实时系统完整性监控

系统完整性监控允许实时跟踪操作系统的变化。您可以跟踪可能表明计算机存在安全漏洞的变化。该组件允许阻止这些更改或仅记录更改事件。

要使系统完整性监控正常工作，您必须添加至少一个规则。系统完整性监控规则是一组定义用户对文件和注册表的访问权限的标准。系统完整性监控检测指定监测范围内文件和注册表的更改。监控范围是系统完整性监控规则的标准之一。

实时系统完整性监控模式

为了确保系统完整性监控规则不会阻止任何对操作系统或其他服务的运行至关重要的资源的操作，我们建议启用测试模式并分析组件如何影响系统。启用测试模式后，Kaspersky Endpoint Security 不会阻止规则禁止的用户活动，而是生成“警告” 警告事件图标。事件。

实时系统完整性监控组件有两种模式：

保护系统不被规则更改
在这种模式下，系统完整性监控会跟踪系统中的变化并根据规则执行操作：“允许”或者“阻止”。系统完整性监控还会生成相应的事件并改变 Kaspersky Security Center 控制台中设备的状态。
测试模式: 不阻止，仅记录
在这种模式下，系统完整性监控允许对监控范围内的文件和注册表项执行操作。如果禁止对文件或注册表进行操作，应用程序将生成一个事件：在测试模式下允许执行禁止的操作。要分析规则如何影响系统，你可以查看报告。

启用实时系统完整性监控

如何在管理控制台 (MMC) 中启用实时系统完整性监控

打开 Kaspersky Security Center Administration Console。
在控制台树中，选择“策略”。
选择必要的策略并双击以打开策略属性。
在策略窗口中，选择安全控制 → 系统完整性监控。
选择系统完整性监控复选框。
在“操作模式”下，选择实时系统完整性监控的模式：
- “根据规则阻止操作”。在此模式下，系统完整性监控会阻止对监控范围内的文件和注册表项的操作，并生成相应的事件。
- “仅统计”。在此模式下，系统完整性监控会允许对监控范围内的文件和注册表项的操作，并生成相应的事件。
在“实时系统完整性监控”块中，选中“实时系统完整性监控”复选框。
配置外部设备监控：
1. 选择监控设备复选框。
2. 在“事件严重级别l”下拉列表中，选择外部设备监控事件的重要性级别：信息、警告、关键。
系统完整性监控记录外部设备的当前连接。在应用程序设置中启用该组件后，应用程序开始监控外部设备的连接和断开连接。随后，当外部设备连接或者断开时，应用程序就会产生相应的事件。
配置文件和注册表监控：
1. 选择监控文件和注册表复选框。
2. 单击“设置”。
  这将打开系统完整性监控规则列表。
3. 单击“添加”。
  您也可以从其他来源导入规则。
  您可以将系统完整性监控规则列表导出到 XML 文件。然后可以修改文件，例如，添加大量相同类型的记录。您还可以使用导出/导入功能备份系统完整性监控规则列表或将列表迁移到其他服务器。
  
  如何在管理控制台 (MMC) 中导出和导入系统完整性监控规则列表
  1. 打开 Kaspersky Security Center Administration Console。
  2. 在控制台树中，选择“策略”。
  3. 选择必要的策略并双击以打开策略属性。
  4. 在策略窗口中，选择安全控制 → 系统完整性监控。
  5. 要导出或导入实时系统完整性监控规则：
    在“实时系统完整性监控”块中单击“设置”按钮。
    要导出实时系统完整性监控规则列表：
    选择您要导出的规则。要选择多个端口，使用 CTRL 或 SHIFT 键。
    如果您未选择任何规则，Kaspersky Endpoint Security 将导出所有规则。
    
    单击导出链接。
    在打开的窗口中，指定您要将规则列表导出到的 XML 文件的名称，然后选择要保存此文件的文件夹。
    保存文件。
    Kaspersky Endpoint Security 会将整个规则列表导出到 XML 文件。
    
    要导入实时系统完整性监控规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  6. 要导出或导入系统完整性检查规则：
    在“系统完整性检查”块中，选择“自定义设置”。
    单击“设置”。
    要导出系统完整性检查规则列表：
    选择您要导出的规则。要选择多个端口，使用 CTRL 或 SHIFT 键。
    如果您未选择任何规则，Kaspersky Endpoint Security 将导出所有规则。
    
    单击导出链接。
    在打开的窗口中，指定您要将规则列表导出到的 XML 文件的名称，然后选择要保存此文件的文件夹。
    保存文件。
    Kaspersky Endpoint Security 会将整个规则列表导出到 XML 文件。
    
