关于文件操作监控规则

“文件完整性监控”根据文件操作监控规则运行。可以使用规则触发条件来配置触发任务的条件，以及调整任务日志中记录的已删除文件操作事件的重要性级别。

针对每个监控范围指定了文件操作监控规则。

可以配置以下规则触发条件：

受信任用户。
文件操作标记。

受信任用户

默认情况下，应用程序将所有操作视为潜在安全入侵。受信任用户列表为空。可以通过在文件操作监控规则设置中创建受信任用户列表来配置事件重要性级别。

不受信任用户 – 监控范围规则设置中的受信任用户列表中未指定的任何用户。如果 Kaspersky Security for Windows Server 检测到不受信任用户执行的文件操作，则“文件完整性监控”任务将在任务日志中记录一个严重事件。

受信任用户 – 经过授权可在指定的监控范围内执行文件操作的用户或用户组。如果 Kaspersky Security for Windows Server 检测到受信任用户执行的文件操作，则“文件完整性监控”任务将在任务日志中记录一个“信息事件”。

Kaspersky Security for Windows Server 在监控中断期间无法确定发起操作的用户。在此情况下，用户状态被确定为未知。

未知用户 – 如果由于任务中断或者数据同步驱动程序或 USN 日志失败导致 Kaspersky Security for Windows Server 无法获取有关用户的数据，则将此状态分配给用户。如果 Kaspersky Security for Windows Server 检测到未知用户执行的文件操作，则“文件完整性监控”任务将在任务日志中记录一个“警告事件”。

文件操作标记

当“文件完整性监控”任务运行时，Kaspersky Security for Windows Server 使用文件操作标记来确定已对文件执行了操作。

文件操作标记是可以对文件操作进行特征化的独特描述符。

每个文件操作可以是针对文件进行的单个操作或系列操作。每个此类操作等同于一个文件操作标记。如果您指定作为规则触发条件的标记在文件操作链中被删除，则应用程序将记录一个事件，表示已执行指定的文件操作。

已记录事件的重要性级别不取决于选定的文件操作标记或事件的数量。

默认情况下，Kaspersky Security for Windows Server 考虑所有可用的文件操作标记。可以在任务规则设置中手动选择文件操作标记。

文件操作标记

文件操作 ID	文件操作标记	支持的文件系统
BASIC_INFO_CHANGE	已更改文件或文件夹的属性或时间标记	NTFS、ReFS
COMPRESSION_CHANGE	已更改文件或文件夹的压缩	NTFS、ReFS
DATA_EXTEND	已更改文件或文件夹的大小	NTFS、ReFS
DATA_OVERWRITE	已覆盖文件或文件夹中的数据	NTFS、ReFS
DATA_TRUNCATION	已截断文件或文件夹	NTFS、ReFS
EA_CHANGE	已更改扩展的文件或文件夹属性	仅限 NTFS
ENCRYPTION_CHANGE	已更改文件或文件夹的加密状态	NTFS、ReFS
FILE_CREATE	首次创建文件或文件夹	NTFS、ReFS
FILE_DELETE	使用 SHIFT+DEL 组合键永久删除的文件或文件夹	NTFS、ReFS
HARD_LINK_CHANGE	已为创建或删除文件或文件夹的硬链接	仅限 NTFS
INDEXABLE_CHANGE	已更改文件或文件夹的索引状态	NTFS、ReFS
INTEGRITY_CHANGE	已更改命名的文件流的完整性属性	仅限 ReFS
NAMED_DATA_EXTEND	已增大命名的文件流的大小	NTFS、ReFS
NAMED_DATA_OVERWRITE	已覆盖命名的文件流	NTFS、ReFS
NAMED_DATA_TRUNCATION	已截断命名的文件流	NTFS、ReFS
OBJECT_ID_CHANGE	已更改文件或文件夹标识符	NTFS、ReFS
RENAME_NEW_NAME	已为文件或文件夹分配新名称	NTFS、ReFS
REPARSE_POINT_CHANGE	已为文件或文件夹创建新的重分析点或更改其现有重分析点	NTFS、ReFS
SECURITY_CHANGE	已更改文件或文件夹访问权限	NTFS、ReFS
STREAM_CHANGE	已创建新的命名的文件流或更改现有命名的文件流	NTFS、ReFS
TRANSACTED_CHANGE	TxF 事务已更改命名的文件流	仅限 ReFS

页面顶部