus.

Nach oben