系統完整性監控允許即時追蹤作業系統中的變化。您可以追蹤可能表明電腦上存在安全漏洞的變更。此元件可封鎖這些變更或僅記錄變更事件。
為了使系統完整性監控正常運作,您必須新增至少一個規則。系統完整性監控規則是定義使用者對檔案和登錄檔的存取權限的一組標準。系統完整性監控可偵測指定監控範圍內檔案和登錄檔的變更。監控範圍是系統完整性監控規則的標準之一。
即時系統完整性監控模式
為了確保系統完整性監控規則不會封鎖對作業系統或其他服務的運作至關重要的資源的任何操作,我們建議啟用測試模式並分析元件如何影響系統。開啟測試模式後,Kaspersky Endpoint Security 不會封鎖規則禁止的使用者活動,而是產生 警告 事件。
即時系統完整性監控元件有兩種模式:
在此模式下,系統完整性監控追蹤系統中的變化並根據規則執行操作: 允許 或者 封鎖。系統完整性監控也會產生對應的事件並變更在卡巴斯基安全管理中心主控台中的裝置狀態。
在此模式下,系統完整性監控允許對監控範圍內的檔案和登錄機碼進行操作。如果禁止對檔案或登錄檔進行操作,則應用程式會產生一個事件:測試模式中允許被禁止的操作。要分析規則如何影響系統,您可以查看 報告。
啟用即時系統完整性監控
即時系統完整性監控規則設定
參數 |
描述 |
---|---|
規則名稱 |
即時系統完整性監控規則的名稱 |
檔案和登錄檔操作 |
|
事件嚴重性級別 |
只要監控範圍中的檔案或登錄機碼被修改,Kaspersky Endpoint Security 就會記錄檔案修改事件。以下事件嚴重程度級別可用:資訊 , 警告 , 緊急 。 |
監控範圍 |
|
排除項目 |
|
受信任的使用者和/或使用者群組 |
受信任使用者 是被允許對監視範圍內的檔案和登錄機碼執行操作的使用者。如果 Kaspersky Endpoint Security 偵測到受信任使用者執行的操作,系統完整性監控會產生一個 資訊 事件。 您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。 |
檔案作業標誌/被監控的作業 |
標記,標誌對應用程式將監視的檔案或登錄機碼採取的操作。 |
散列 |
計算修改時的檔案雜湊值。Kaspersky Endpoint Security 在產生事件時會加入有關檔案雜湊的資訊。 |