Valós idejű rendszerintegritás-figyelő
A Rendszerintegritás-figyelő lehetővé teszi az operációs rendszer változásainak valós idejű követését. Nyomon követheti azokat a módosításokat, amelyek a számítógép biztonságának sérülésére utalhatnak. Az összetevő lehetővé teszi ezen módosítások blokkolását vagy pusztán a változási események naplózását.
A Rendszerintegritás-figyelő működéséhez hozzá kell adni legalább egy szabályt. A Rendszerintegritás-figyelői szabály egy olyan feltételkészlet, amely meghatározza a felhasználók fájlokhoz és beállításjegyzékhez való hozzáférését. A Rendszerintegritás-figyelő észleli a fájlok és a beállításjegyzék módosításait a megadott figyelési hatókörben. A figyelési hatókör a Rendszerintegritás-figyelő szabályainak egyik feltétele.
Valós idejű Rendszerintegritás-figyelői módok
Annak érdekében, hogy a Rendszerintegritás-figyelői szabályok ne blokkoljanak az operációs rendszer vagy más szolgáltatások működése szempontjából kritikus erőforrásokkal végzett műveleteket, javasoljuk a Teszt mód engedélyezését, és annak elemzését, hogy az összetevő milyen hatással van a rendszerre. Bekapcsolt Teszt mód mellett a Kaspersky Endpoint Security nem blokkolja a szabályok által tiltott felhasználói tevékenységeket, hanem Figyelmeztetés típusú eseményeket generál.
A Valós idejű Rendszerintegritás-figyelő összetevőnek két módja van:
- Szabályokkal védi a rendszert a módosításoktól
Ebben a módban a Rendszerintegritás-figyelő nyomon követi a rendszerben bekövetkezett változásokat, és a szabályoknak megfelelően végrehajt egy műveletet: Engedélyezés vagy Blokkolás. A Rendszerintegritás-figyelő is generál egy megfelelő eseményt, és módosítja az eszköz állapotát a Kaspersky Security Center konzolon.
- Teszt mód: nincs blokkolás, csak naplózás
Ebben a módban a Rendszerintegritás-figyelő engedélyezi a figyelési hatókörben lévő fájlokkal és beállításkulcsokkal kapcsolatos műveleteket. Ha a fájlokkal vagy a beállításjegyzékkel végzett művelet le van tiltva, az alkalmazás egy eseményt generál: A tiltott műveletet teszt módban engedélyezték. A szabályok rendszerre gyakorolt hatásának elemzéséhez tekintse meg a jelentéseket.
Valós idejű Rendszerintegritás-figyelő engedélyezése
A valós idejű rendszerintegritás-figyelő engedélyezése a Felügyeleti konzolon (MMC)
A Valós idejű rendszerintegritás-figyelő engedélyezése a Web Console-on
A valós idejű Rendszerintegritás-figyelő engedélyezése az alkalmazás felületén
A valós idejű Rendszerintegritás-figyelő szabálybeállításai
Paraméter | Leírás |
---|---|
Szabály neve | A valós idejű Rendszerintegritás-figyelő szabályneve |
Műveletek fájlokkal és a beállításjegyzékkel |
|
Esemény súlyossági szintje | A Kaspersky Endpoint Security naplózza a fájlmódosítási eseményeket, amikor egy figyelési hatókörben lévő fájl vagy beállításkulcs módosul. A következő súlyossági szintek érhetők el az eseményekhez: Tájékoztatás |
Figyelés hatóköre |
|
Kizárások |
|
Megbízható felhasználók és/vagy felhasználói csoportok | A megbízható felhasználó olyan felhasználó, aki műveleteket hajthat végre a figyelési hatókörben lévő fájlokkal és beállításkulcsokkal. Ha a Kaspersky Endpoint Security megbízható felhasználó által végrehajtott műveletet észlel, a Rendszerintegritás-figyelő létrehoz egy Információs A felhasználókat kiválaszthatja az Active Directoryban, a Kaspersky Security Center fióklistájában, vagy a helyi felhasználónév manuális megadásával. A Kaspersky csak olyan különleges esetekben javasolja a helyi felhasználói fiókok használatát, amikor nem lehetséges tartományi felhasználói fiókok használata. |
Fájlműveleti jelölők / felügyelt műveletek | Az alkalmazás által felügyelt fájlokkal vagy beállításkulcsokkal végzett műveleteket jellemző jelölők. |
Kivonatolás | Fájlkivonat kiszámításaa módosításkor. A Kaspersky Endpoint Security az esemény generálásakor információkat ad hozzá a fájl kivonatáról. |