即時系統完整性監控

系統完整性監控允許即時追蹤作業系統中的變化。您可以追蹤可能表明電腦上存在安全漏洞的變更。此元件可封鎖這些變更或僅記錄變更事件。

為了使系統完整性監控正常運作，您必須新增至少一個規則。系統完整性監控規則是定義使用者對檔案和登錄檔的存取權限的一組標準。系統完整性監控可偵測指定監控範圍內檔案和登錄檔的變更。監控範圍是系統完整性監控規則的標準之一。

即時系統完整性監控模式

為了確保系統完整性監控規則不會封鎖對作業系統或其他服務的運作至關重要的資源的任何操作，我們建議啟用測試模式並分析元件如何影響系統。開啟測試模式後，Kaspersky Endpoint Security 不會封鎖規則禁止的使用者活動，而是產生警告警告事件圖示。事件。

即時系統完整性監控元件有兩種模式：

防護系統抵禦依照規則進行變更
在此模式下，系統完整性監控追蹤系統中的變化並根據規則執行操作：允許或者封鎖。系統完整性監控也會產生對應的事件並變更在卡巴斯基安全管理中心主控台中的裝置狀態。
測試模式：不封鎖，僅記錄
在此模式下，系統完整性監控允許對監控範圍內的檔案和登錄機碼進行操作。如果禁止對檔案或登錄檔進行操作，則應用程式會產生一個事件：測試模式中允許被禁止的操作。要分析規則如何影響系統，您可以查看報告。

啟用即時系統完整性監控

如何在管理主控台 (MMC) 中啟用即時系統完整性監控

開啟卡巴斯基安全管理中心管理主控台。
在主控台樹狀目錄中，選擇“政策”。
選擇必要的政策並點擊以開啟政策內容。
在政策視窗中，選擇“安全控制 → 系統完整性監控”。
選擇“系統完整性監控”核取方塊。
在操作模式下面，選擇即時系統完整性監控模式：
- 防護系統抵禦依照規則進行變更在此模式下，系統完整性監控會封鎖監控範圍內的檔案和登錄機碼的操作，並產生對應的事件。
- 測試模式：不封鎖，僅記錄在此模式下，系統完整性監控允許對監控範圍內的檔案和登錄機碼進行操作，並產生相應的事件。
在“即時系統完整性監控“塊中，選中“即時系統完整性監控”核取方塊。
配置外部裝置監控：
1. 選擇“監控裝置”核取方塊。
2. 在事件重要性等級下拉式清單中，選擇外部裝置監控事件的重要性等級：資訊 , 警告 , 緊急。
系統完整性監控記錄外部裝置的目前連線情況。在應用程式設定中啟用該元件後，應用程式開始監控外部裝置的連線和中斷連線。隨後，當外部裝置連線或斷開連線時，應用程式會產生相應的事件。
配置檔案和登錄檔監控：
1. 選擇“監控檔案和登錄檔”核取方塊。
2. 單擊“設定”。
  這將開啟系統完整性監控規則清單。
3. 單擊“新增”。
  您也可以從其他來源匯入規則。
  您可以將系統完整性監控規則清單匯出到 XML 檔案。然後，您可以修改檔案，例如，新增大量相同類型的記錄。您可以使用匯出/匯入功能來備份系統完整性監控規則清單，或將清單遷移到其他伺服器。
  
  如何在管理主控台 (MMC) 中匯出和匯入系統完整性監控規則清單
  1. 開啟卡巴斯基安全管理中心管理主控台。
  2. 在主控台樹狀目錄中，選擇“政策”。
  3. 選擇必要的政策並點擊以開啟政策內容。
  4. 在政策視窗中，選擇“安全控制 → 系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”設定”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“設定”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
  如何在網頁主控台中匯出和匯入系統完整性檢查規則清單
  1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
  2. 點擊 Kaspersky Endpoint Security 政策的名稱。
    政策內容視窗將開啟。
  3. 選擇“應用程式設定”標籤。
  4. 轉到”安全控制”→”系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”配置”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“配置”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
4. 配置即時系統完整性監控規則（請參閱下表）。
儲存變更。

