Контроль целостности системы в режиме реального времени

Контроль целостности системы позволяет отслеживать изменения в операционной системе в режиме реального времени. Вы можете отслеживать изменения, которые могут указывать на нарушения безопасности на компьютере. Компонент позволяет или блокировать эти изменения, или только регистрировать события об изменениях.

Для работы Контроля целостности системы требуется добавить хотя бы одно правило. Правило Контроля целостности системы – набор критериев, которые определяют доступ пользователей к файлам и реестру. Контроль целостности системы обнаруживает изменения в файлах и реестре в заданной области мониторинга. Область мониторинга является одним из критериев правила Контроля целостности системы.

Режимы работы Контроля целостности системы в режиме реального времени

Чтобы убедиться, что правила Контроля целостности системы не блокируют действия с ресурсами, необходимые для работы операционной системы или других сервисов, рекомендуется после создания правил включить Тестовый режим и проанализировать работу компонента. При включении Тестового режима Kaspersky Endpoint Security не будет блокировать действия пользователя, запрещенные в правилах, но будет формировать события со статусом Предупреждение Значок статуса события "Предупреждение"..

Компонент Контроль целостности системы в режиме реального времени работает в двух режимах:

Включение Контроля целостности системы в режиме реального времени

Как включить Контроль целостности системы в режиме реального времени в Консоли администрирования (MMC)

Как включить Контроль целостности системы в режиме реального времени в Web Console

Как включить Контроль целостности системы в режиме реального времени в интерфейсе приложения

Параметры правила Контроля целостности системы в режиме реального времени

Параметр

Описание

Имя правила

Название правила Контроля целостности системы в режиме реального времени.

Действия с файлами и реестром

  • Разрешать. Контроль целостности системы разрешает действия с файлами и реестром в области мониторинга.
  • Запрещать. Поведение Контроля целостности системы отличается в зависимости от выбранного режима работы. Если вы выбрали Режим защиты системы, Контроль целостности системы блокирует действия с файлами и реестром из области мониторинга, формирует соответствующее событие и меняет статус устройства в консоли Kaspersky Security Center. Если вы выбрали Тестовый режим, Контроль целостности системы разрешает действия с файлами и реестром в области мониторинга.

Уровень важности событий

Kaspersky Endpoint Security регистрирует события изменения файлов и реестра в области мониторинга. Доступны следующие уровни важности событий: Информационные Значок статуса события "Информационное"., Предупреждение Значок статуса события "Предупреждение"., Критические Значок статуса события "Критическое"..

Область мониторинга

  • Файл. Список файлов и папок, которые контролирует компонент. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски.

    Используйте маски:

    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
  • Реестр. Список ключей реестра и значений ключей, которые контролирует компонент. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски.

Исключения

  • Файл. Список исключений из области мониторинга. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски. Например, C:\Folder\Application\*.log. Записи исключений имеют более высокий приоритет, чем записи в области мониторинга.

    Используйте маски:

    • Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
    • Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
    • Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.
  • Реестр. Список исключений из области мониторинга. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски. Записи исключений имеют более высокий приоритет, чем записи в области мониторинга.

Доверенные пользователи и / или группы пользователей

Доверенный пользователь – пользователь, которому разрешено выполнение действий с файлами и реестром в области мониторинга. Если Kaspersky Endpoint Security обнаруживает действие, выполненное доверенным пользователем, Контроль целостности системы формирует событие с уровнем важности Информационные Значок статуса события "Информационное"..

Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную. Специалисты "Лаборатории Касперского" рекомендуют использовать локальные учетные записи только в тех случаях, когда использовать доменные учетные записи невозможно.

Маркеры файловых операций / Контролируемые действия

Маркеры, характеризующие действие над файлами или реестром, которые будет контролировать приложение.

Хеширование

Вычисление хеша файла при изменении. Kaspersky Endpoint Security добавляет информацию о хеше файла при формировании события.

В начало