A Rendszerintegritás-figyelő működéséhez hozzá kell adni legalább egy szabályt. A Rendszerintegritás-figyelői szabály egy olyan feltételkészlet, amely meghatározza a felhasználók fájlokhoz és beállításjegyzékhez való hozzáférését. A Rendszerintegritás-figyelő észleli a fájlok és a beállításjegyzék módosításait a megadott figyelési hatókörben. A figyelési hatókör a Rendszerintegritás-figyelő szabályainak egyik feltétele.
A Rendszerintegritás-figyelő a következő objektumok megfigyelését teszi lehetővé:
A fájlfigyeléssel kapcsolatos különleges szempontok
A Rendszerintegritás-figyelő figyeli a fájlok és mappák változásait, valamint a figyelési hatókörhöz hozzáadott vagy onnan eltávolított fájlokat. Ezek a változtatások arra utalhatnak, hogy egy támadó sikeresen átjutott a számítógép védelmén. Javasoljuk, hogy olyan objektumokat adjon meg, amelyeket ritkán módosítanak, vagy amelyekhez kizárólag a rendszergazdának van hozzáférése. Ez segít csökkenteni a Rendszerintegritás-figyelő eseményeinek számát.
A Kaspersky Endpoint Security csak azokon a lemezeken figyeli a fájlok és mappák változásait, amelyek a valós idejű Rendszerintegritás-figyelő működésének megkezdésekor csatlakoztatva voltak. Ha nem volt lemez csatlakoztatva, amikor a valós idejű Rendszerintegritás-figyelő működése megkezdődött, az alkalmazás akkor sem figyeli a fájlok és mappák változásait a lemezen, ha a fájlok és mappák hozzá vannak adva a figyelési hatókörhöz.
A beállításjegyzék-figyeléssel kapcsolatos különleges szempontok
A Rendszerintegritás-figyelő figyeli a beállításjegyzéket. Ezek a változtatások arra utalhatnak, hogy egy támadó sikeresen átjutott a számítógép védelmén.
A Rendszerintegritás-figyelő a beállításjegyzék következő fő kulcsait figyeli:
HKCRHKLMHKUHKCCHKEY_CLASSES_ROOTHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIGA Rendszerintegritás-figyelő nem támogatja a HKEY_CURRENT_USER kulcsot. Megadhat egy kulcsot a HKEY_USERS alatt mint HKEY_USERS\<felhasználói profil azonosítója>\<kulcs>.
Külső eszközök figyelésével kapcsolatos különleges szempontok
A Rendszerintegritás-figyelő figyeli a külső eszközök csatlakoztatását és leválasztását. Erre azért van szükség, hogy megvédje a számítógépet az ilyen eszközökkel való fájlcseréből eredő biztonsági fenyegetésektől. A Rendszerintegritás-figyelő nem figyeli a külső eszközökhöz való hozzáférést, és nem blokkolja a fájlcserét. Az eszközök elérését egy másik alkalmazás-összetevő, a Eszközfelügyelő használatával is konfigurálhatja.
A Rendszerintegritás-figyelő az alábbi típusú külső eszközök csatlakoztatását figyeli: