O monitor de integridade do sistema permite rastrear alterações no sistema operacional em tempo real. É possível rastrear as alterações que podem indicar violações de segurança no computador. O componente permite bloquear essas alterações ou simplesmente registrar os eventos de alteração.
Para que o monitor de integridade do sistema funcione, é necessário adicionar pelo menos uma regra. A regra do monitor de integridade do sistema é um conjunto de critérios que definem o acesso dos usuários aos arquivos e ao registro. O monitor de integridade do sistema detecta alterações nos arquivos e no registro dentro do escopo de monitoramento. O escopo de monitoramento é um dos critérios de uma regra do monitor de integridade do sistema.
Modos do monitor de integridade do sistema em tempo real
Para garantir que as regras do monitor de integridade do sistema não bloqueiem nenhuma ação com recursos críticos para o funcionamento do sistema operacional ou outros serviços, recomendamos ativar o modo de teste e analisar como o componente afeta o sistema. Com o modo de teste ativado, o Kaspersky Endpoint Security não bloqueia a atividade do usuário proibida pelas regras, em vez disso, gera eventos Aviso.
O componente monitor de integridade do sistema em tempo real tem dois modos:
Proteger o sistema contra as alterações feitas por regras
Neste modo, o monitor de integridade do sistema rastreia as alterações no sistema e executa uma ação de acordo com as regras: Permitir ou Bloquear. O monitor de integridade do sistema também gera um evento correspondente e altera o status do dispositivo no console do Kaspersky Security Center.
Modo de teste: não bloquear, apenas registrar
Neste modo, o monitor de integridade do sistema permite executar ações com arquivos e chaves do registro do escopo de monitoramento. Se a ação com os arquivos ou o registro for proibida, o aplicativo gerará um evento: The prohibited operation was allowed in test mode. Para analisar como as regras afetam o sistema, basta consultar os relatórios.
Ativação do monitoramento da integridade do sistema em tempo real
Abra o Console de Administração do Kaspersky Security Center.
Na árvore do console, selecione Políticas.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela da política, selecione Controles de Segurança → Monitor de integridade do sistema.
Marque a caixa de seleção Monitor de integridade do sistema.
Em Modo operacional, selecione um modo para o monitor de integridade do sistema em tempo real:
Proteger o sistema contra as alterações feitas por regras. Neste modo, o monitor de integridade do sistema bloqueia as ações com arquivos e chaves do registro do escopo de monitoramento e gera um evento correspondente.
Modo de teste: não bloquear, apenas registrar. Neste modo, o monitor de integridade do sistema permite executar ações com arquivos e chaves do registro do escopo de monitoramento e gera um evento correspondente.
No bloco Monitor de integridade do sistema em tempo real, marque a caixa de seleção Monitor de integridade do sistema em tempo real.
Configure o monitoramento de dispositivos externos:
Marque a caixa de seleção Monitor de dispositivos.
Na lista suspensa Nível de importância do evento, selecione o nível de importância dos eventos de monitoramento do dispositivo externo: Informativo, Aviso, Crítico.
O monitor de integridade do sistema registra a conexão atual dos dispositivos externos. O aplicativo começa a monitorar a conexão e desconexão dos dispositivos externos depois que o componente é ativado nas configurações do aplicativo. Depois, quando um dispositivo externo é conectado ou desconectado, o aplicativo gera um evento correspondente.
Configure o monitoramento de arquivos e registros:
Marque a caixa de seleção Monitor de arquivos e registro.
Clique Configurações.
Isso abre a lista de regras do monitor de integridade do sistema.
É possível exportar a lista de regras do monitor de integridade do sistema para um arquivo XML. Em seguida, será possível modificar o arquivo para, por exemplo, adicionar um grande número de regras do mesmo tipo. É possível usar a função de exportar/importar para fazer backup da lista de regras do monitor de integridade do sistema ou para migrar a lista para um servidor diferente.
Abra o Console de Administração do Kaspersky Security Center.
Na árvore do console, selecione Políticas.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela da política, selecione Controles de Segurança → Monitor de integridade do sistema.
Para exportar ou importar as regras do monitor de integridade do sistema em tempo real:
No bloco Monitor de integridade do sistema em tempo real, clique no botão Configurações.
Para exportar uma lista de regras do monitor de integridade do sistema em tempo real:
Selecione as regras que deseja exportar. Para selecionar várias portas, use as teclas CTRL ou SHIFT.
Se você não selecionou nenhuma regra, o Kaspersky Endpoint Security exportará todas as regras.
Clique no link Exportar.
Na janela exibida, especifique o nome do arquivo XML para o qual você quer exportar a lista de regras e selecione a pasta na qual você quer salvar esse arquivo.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta toda a lista de regras para o arquivo XML.
Para importar uma lista de regras do monitor de integridade do sistema em tempo real:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Para exportar ou importar as regras de verificação de integridade do sistema:
No bloco Verificação de integridade do sistema, selecione Configurações personalizadas.
Clique Configurações.
Para exportar a lista de regras de verificação de integridade do sistema:
Selecione as regras que deseja exportar. Para selecionar várias portas, use as teclas CTRL ou SHIFT.
Se você não selecionou nenhuma regra, o Kaspersky Endpoint Security exportará todas as regras.
Clique no link Exportar.
Na janela exibida, especifique o nome do arquivo XML para o qual você quer exportar a lista de regras e selecione a pasta na qual você quer salvar esse arquivo.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta toda a lista de regras para o arquivo XML.
Para importar uma lista de regras de verificação de integridade do sistema:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
Selecione a guia Configurações do aplicativo.
Selecione Controles de Segurança → Monitor de integridade do sistema.
Para exportar ou importar as regras do monitor de integridade do sistema em tempo real:
No bloco Monitor de integridade do sistema em tempo real, clique no botão Configurar.
Para exportar uma lista de regras do monitor de integridade do sistema em tempo real:
Selecione as regras que deseja exportar.
Clique Exportar.
Confirme se deseja exportar apenas as regras selecionadas ou exportar a lista inteira.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta a lista de regras para um arquivo XML na pasta de downloads padrão.
Para importar uma lista de regras do monitor de integridade do sistema em tempo real:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Para exportar ou importar as regras de verificação de integridade do sistema:
No bloco Verificação de integridade do sistema, selecione Configurações personalizadas.
Clique Configurar.
Para exportar a lista de regras de verificação de integridade do sistema:
Selecione as regras que deseja exportar.
Clique Exportar.
Confirme se deseja exportar apenas as regras selecionadas ou exportar a lista inteira.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta a lista de regras para um arquivo XML na pasta de downloads padrão.
Para importar uma lista de regras de verificação de integridade do sistema:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Salvar alterações.
Configure a regra do monitor de integridade do sistema em tempo real (consulte a tabela abaixo).
Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
Selecione a guia Configurações do aplicativo.
Selecione Controles de Segurança → Monitor de integridade do sistema.
Ative o botão de alternância Monitor de integridade do sistema.
Em Modo operacional, selecione um modo para o monitor de integridade do sistema em tempo real:
Proteger o sistema contra as alterações feitas por regras. Neste modo, o monitor de integridade do sistema bloqueia as ações com arquivos e chaves do registro do escopo de monitoramento e gera um evento correspondente.
Modo de teste: não bloquear, apenas registrar. Neste modo, o monitor de integridade do sistema permite executar ações com arquivos e chaves do registro do escopo de monitoramento e gera um evento correspondente.
No bloco Monitor de integridade do sistema em tempo real, marque a caixa de seleção Usar configurações do Monitor de integridade do sistema em tempo real.
Configure o monitoramento de dispositivos externos:
Marque a caixa de seleção Monitor de dispositivos.
Na lista suspensa Nível de gravidade do evento, selecione o nível de importância dos eventos de monitoramento do dispositivo externo: Informativo, Aviso, Crítico.
O monitor de integridade do sistema registra a conexão atual dos dispositivos externos. O aplicativo começa a monitorar a conexão e desconexão dos dispositivos externos depois que o componente é ativado nas configurações do aplicativo. Depois, quando um dispositivo externo é conectado ou desconectado, o aplicativo gera um evento correspondente.
Configure o monitoramento de arquivos e registros:
Marque a caixa de seleção Monitorar arquivos e o registro.
Clique Configurar.
Isso abre a lista de regras do monitor de integridade do sistema.
É possível exportar a lista de regras do monitor de integridade do sistema para um arquivo XML. Em seguida, será possível modificar o arquivo para, por exemplo, adicionar um grande número de regras do mesmo tipo. É possível usar a função de exportar/importar para fazer backup da lista de regras do monitor de integridade do sistema ou para migrar a lista para um servidor diferente.
Abra o Console de Administração do Kaspersky Security Center.
Na árvore do console, selecione Políticas.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela da política, selecione Controles de Segurança → Monitor de integridade do sistema.
Para exportar ou importar as regras do monitor de integridade do sistema em tempo real:
No bloco Monitor de integridade do sistema em tempo real, clique no botão Configurações.
Para exportar uma lista de regras do monitor de integridade do sistema em tempo real:
Selecione as regras que deseja exportar. Para selecionar várias portas, use as teclas CTRL ou SHIFT.
Se você não selecionou nenhuma regra, o Kaspersky Endpoint Security exportará todas as regras.
Clique no link Exportar.
Na janela exibida, especifique o nome do arquivo XML para o qual você quer exportar a lista de regras e selecione a pasta na qual você quer salvar esse arquivo.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta toda a lista de regras para o arquivo XML.
Para importar uma lista de regras do monitor de integridade do sistema em tempo real:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Para exportar ou importar as regras de verificação de integridade do sistema:
No bloco Verificação de integridade do sistema, selecione Configurações personalizadas.
Clique Configurações.
Para exportar a lista de regras de verificação de integridade do sistema:
Selecione as regras que deseja exportar. Para selecionar várias portas, use as teclas CTRL ou SHIFT.
Se você não selecionou nenhuma regra, o Kaspersky Endpoint Security exportará todas as regras.
Clique no link Exportar.
Na janela exibida, especifique o nome do arquivo XML para o qual você quer exportar a lista de regras e selecione a pasta na qual você quer salvar esse arquivo.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta toda a lista de regras para o arquivo XML.
Para importar uma lista de regras de verificação de integridade do sistema:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
Selecione a guia Configurações do aplicativo.
Selecione Controles de Segurança → Monitor de integridade do sistema.
Para exportar ou importar as regras do monitor de integridade do sistema em tempo real:
No bloco Monitor de integridade do sistema em tempo real, clique no botão Configurar.
Para exportar uma lista de regras do monitor de integridade do sistema em tempo real:
Selecione as regras que deseja exportar.
Clique Exportar.
Confirme se deseja exportar apenas as regras selecionadas ou exportar a lista inteira.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta a lista de regras para um arquivo XML na pasta de downloads padrão.
Para importar uma lista de regras do monitor de integridade do sistema em tempo real:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Para exportar ou importar as regras de verificação de integridade do sistema:
No bloco Verificação de integridade do sistema, selecione Configurações personalizadas.
Clique Configurar.
Para exportar a lista de regras de verificação de integridade do sistema:
Selecione as regras que deseja exportar.
Clique Exportar.
Confirme se deseja exportar apenas as regras selecionadas ou exportar a lista inteira.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta a lista de regras para um arquivo XML na pasta de downloads padrão.
Para importar uma lista de regras de verificação de integridade do sistema:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Salvar alterações.
Configure a regra do monitor de integridade do sistema em tempo real (consulte a tabela abaixo).
Na janela de configurações do aplicativo, selecione Controles de segurança → Monitor de integridade do sistema.
Ativar o botão de alternância Monitor de integridade do sistema.
Em Modo de operação, selecione um modo para o monitor de integridade do sistema em tempo real:
Proteger o sistema contra as alterações feitas por regras. Neste modo, o monitor de integridade do sistema bloqueia as ações com arquivos e chaves do registro do escopo de monitoramento e gera um evento correspondente.
Modo de teste: não bloquear, apenas registrar. Neste modo, o monitor de integridade do sistema permite executar ações com arquivos e chaves do registro do escopo de monitoramento e gera um evento correspondente.
No bloco Monitor de integridade do sistema em tempo real, marque a caixa de seleção Monitor de integridade do sistema em tempo real.
Configure o monitoramento de dispositivos externos:
Marque a caixa de seleção Monitor de dispositivos.
Na lista suspensa Nível de gravidade do evento, selecione o nível de importância dos eventos de monitoramento do dispositivo externo: Informativo, Aviso, Crítico.
O monitor de integridade do sistema registra a conexão atual dos dispositivos externos. O aplicativo começa a monitorar a conexão e desconexão dos dispositivos externos depois que o componente é ativado nas configurações do aplicativo. Depois, quando um dispositivo externo é conectado ou desconectado, o aplicativo gera um evento correspondente.
