创建并配置文件操作监控规则
要使用管理插件创建和配置文件操作监控规则:
- 展开 Kaspersky Security Center 管理控制台树中的“受管理设备”节点。
- 选择要为其配置应用程序设置的管理组。
- 在选定的管理组的详细窗格中执行以下操作之一:
- 要为一组受保护设备配置应用程序设置,请选择“策略”选项卡,然后打开“属性:<策略名称>”窗口。
- 要为单个受保护设备配置任务或应用程序的设置,请选择“设备”选项卡并转至本地任务设置或应用程序设置。
- 执行以下操作之一:
- 如果要在策略中创建文件操作监控规则,请在“系统审查”部分的“文件完整性监控”块中单击“设置”按钮。
“文件完整性监控”窗口在“文件操作监控设置”选项卡上打开。
- 如果要为本地任务创建文件操作监控规则,请在“属性:文件完整性监控”窗口中转至“设置”部分。
- 如果要在策略中创建文件操作监控规则,请在“系统审查”部分的“文件完整性监控”块中单击“设置”按钮。
- 在“监控范围”块中,单击“添加”按钮。
将出现“文件操作监控规则”窗口。
- 通过以下方式之一添加文件操作监控范围:
- 如果要通过标准的 Microsoft Windows 对话框来选择文件夹或驱动器:
- 单击“浏览”按钮。
将出现标准的 Microsoft Windows“浏览文件夹”窗口。
- 选择要监控其文件操作的文件夹。
- 单击“确定”按钮。
- 单击“浏览”按钮。
- 如果想要手动指定监控范围,请使用支持的掩码添加路径:
- <*.ext> - 带有 <ext> 扩展名的所有文件,与其位置无关
- <*\name.ext> - 带有 <name> 名称和 <ext> 扩展名的所有文件,与其位置无关
- <\dir\*> - 位于 <\dir> 文件夹中的所有文件
- <\dir\*\name.ext> - <\dir> 文件夹及其所有子文件夹中带有 <name> 名称和 <ext> 扩展名的所有文件
当手动指定监控范围时,请确保路径为以下格式:<卷字母>:\<掩码>。如果缺少卷字母,则 Kaspersky Embedded Systems Security for Windows 将不会添加指定的监控范围。
- 如果要通过标准的 Microsoft Windows 对话框来选择文件夹或驱动器:
- 如有必要,指定受信任用户:
- 在“受信任用户”选项卡上的“添加”按钮的上下文菜单中,选择添加受信任用户的方法。
将打开“用户或用户组选择”窗口。
- 选择在选定监控范围中允许其文件操作的用户或用户组。
- 单击“确定”按钮。
默认情况下,Kaspersky Embedded Systems Security for Windows 将未列入受信任用户列表的所有用户视为不受信任,并为他们生成严重事件。对于受信任用户,将编译统计信息。
- 在“受信任用户”选项卡上的“添加”按钮的上下文菜单中,选择添加受信任用户的方法。
- 在“文件操作标记”选项卡上,如有必要,指定要监控的文件操作标记:
- 选择“基于以下标记检测文件操作”选项。
- 在可用文件操作列表中,选中要监控的操作旁边的复选框。
默认情况下,Kaspersky Embedded Systems Security for Windows 检测所有文件操作标记。选择“基于所有可识别的标记检测文件操作”选项。
- 如果您希望应用程序阻止所选范围内的所有文件操作,请选中“检测并阻止所选区域中的所有文件操作”复选框。
- 如果您希望应用程序在文件被修改后计算其校验和:
- 选中如果可能,计算文件的校验和。该校验和将可在任务报告中查看复选框中查看。
- 在“校验和类型”下拉列表中,选择以下选项之一:
- MD5 哈希
- SHA256 哈希。
- 如有必要,添加要从所选文件操作监控范围中排除的文件夹或驱动器:
- 在“排除”选项卡上,选中“从控制中排除以下文件夹”复选框。
- 单击“添加”按钮。
将打开“受控范围排除项”窗口。
- 单击“浏览”按钮。
将出现标准的 Microsoft Windows“浏览文件夹”窗口。
- 选择文件夹或驱动器。
- 单击“确定”按钮。
指定的文件夹或驱动器将显示在“排除”选项卡上的排除列表中。
您还可以使用用于指定文件操作监控范围的相同掩码,手动添加文件操作监控范围排除项。
- 在“确定”窗口中单击“文件操作监控规则”按钮。
配置的文件操作监控规则显示在“文件完整性监控”窗口/“监控范围”块中的“属性:文件完整性监控”中。