La tarea Monitor de integridad de archivos funciona sobre la base de reglas de supervisión de operaciones de archivos. Puede usar criterios de activación de reglas para configurar las condiciones que harán que se active la tarea la tarea; también puede ajustar el nivel de importancia que se dará a los eventos de operaciones de archivos que se detecten y se hagan constar en el registro de tareas.
Cada área de supervisión está asociada a una regla de supervisión de operaciones de archivos.
Puede configurar los siguientes criterios de activación de la regla:
Usuarios de confianza
De forma predeterminada, la aplicación trata todas las acciones del usuario como posible violación de la seguridad. La lista de usuarios de confianza está vacía. Puede crear una lista de usuarios de confianza en los ajustes de las reglas de supervisión de operaciones de archivos para configurar el nivel de importancia de los eventos.
Usuario que no es de confianza: es un estado asignado a cualquier usuario no indicado en la lista de usuarios de confianza en la configuración de la regla del área de supervisión. Si Kaspersky Embedded Systems Security para Windows detecta una operación de archivo realizada por un usuario que no es de confianza, la tarea Monitor de integridad de archivos registrará un Evento crítico en el registro de tareas.
Usuario de confianza: es un estado asignado a un usuario o el grupo de usuarios autorizados para realizar operaciones con archivos en el área de supervisión especificada. Si Kaspersky Embedded Systems Security para Windows detecta operaciones de archivos realizadas por un usuario de confianza, la tarea Monitor de integridad de archivos registrará un Evento informativo en el registro de tareas.
Kaspersky Embedded Systems Security para Windows no puede determinar a los usuarios que inician operaciones durante las interrupciones de la supervisión. En este caso, el estado del usuario está determinado como desconocido.
Usuario desconocido: es un estado que se asigna a un usuario si Kaspersky Embedded Systems Security para Windows no puede recibir la información sobre un usuario debido a una interrupción de la tarea o una omisión del controlador de sincronización de datos o un diario de USN. Si Kaspersky Embedded Systems Security para Windows detecta una operación de archivos realizada por un usuario desconocido, la tarea Monitor de integridad de archivos registrará un evento de Advertencia en el registro de tareas.
Marcadores de operaciones con archivos
Cuando la tarea Monitor de integridad de archivos se ejecuta, Kaspersky Embedded Systems Security para Windows usa marcadores de operaciones de archivos para decidir que una acción se ha realizado en un archivo.
Un marcador de operaciones con archivos es un descriptor único que puede caracterizar una operación con archivos.
Cada operación con archivos puede ser una sola acción o una cadena de acciones con archivos. Cada acción de esta clase se compara con un marcador de operaciones con archivos. Si el marcador que especifica como criterio de activación de la regla se detecta en una cadena de operaciones con archivos, la aplicación registra un evento que indica que la operación con archivos dada se realizó.
El nivel de importancia de los eventos registrados no depende de los marcadores de operaciones con archivos seleccionados o el número de eventos.
De forma predeterminada, Kaspersky Embedded Systems Security para Windows considera todos los marcadores de operaciones con archivos disponibles. Puede seleccionar marcadores de operaciones con archivos manualmente en la configuración de la regla de la tarea.
Establecer Marcadores de operación de los archivos
ID de operación con archivos |
Marcador de operaciones con archivos |
Sistemas de archivos admitidos |
|---|---|---|
BASIC_INFO_CHANGE |
Los atributos o los marcadores del tiempo de un archivo o carpeta cambiaron. |
NTFS, ReFS |
COMPRESSION_CHANGE |
La compresión de un archivo o carpeta cambió. |
NTFS, ReFS |
DATA_EXTEND |
El tamaño de archivo o carpeta aumentó. |
NTFS, ReFS |
DATA_OVERWRITE |
El dato en un archivo o carpeta se sobrescribió. |
NTFS, ReFS |
DATA_TRUNCATION |
Archivo o carpeta truncados. |
NTFS, ReFS |
EA_CHANGE |
Los atributos de la carpeta o el archivo ampliado cambiaron. |
Solo NTFS |
ENCRYPTION_CHANGE |
El estado del cifrado del archivo o la carpeta cambió. |
NTFS, ReFS |
FILE_CREATE |
Archivo o carpeta creada por primera vez |
NTFS, ReFS |
FILE_DELETE |
El archivo o la carpeta eliminados de forma permanente con la combinación SHIFT+DEL |
NTFS, ReFS |
HARD_LINK_CHANGE |
Vínculo físico creado o eliminado del archivo o la carpeta |
Solo NTFS |
INDEXABLE_CHANGE |
El estado del índice de archivo o carpeta cambió. |
NTFS, ReFS |
INTEGRITY_CHANGE |
El atributo de integridad cambió para un determinado flujo de archivos. |
Solo ReFS |
NAMED_DATA_EXTEND |
El tamaño de un determinado flujo de archivos aumentó. |
NTFS, ReFS |
NAMED_DATA_OVERWRITE |
Determinado flujo de archivos sobrescrito |
NTFS, ReFS |
NAMED_DATA_TRUNCATION |
Determinado flujo de archivos truncado |
NTFS, ReFS |
OBJECT_ID_CHANGE |
El identificador de archivo o carpeta cambió. |
NTFS, ReFS |
RENAME_NEW_NAME |
Nombre nuevo asignado a archivo o carpeta |
NTFS, ReFS |
REPARSE_POINT_CHANGE |
Nuevo punto de reanálisis creado o existente cambiado para un archivo o carpeta |
NTFS, ReFS |
SECURITY_CHANGE |
Los derechos de acceso del archivo o la carpeta cambiaron. |
NTFS, ReFS |
STREAM_CHANGE |
Determinado flujo de archivos nuevo creado o flujo de archivos existentes modificado |
NTFS, ReFS |
TRANSACTED_CHANGE |
Flujo de archivos determinado modificado por transacción TxF |
Solo ReFS |