Control de integridad del sistema en tiempo real

El Control de integridad del sistema permite realizar un seguimiento de los cambios en el sistema operativo en tiempo real. Puede realizar un seguimiento de los cambios que pueden indicar infracciones de seguridad en el equipo. El componente permite bloquear estos cambios o limitarse a registrar eventos de cambio.

Para que el Control de integridad del sistema funcione, debe añadir al menos una regla. Una regla de Control de integridad del sistema es un conjunto de criterios que definen el acceso de los usuarios a los archivos y al registro. El Control de integridad del sistema detecta cambios en los archivos y el registro dentro de la cobertura de la supervisión especificada. La cobertura de la supervisión es uno de los criterios de una regla del Control de integridad del sistema.

Modos de Control de integridad del sistema en tiempo real

Para asegurarse de que las reglas de Control de integridad del sistema no bloqueen ninguna acción con recursos que sean críticos para el funcionamiento del sistema operativo u otros servicios, recomendamos activar el modo de prueba y analizar cómo afecta al sistema el componente. Con el modo de prueba activado, Kaspersky Endpoint Security no bloquea la actividad del usuario que está prohibida por las reglas, sino que genera eventos Advertencia Icono de evento de advertencia..

El componente Control de integridad del sistema en tiempo real tiene dos modos:

Activación del Control de integridad del sistema en tiempo real

Cómo activar el Control de integridad del sistema en tiempo real en la Consola de administración (MMC)

Cómo activar el Control de integridad del sistema en tiempo real en Web Console

Cómo activar el Control de integridad del sistema en tiempo real en la interfaz de la aplicación

Configuración de las reglas de Control de integridad del sistema en tiempo real

Parámetro

Descripción

Nombre de la regla

Nombre de la regla de Control de integridad del sistema en tiempo real

Operaciones con archivos y registro

  • Permitir. El Control de integridad del sistema permite acciones con archivos y claves de registro desde la cobertura de la supervisión.
  • Bloquear. El comportamiento del Control de integridad del sistema depende del modo seleccionado. Si ha seleccionado el Modo de protección del sistema, el Control de integridad del sistema bloquea las acciones con archivos y claves de registro de la cobertura de la supervisión, genera un evento correspondiente y cambia el estado del dispositivo en la consola de Kaspersky Security Center. Si ha seleccionado el Modo de prueba, el Control de integridad del sistema permite acciones con archivos y claves de registro desde la cobertura de la supervisión.

Nivel de gravedad del evento

Kaspersky Endpoint Security registra eventos de modificación de archivos cada vez que se modifica un archivo o clave de registro en la cobertura de supervisión. Estos son los niveles de gravedad del evento disponibles: Informativo Icono de evento informativo., Advertencia Icono de evento de advertencia., Crítico Icono de evento crítico..

Cobertura de supervisión

  • Archivo. Lista de archivos y carpetas supervisados por el componente. Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al introducir una máscara.

    Usar máscaras:

    • El carácter * (asterisco), que toma el lugar de cualquier conjunto de caracteres, excepto los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\*\*.txt incluirá todas las rutas a archivos con la extensión TXT localizada en carpetas en la unidad C:, pero no en las subcarpetas
    • Dos caracteres * consecutivos toman el lugar de cualquier conjunto de caracteres (incluido un conjunto vacío) en el nombre del archivo o la carpeta, incluidos los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\Folder\**\*.txt incluirá todas las rutas a archivos con la extensión TXT que se encuentren en carpeta anidadas en la Folder, salvo en la Folder misma. La máscara debe incluir al menos un nivel de anidación. La máscara C:\**\*.txt no es válida.
    • El carácter ? (signo de interrogación), que toma el lugar de cualquier carácter único, excepto los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\Folder\???.txt incluirá las rutas a todos los archivos de la carpeta llamada Folder que tengan la extensión TXT y cuyo nombre sea de tres caracteres.
  • Registro. Lista de claves de registro y valores supervisados por el componente. Kaspersky Endpoint Security admite los caracteres * y ? al introducir una máscara.

Exclusiones

  • Archivo. Lista de exclusiones de la cobertura de supervisión. Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al introducir una máscara. Por ejemplo, C:\Folder\Application\*.log. Las entradas de exclusión tienen una prioridad más alta que las entradas de la cobertura de supervisión.

    Usar máscaras:

    • El carácter * (asterisco), que toma el lugar de cualquier conjunto de caracteres, excepto los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\*\*.txt incluirá todas las rutas a archivos con la extensión TXT localizada en carpetas en la unidad C:, pero no en las subcarpetas
    • Dos caracteres * consecutivos toman el lugar de cualquier conjunto de caracteres (incluido un conjunto vacío) en el nombre del archivo o la carpeta, incluidos los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\Folder\**\*.txt incluirá todas las rutas a archivos con la extensión TXT que se encuentren en carpeta anidadas en la Folder, salvo en la Folder misma. La máscara debe incluir al menos un nivel de anidación. La máscara C:\**\*.txt no es válida.
    • El carácter ? (signo de interrogación), que toma el lugar de cualquier carácter único, excepto los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\Folder\???.txt incluirá las rutas a todos los archivos de la carpeta llamada Folder que tengan la extensión TXT y cuyo nombre sea de tres caracteres.
  • Registro. Lista de exclusiones de la cobertura de supervisión. Kaspersky Endpoint Security admite los caracteres * y ? al introducir una máscara. Las entradas de exclusión tienen una prioridad más alta que las entradas de la cobertura de supervisión.

Usuarios o grupos de usuarios de confianza

Un usuario de confianza es un usuario que tiene permiso para realizar acciones con archivos y claves de registro en la cobertura de la supervisión. Si Kaspersky Endpoint Security detecta una acción realizada por un usuario de confianza, el Control de integridad del sistema genera un evento Informativo Icono de evento informativo..

Puede seleccionar usuarios en Active Directory, en la lista de cuentas de Kaspersky Security Center o al introducir un nombre de usuario local de forma manual. Kaspersky recomienda utilizar cuentas de usuario locales solo en casos especiales cuando no es posible utilizar cuentas de usuario de dominio.

Marcadores de operaciones con archivos/Operaciones supervisadas

Marcadores que caracterizan la acción con archivos o claves de registro que supervisará la aplicación.

Hash

Cálculo del hash de un archivo al modificarlo. Kaspersky Endpoint Security añade información sobre el hash del archivo cuando se genera un evento.

Inicio de página