    要导入系统完整性检查规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  7. 保存更改。
  如何在 Web Console 中导出和导入系统完整性检查规则列表
  1. 在 Web Console 的主窗口中，选择“设备” → “策略和配置文件”。
  2. 单击 Kaspersky Endpoint Security 策略的名称。
    策略属性窗口将打开。
  3. 选择应用程序设置选项卡。
  4. 选择安全控制 → 系统完整性监控。
  5. 要导出或导入实时系统完整性监控规则：
    在“实时系统完整性监控”块中单击“配置”按钮。
    要导出实时系统完整性监控规则列表：
    选择您要导出的规则。
    单击“导出”。
    确认您仅想导出所选规则，或导出整个列表。
    保存文件。
    Kaspersky Endpoint Security 导出规则列表到默认下载文件夹中的 XML 文件。
    
    要导入实时系统完整性监控规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  6. 要导出或导入系统完整性检查规则：
    在“系统完整性检查”块中，选择“自定义设置”。
    单击“配置”。
    要导出系统完整性检查规则列表：
    选择您要导出的规则。
    单击“导出”。
    确认您仅想导出所选规则，或导出整个列表。
    保存文件。
    Kaspersky Endpoint Security 导出规则列表到默认下载文件夹中的 XML 文件。
    
    要导入系统完整性检查规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  7. 保存更改。
4. 配置实时系统完整性监控规则（见下表）。
保存更改。

如何在 Web Console 中启用实时系统完整性监控

在 Web Console 的主窗口中，选择“设备” → “策略和配置文件”。
单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
选择应用程序设置选项卡。
选择安全控制 → 系统完整性监控。
开启系统完整性监控切换开关。
在“操作模式”下，选择实时系统完整性监控的模式：
- “保护系统不被规则更改”。在此模式下，系统完整性监控会阻止对监控范围内的文件和注册表项的操作，并生成相应的事件。
- “测试模式: 不阻止，仅记录”。在此模式下，系统完整性监控会允许对监控范围内的文件和注册表项的操作，并生成相应的事件。
在“实时系统完整性监控”块中，选中“使用实时系统完整性监控设置”复选框。
配置外部设备监控：
1. 选择监控设备复选框。
2. 在“事件严重级别”下拉列表中，选择外部设备监控事件的重要性级别：信息、警告、关键。
系统完整性监控记录外部设备的当前连接。在应用程序设置中启用该组件后，应用程序开始监控外部设备的连接和断开连接。随后，当外部设备连接或者断开时，应用程序就会产生相应的事件。
配置文件和注册表监控：
1. 选择监控文件和注册表复选框。
2. 单击“配置”。
  这将打开系统完整性监控规则列表。
3. 单击“添加”。
  您也可以从其他来源导入规则。
  您可以将系统完整性监控规则列表导出到 XML 文件。然后可以修改文件，例如，添加大量相同类型的记录。您还可以使用导出/导入功能备份系统完整性监控规则列表或将列表迁移到其他服务器。
  
  如何在管理控制台 (MMC) 中导出和导入系统完整性监控规则列表
  1. 打开 Kaspersky Security Center Administration Console。
  2. 在控制台树中，选择“策略”。
  3. 选择必要的策略并双击以打开策略属性。
  4. 在策略窗口中，选择安全控制 → 系统完整性监控。
  5. 要导出或导入实时系统完整性监控规则：
    在“实时系统完整性监控”块中单击“设置”按钮。
    要导出实时系统完整性监控规则列表：
    选择您要导出的规则。要选择多个端口，使用 CTRL 或 SHIFT 键。
    如果您未选择任何规则，Kaspersky Endpoint Security 将导出所有规则。
    
    单击导出链接。
    在打开的窗口中，指定您要将规则列表导出到的 XML 文件的名称，然后选择要保存此文件的文件夹。
    保存文件。
    Kaspersky Endpoint Security 会将整个规则列表导出到 XML 文件。
    
    要导入实时系统完整性监控规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  6. 要导出或导入系统完整性检查规则：
    在“系统完整性检查”块中，选择“自定义设置”。
    单击“设置”。
    要导出系统完整性检查规则列表：
    选择您要导出的规则。要选择多个端口，使用 CTRL 或 SHIFT 键。
    如果您未选择任何规则，Kaspersky Endpoint Security 将导出所有规则。
    
    单击导出链接。
    在打开的窗口中，指定您要将规则列表导出到的 XML 文件的名称，然后选择要保存此文件的文件夹。
    保存文件。
    Kaspersky Endpoint Security 会将整个规则列表导出到 XML 文件。
    