如何在網頁主控台中啟用即時系統完整性監控

在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
選擇“應用程式設定”標籤。
轉到”安全控制”→”系統完整性監控”。
開啟“系統完整性監控“開關。
在操作模式下面，選擇即時系統完整性監控模式：
- 防護系統抵禦依照規則進行變更在此模式下，系統完整性監控會封鎖監控範圍內的檔案和登錄機碼的操作，並產生對應的事件。
- 測試模式：不封鎖，僅記錄在此模式下，系統完整性監控允許對監控範圍內的檔案和登錄機碼進行操作，並產生相應的事件。
在“即時系統完整性監控“塊中，選中“使用即時系統完整性監控設定”核取方塊。
配置外部裝置監控：
1. 選擇“監控裝置”核取方塊。
2. 在事件嚴重性級別下拉式清單中，選擇外部裝置監控事件的重要性等級：資訊 , 警告 , 緊急。
系統完整性監控記錄外部裝置的目前連線情況。在應用程式設定中啟用該元件後，應用程式開始監控外部裝置的連線和中斷連線。隨後，當外部裝置連線或斷開連線時，應用程式會產生相應的事件。
配置檔案和登錄檔監控：
1. 選擇“監控檔案和登錄檔”核取方塊。
2. 單擊“配置”。
  這將開啟系統完整性監控規則清單。
3. 單擊“新增”。
  您也可以從其他來源匯入規則。
  您可以將系統完整性監控規則清單匯出到 XML 檔案。然後，您可以修改檔案，例如，新增大量相同類型的記錄。您可以使用匯出/匯入功能來備份系統完整性監控規則清單，或將清單遷移到其他伺服器。
  
  如何在管理主控台 (MMC) 中匯出和匯入系統完整性監控規則清單
  1. 開啟卡巴斯基安全管理中心管理主控台。
  2. 在主控台樹狀目錄中，選擇“政策”。
  3. 選擇必要的政策並點擊以開啟政策內容。
  4. 在政策視窗中，選擇“安全控制 → 系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”設定”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“設定”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
  如何在網頁主控台中匯出和匯入系統完整性檢查規則清單
  1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
  2. 點擊 Kaspersky Endpoint Security 政策的名稱。
    政策內容視窗將開啟。
  3. 選擇“應用程式設定”標籤。
  4. 轉到”安全控制”→”系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”配置”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“配置”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
配置即時系統完整性監控規則（請參閱下表）。
儲存變更。

如何在應用程式介面中啟用即時系統完整性監控

在“應用程式主視窗”中，點擊按鈕。
在應用程式設定視窗中，選取”安全控制“→“系統完整性監控”。
開啟系統完整性監控切換開關。
在操作模式下面，選擇即時系統完整性監控模式：
- 防護系統抵禦依照規則進行變更在此模式下，系統完整性監控會封鎖監控範圍內的檔案和登錄機碼的操作，並產生對應的事件。
- 測試模式：不封鎖，僅記錄在此模式下，系統完整性監控允許對監控範圍內的檔案和登錄機碼進行操作，並產生相應的事件。
在“即時系統完整性監控“塊中，選中“即時系統完整性監控”核取方塊。
配置外部裝置監控：
1. 選擇“監控裝置”核取方塊。
2. 在事件嚴重性級別下拉式清單中，選擇外部裝置監控事件的重要性等級：資訊 , 警告 , 緊急。
系統完整性監控記錄外部裝置的目前連線情況。在應用程式設定中啟用該元件後，應用程式開始監控外部裝置的連線和中斷連線。隨後，當外部裝置連線或斷開連線時，應用程式會產生相應的事件。
配置檔案和登錄檔監控：
1. 選擇“監控檔案和登錄檔”核取方塊。
2. 單擊“設定”。
  這將開啟系統完整性監控規則清單。
3. 單擊“新增”。
  您也可以從其他來源匯入規則。
  您可以將系統完整性監控規則清單匯出到 XML 檔案。然後，您可以修改檔案，例如，新增大量相同類型的記錄。您可以使用匯出/匯入功能來備份系統完整性監控規則清單，或將清單遷移到其他伺服器。
  