Configure o monitoramento de arquivos e registros:
Marque a caixa de seleção Monitor de arquivos e registro.
Clique Configurar.
Isso abre a lista de regras do monitor de integridade do sistema.
É possível exportar a lista de regras do monitor de integridade do sistema para um arquivo XML. Em seguida, será possível modificar o arquivo para, por exemplo, adicionar um grande número de regras do mesmo tipo. É possível usar a função de exportar/importar para fazer backup da lista de regras do monitor de integridade do sistema ou para migrar a lista para um servidor diferente.
Abra o Console de Administração do Kaspersky Security Center.
Na árvore do console, selecione Políticas.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela da política, selecione Controles de Segurança → Monitor de integridade do sistema.
Para exportar ou importar as regras do monitor de integridade do sistema em tempo real:
No bloco Monitor de integridade do sistema em tempo real, clique no botão Configurações.
Para exportar uma lista de regras do monitor de integridade do sistema em tempo real:
Selecione as regras que deseja exportar. Para selecionar várias portas, use as teclas CTRL ou SHIFT.
Se você não selecionou nenhuma regra, o Kaspersky Endpoint Security exportará todas as regras.
Clique no link Exportar.
Na janela exibida, especifique o nome do arquivo XML para o qual você quer exportar a lista de regras e selecione a pasta na qual você quer salvar esse arquivo.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta toda a lista de regras para o arquivo XML.
Para importar uma lista de regras do monitor de integridade do sistema em tempo real:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Para exportar ou importar as regras de verificação de integridade do sistema:
No bloco Verificação de integridade do sistema, selecione Configurações personalizadas.
Clique Configurações.
Para exportar a lista de regras de verificação de integridade do sistema:
Selecione as regras que deseja exportar. Para selecionar várias portas, use as teclas CTRL ou SHIFT.
Se você não selecionou nenhuma regra, o Kaspersky Endpoint Security exportará todas as regras.
Clique no link Exportar.
Na janela exibida, especifique o nome do arquivo XML para o qual você quer exportar a lista de regras e selecione a pasta na qual você quer salvar esse arquivo.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta toda a lista de regras para o arquivo XML.
Para importar uma lista de regras de verificação de integridade do sistema:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
Selecione a guia Configurações do aplicativo.
Selecione Controles de Segurança → Monitor de integridade do sistema.
Para exportar ou importar as regras do monitor de integridade do sistema em tempo real:
No bloco Monitor de integridade do sistema em tempo real, clique no botão Configurar.
Para exportar uma lista de regras do monitor de integridade do sistema em tempo real:
Selecione as regras que deseja exportar.
Clique Exportar.
Confirme se deseja exportar apenas as regras selecionadas ou exportar a lista inteira.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta a lista de regras para um arquivo XML na pasta de downloads padrão.
Para importar uma lista de regras do monitor de integridade do sistema em tempo real:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Para exportar ou importar as regras de verificação de integridade do sistema:
No bloco Verificação de integridade do sistema, selecione Configurações personalizadas.
Clique Configurar.
Para exportar a lista de regras de verificação de integridade do sistema:
Selecione as regras que deseja exportar.
Clique Exportar.
Confirme se deseja exportar apenas as regras selecionadas ou exportar a lista inteira.
Salvar o arquivo.
O Kaspersky Endpoint Security exporta a lista de regras para um arquivo XML na pasta de downloads padrão.
Para importar uma lista de regras de verificação de integridade do sistema:
Clique no link Importar.
Na janela exibida, selecione o arquivo XML do qual deseja importar a lista de regras.
Abra o arquivo.
Se o computador já tiver uma lista de regras, o Kaspersky Endpoint Security solicitará que você exclua a lista existente ou adicione novas entradas a ela a partir do arquivo XML.
Salvar alterações.
Configure a regra do monitor de integridade do sistema em tempo real (consulte a tabela abaixo).
Salvar alterações.
Configurações da regra do monitor de integridade do sistema em tempo real
Parâmetro
Descrição
Nome da regra
Nome da regra do monitor de integridade do sistema em tempo real
Operações com os arquivos e registro
Permitir. O monitor de integridade do sistema permite executar ações com arquivos e chaves do registro do escopo de monitoramento.