    要导入系统完整性检查规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  7. 保存更改。
  如何在 Web Console 中导出和导入系统完整性检查规则列表
  1. 在 Web Console 的主窗口中，选择“设备” → “策略和配置文件”。
  2. 单击 Kaspersky Endpoint Security 策略的名称。
    策略属性窗口将打开。
  3. 选择应用程序设置选项卡。
  4. 选择安全控制 → 系统完整性监控。
  5. 要导出或导入实时系统完整性监控规则：
    在“实时系统完整性监控”块中单击“配置”按钮。
    要导出实时系统完整性监控规则列表：
    选择您要导出的规则。
    单击“导出”。
    确认您仅想导出所选规则，或导出整个列表。
    保存文件。
    Kaspersky Endpoint Security 导出规则列表到默认下载文件夹中的 XML 文件。
    
    要导入实时系统完整性监控规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  6. 要导出或导入系统完整性检查规则：
    在“系统完整性检查”块中，选择“自定义设置”。
    单击“配置”。
    要导出系统完整性检查规则列表：
    选择您要导出的规则。
    单击“导出”。
    确认您仅想导出所选规则，或导出整个列表。
    保存文件。
    Kaspersky Endpoint Security 导出规则列表到默认下载文件夹中的 XML 文件。
    
    要导入系统完整性检查规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  7. 保存更改。
配置实时系统完整性监控规则（见下表）。
保存更改。

如何在应用程序界面中启用实时系统完整性监控

打开主应用程序窗口并单击按钮。
在应用程序设置窗口中，选择“安全控制” → “系统完整性监控”。
打开“系统完整性监控”切换开关。
在“操作模式”下，选择实时系统完整性监控的模式：
- “保护系统不被规则更改”。在此模式下，系统完整性监控会阻止对监控范围内的文件和注册表项的操作，并生成相应的事件。
- “测试模式: 不阻止，仅记录”。在此模式下，系统完整性监控会允许对监控范围内的文件和注册表项的操作，并生成相应的事件。
在“实时系统完整性监控”块中，选中“实时系统完整性监控”复选框。
配置外部设备监控：
1. 选择监控设备复选框。
2. 在“事件严重级别”下拉列表中，选择外部设备监控事件的重要性级别：信息、警告、关键。
系统完整性监控记录外部设备的当前连接。在应用程序设置中启用该组件后，应用程序开始监控外部设备的连接和断开连接。随后，当外部设备连接或者断开时，应用程序就会产生相应的事件。
配置文件和注册表监控：
1. 选择监控文件和注册表复选框。
2. 单击“设置”。
  这将打开系统完整性监控规则列表。
3. 单击“添加”。
  您也可以从其他来源导入规则。
  您可以将系统完整性监控规则列表导出到 XML 文件。然后可以修改文件，例如，添加大量相同类型的记录。您还可以使用导出/导入功能备份系统完整性监控规则列表或将列表迁移到其他服务器。
  
  如何在管理控制台 (MMC) 中导出和导入系统完整性监控规则列表
  1. 打开 Kaspersky Security Center Administration Console。
  2. 在控制台树中，选择“策略”。
  3. 选择必要的策略并双击以打开策略属性。
  4. 在策略窗口中，选择安全控制 → 系统完整性监控。
  5. 要导出或导入实时系统完整性监控规则：
    在“实时系统完整性监控”块中单击“设置”按钮。
    要导出实时系统完整性监控规则列表：
    选择您要导出的规则。要选择多个端口，使用 CTRL 或 SHIFT 键。
    如果您未选择任何规则，Kaspersky Endpoint Security 将导出所有规则。
    
    单击导出链接。
    在打开的窗口中，指定您要将规则列表导出到的 XML 文件的名称，然后选择要保存此文件的文件夹。
    保存文件。
    Kaspersky Endpoint Security 会将整个规则列表导出到 XML 文件。
    
    要导入实时系统完整性监控规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  6. 要导出或导入系统完整性检查规则：
    在“系统完整性检查”块中，选择“自定义设置”。
    单击“设置”。
    要导出系统完整性检查规则列表：
    选择您要导出的规则。要选择多个端口，使用 CTRL 或 SHIFT 键。
    如果您未选择任何规则，Kaspersky Endpoint Security 将导出所有规则。
    
    单击导出链接。
    在打开的窗口中，指定您要将规则列表导出到的 XML 文件的名称，然后选择要保存此文件的文件夹。
    保存文件。
    Kaspersky Endpoint Security 会将整个规则列表导出到 XML 文件。
    