  如何在管理主控台 (MMC) 中匯出和匯入系統完整性監控規則清單
  1. 開啟卡巴斯基安全管理中心管理主控台。
  2. 在主控台樹狀目錄中，選擇“政策”。
  3. 選擇必要的政策並點擊以開啟政策內容。
  4. 在政策視窗中，選擇“安全控制 → 系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”設定”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“設定”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
  如何在網頁主控台中匯出和匯入系統完整性檢查規則清單
  1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
  2. 點擊 Kaspersky Endpoint Security 政策的名稱。
    政策內容視窗將開啟。
  3. 選擇“應用程式設定”標籤。
  4. 轉到”安全控制”→”系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”配置”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“配置”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
配置即時系統完整性監控規則（請參閱下表）。
儲存變更。

即時系統完整性監控規則設定

參數	描述
規則名稱	即時系統完整性監控規則的名稱
檔案和登錄檔操作	允許系統完整性監控允許對監控範圍內的檔案和登錄機碼進行操作。封鎖系統完整性監控行為取決於所選模式。如果您選擇了系統防護模式，系統完整性監控會封鎖監控範圍內的檔案和登錄機碼操作，產生對應的事件，並在在卡巴斯基安全管理中心主控台中變更裝置的狀態。如果您選擇了測試模式，系統完整性監控將允許對監控範圍內的檔案和登錄機碼進行操作。
事件嚴重性級別	只要監控範圍中的檔案或登錄機碼被修改，Kaspersky Endpoint Security 就會記錄檔案修改事件。以下事件嚴重程度級別可用：資訊 , 警告 , 緊急。
監控範圍	檔案元件監視的檔案和資料夾的清單。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及``和`?`字元。使用遮罩： ``（星號）字元代表任意一組字元，但 `\` 和 `/` 字元除外（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩“`C:\\.txt`”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。兩個連續 `` 字元在檔案或資料夾名稱中代表任意一組字元（包括空集），包括 `\` 和 `/` 字元（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩 `C:\Folder\\.txt` 將包括位於巢嵌在 `Folder` 內的資料夾（`Folder`自身除外）中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 `C:\*\.txt` 不是有效遮罩。 `?`（問號）字元代表任意單個字元，但 `\` 和 `/` 字元除外（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩 `C:\Folder\???.txt` 將包括位於 `Folder` 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。登錄檔元件監視的登錄機碼和值的清單。Kaspersky Endpoint Security 輸入遮罩時支援`*` 和 `?`字元。
排除項目	檔案來自監控範圍的排除項目清單。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及``和`?`字元。例如，`C:\Folder\Application\.log`。排除項目比監控範圍項目具有更高的優先順序。使用遮罩： ``（星號）字元代表任意一組字元，但 `\` 和 `/` 字元除外（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩“`C:\\.txt`”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。兩個連續 `` 字元在檔案或資料夾名稱中代表任意一組字元（包括空集），包括 `\` 和 `/` 字元（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩 `C:\Folder\*\.txt` 將包括位於巢嵌在 `Folder` 內的資料夾（`Folder`自身除外）中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 `C:\*\.txt` 不是有效遮罩。 `?`（問號）字元代表任意單個字元，但 `\` 和 `/` 字元除外（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩 `C:\Folder\???.txt` 將包括位於 `Folder` 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。登錄檔來自監控範圍的排除項目清單。Kaspersky Endpoint Security 輸入遮罩時支援`*` 和 `?`字元。排除項目比監控範圍項目具有更高的優先順序。
受信任的使用者和/或使用者群組	受信任使用者是被允許對監視範圍內的檔案和登錄機碼執行操作的使用者。如果 Kaspersky Endpoint Security 偵測到受信任使用者執行的操作，系統完整性監控會產生一個資訊事件。您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。
檔案作業標誌/被監控的作業	標記，標誌對應用程式將監視的檔案或登錄機碼採取的操作。
散列	計算修改時的檔案雜湊值。Kaspersky Endpoint Security 在產生事件時會加入有關檔案雜湊的資訊。

頁面頂部