Bloquear. O comportamento do monitor de integridade do sistema depende do modo selecionado. Caso o modo de proteção do sistema seja selecionado, o monitor de integridade do sistema bloqueia as ações com os arquivos e chaves de registro do escopo de monitoramento, gera um evento correspondente e altera o status do dispositivo no console do Kaspersky Security Center. Caso o modo de teste seja selecionado, o monitor de integridade do sistema permite executar ações com os arquivos e chaves do registro do escopo de monitoramento.
Nível de gravidade do evento
O Kaspersky Endpoint Security registra eventos de modificação de arquivo sempre que um arquivo de registro no escopo de monitoramento é modificado. Estão disponíveis os seguintes níveis de gravidade de evento: Informativo, Aviso, Crítico.
Escopo de monitoramento
Arquivo. Lista de arquivos e pastas monitorados pelo componente. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara.
Usar máscaras:
O caractere * (asterisco) substitui qualquer conjunto de caracteres, exceto pelos caracteres \ e / (delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\*\*.txt incluirá todos os caminhos a arquivos com a extensão TXT localizados em pastas na unidade C:, mas não em subpastas.
Dois caracteres * consecutivos substituem qualquer conjunto de caracteres (incluindo um conjunto vazio) no nome do arquivo ou da pasta, incluindo os caracteres \ e / (delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\Pasta\**\*.txt incluirá todos os caminhos de arquivos com a extensão TXT localizados nas pastas dentro da Pasta exceto para a Pasta em si. A máscara deve incluir pelo menos um nível de aninhamento. A máscara C:\**\*.txt não é uma máscara válida.
O ? (ponto de interrogação) substitui qualquer caractere único, exceto pelos caracteres \ e / (delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\Pasta\???.txt incluirá caminhos para todos os arquivos localizados na pasta denominada Pasta que tenham a extensão TXT e um nome composto por três caracteres.
Registro. Lista de chaves de registro e valores monitorados pelo componente. O Kaspersky Endpoint Security tem suporte aos caracteres * e ? ao inserir uma máscara.
Exclusões
Arquivo. Lista de exclusões do escopo de monitoramento. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara. Por exemplo, C:\Pasta\Aplicativo\*.log. As entradas de exclusão têm uma prioridade mais alta do que as entradas de escopo de monitoramento.
Usar máscaras:
O caractere * (asterisco) substitui qualquer conjunto de caracteres, exceto pelos caracteres \ e / (delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\*\*.txt incluirá todos os caminhos a arquivos com a extensão TXT localizados em pastas na unidade C:, mas não em subpastas.
Dois caracteres * consecutivos substituem qualquer conjunto de caracteres (incluindo um conjunto vazio) no nome do arquivo ou da pasta, incluindo os caracteres \ e / (delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\Pasta\**\*.txt incluirá todos os caminhos de arquivos com a extensão TXT localizados nas pastas dentro da Pasta exceto para a Pasta em si. A máscara deve incluir pelo menos um nível de aninhamento. A máscara C:\**\*.txt não é uma máscara válida.
O ? (ponto de interrogação) substitui qualquer caractere único, exceto pelos caracteres \ e / (delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\Pasta\???.txt incluirá caminhos para todos os arquivos localizados na pasta denominada Pasta que tenham a extensão TXT e um nome composto por três caracteres.
Registro. Lista de exclusões do escopo de monitoramento. O Kaspersky Endpoint Security tem suporte aos caracteres * e ? ao inserir uma máscara. As entradas de exclusão têm uma prioridade mais alta do que as entradas de escopo de monitoramento.
Usuários e/ou grupos de usuários confiáveis
Um usuário confiável é um usuário com permissão para executar ações com os arquivos e chaves do registro no escopo de monitoramento. Caso o Kaspersky Endpoint Security detecte uma ação executada por um usuário confiável, o monitor de integridade do sistema gerará um evento Informativo.
É possível selecionar usuários no Active Directory, na lista de contas no Kaspersky Security Center ou ao inserir um nome de usuário local manualmente. A Kaspersky recomenda usar contas de usuário locais somente em casos especiais quando não for possível usar contas de usuário de domínio.
Marcadores de operação de arquivo / Operações monitoradas
Marcadores que caracterizam a ação com os arquivos ou chaves de registro que serão monitorados pelo aplicativo.
Hashing
Cálculo de um hash do arquivo na modificação. O Kaspersky Endpoint Security adiciona informações sobre o hash do arquivo quando um evento é gerado.
.
, 
.
.