    要导入系统完整性检查规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  7. 保存更改。
  如何在 Web Console 中导出和导入系统完整性检查规则列表
  1. 在 Web Console 的主窗口中，选择“设备” → “策略和配置文件”。
  2. 单击 Kaspersky Endpoint Security 策略的名称。
    策略属性窗口将打开。
  3. 选择应用程序设置选项卡。
  4. 选择安全控制 → 系统完整性监控。
  5. 要导出或导入实时系统完整性监控规则：
    在“实时系统完整性监控”块中单击“配置”按钮。
    要导出实时系统完整性监控规则列表：
    选择您要导出的规则。
    单击“导出”。
    确认您仅想导出所选规则，或导出整个列表。
    保存文件。
    Kaspersky Endpoint Security 导出规则列表到默认下载文件夹中的 XML 文件。
    
    要导入实时系统完整性监控规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  6. 要导出或导入系统完整性检查规则：
    在“系统完整性检查”块中，选择“自定义设置”。
    单击“配置”。
    要导出系统完整性检查规则列表：
    选择您要导出的规则。
    单击“导出”。
    确认您仅想导出所选规则，或导出整个列表。
    保存文件。
    Kaspersky Endpoint Security 导出规则列表到默认下载文件夹中的 XML 文件。
    
    要导入系统完整性检查规则列表：
    单击导入链接。
    在打开的窗口中，选择要从中导入规则列表的 XML 文件。
    
    打开文件。
    如果计算机已经具有规则的列表，则 Kaspersky Endpoint Security 将提示您删除现有列表或从 XML 文件向其中添加新条目。
  7. 保存更改。
配置实时系统完整性监控规则（见下表）。
保存更改。

实时系统完整性监控规则设置

参数	描述
规则名称	实时系统完整性监控规则的名称
对文件和注册表的操作	“允许”。系统完整性监控允许对监控范围内的文件和注册表项执行操作。 “阻止”。系统完整性监控行为取决于所选的模式。如果您选择了“系统保护模式”，系统完整性监控阻止对监控范围内的文件和注册表项执行操作，生成相应事件，并在 Kaspersky Security Center 控制台中更改设备的状态。如果您选择了“测试模式”，系统完整性监控允许对监控范围内的文件和注册表项执行操作。
事件严重级别	Kaspersky Endpoint Security 在监控范围内的文件或注册表项被修改时记录文件修改事件。以下事件严重性级别可用：信息 , 警告 , 关键。
监控范围	“文件”。组件监控的文件和文件夹列表。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 `` 以及 `?` 字符。使用掩码： ``（星号）字符代表任意一组字符，但 `\` 和 `/` 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 `C:\\.txt` 将包括位于 C: 驱动器的文件夹（但不包括子文件夹）中所有具有 TXT 扩展名的文件的路径。两个连续 `` 字符在文件或文件夹名称中代表任意一组字符（包括空集），包括 `\` 和 `/` 字符（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 `C:\Folder\\.txt` 将包括位于 `Folder` 嵌套子文件夹（除了 `Folder` 本身）中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码 `C:\*\.txt` 不是有效掩码。 `?`（问号）字符代表任意单个字符，但 `\` 和 `/` 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 `C:\Folder\???.txt` 将包括位于 `Folder` 文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。 “注册表”。组件监控的注册表项和值的列表。输入掩码时，Kaspersky Endpoint Security 支持 `*` 字符和 `?` 字符。
排除项	“文件”。监控范围的排除项列表。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 `` 以及 `?` 字符。例如，`C:\Folder\Application\.log`。排除项的优先级高于监控范围。使用掩码： ``（星号）字符代表任意一组字符，但 `\` 和 `/` 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 `C:\\.txt` 将包括位于 C: 驱动器的文件夹（但不包括子文件夹）中所有具有 TXT 扩展名的文件的路径。两个连续 `` 字符在文件或文件夹名称中代表任意一组字符（包括空集），包括 `\` 和 `/` 字符（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 `C:\Folder\*\.txt` 将包括位于 `Folder` 嵌套子文件夹（除了 `Folder` 本身）中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码 `C:\*\.txt` 不是有效掩码。 `?`（问号）字符代表任意单个字符，但 `\` 和 `/` 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 `C:\Folder\???.txt` 将包括位于 `Folder` 文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。 “注册表”。监控范围的排除项列表。输入掩码时，Kaspersky Endpoint Security 支持 `*` 字符和 `?` 字符。排除项的优先级高于监控范围。
受信任的用户和/或用户组	受信任的用户是被允许对监控范围内的文件和注册表项执行操作的用户。如果 Kaspersky Endpoint Security 检测到受信任用户执行的操作，系统完整性监控会生成“信息” 事件。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户，当无法使用域用户账户时。
文件操作标记 / 监控的操作	使用应用程序将监控的文件或注册表项来描述操作的标记。
哈希	在修改时计算文件哈希值。当事件生成时，Kaspersky Endpoint Security 会添加有关文件哈希值的信息。

页面顶部