配置监控规则
要添加监控范围,请执行以下步骤:
- 在 Web 控制台的主窗口中,选择“设备”→“策略和配置文件”。
- 单击要配置的策略名称。
- 在打开的“<策略名称>”窗口中,选择“应用程序设置”选项卡。
- 选择“系统审查”部分。
- 单击“文件完整性监控”子部分中的“设置”。
- 在打开的“文件完整性监控”窗口中,打开“文件操作监控设置”选项卡。
- 在“USN 日志”部分中,单击“添加”按钮。
将打开“文件操作监控规则”窗口。
- 在“监控该范围的文件操作”中,使用受支持的掩码指定路径:
- <*.ext> - 带有 <ext> 扩展名的所有文件,与其位置无关;
- <*\name.ext> - 带有 <name> 名称和 <ext> 扩展名的所有文件,与其位置无关;
- <\dir\*> - 位于 <\dir> 文件夹中的所有文件;
- <\dir\*\name.ext> - <\dir> 文件夹及其所有子文件夹中带有 <name> 名称和 <ext> 扩展名的所有文件。
当手动指定监控范围时,请确保路径为以下格式:<卷字母>:\<掩码>。如果缺少卷字母,则 Kaspersky Security for Windows Server 将不会添加指定的监控范围。
- 在“受信任用户”选项卡上,执行以下操作之一:
- 单击“添加”按钮,然后在打开的窗口的“用户名”字段中,使用 SID 表示法指定用户。
- 单击“从管理服务器添加”按钮,然后在打开的窗口中,从列表中选择用户。
默认情况下,Kaspersky Security for Windows Server 将未列入受信任用户列表的所有用户视为不受信任,并为他们生成严重事件。
- 单击“确定”。
- 选择“文件操作标记”选项卡。
- 如果需要,执行以下操作来选择多个标记:
- 选择“基于以下标记检测文件操作”选项。
- 在可用文件操作列表中,选中要监控的操作旁边的复选框。
默认情况下,Kaspersky Security for Windows Server 将检测所有文件操作标记,已选择“基于所有可识别的标记检测文件操作”选项。
- 如果执行操作后,您想要 Kaspersky Security for Windows Server 计算文件校验和,请执行以下操作:
- 选中如果可能,计算文件的校验和。该校验和将可在任务日志中查看复选框中查看。
- 在“校验和类型”下拉列表中,选择以下选项之一:
- SHA256 哈希
- MD5 哈希
- 如果您不希望监控所有文件操作,则在可用文件操作列表中,选中要监控的操作旁边的复选框。
- 如果必要,通过执行以下步骤添加排除的监控范围:
- 选择“排除”选项卡。
- 选中“从控制中排除以下文件夹”复选框。
- 单击“添加”按钮。
将打开“选择要添加的文件夹”窗口。
- 在右侧打开的窗格中,指定要从监控范围中排除的文件夹。
- 单击“确定”。
指定的文件夹被添加到排除范围列表。
- 在“文件操作监控规则”窗口中单击“确定”。
指定的规则设置将应用于“文件完整性监控”任务的选定监控范围。
