A Rendszerintegritás-figyelő szabályairól
A Rendszerintegritás-figyelő működéséhez hozzá kell adni legalább egy szabályt. A Rendszerintegritás-figyelői szabály egy olyan feltételkészlet, amely meghatározza a felhasználók fájlokhoz és beállításjegyzékhez való hozzáférését. A Rendszerintegritás-figyelő észleli a fájlok és a beállításjegyzék módosításait a megadott figyelési hatókörben. A figyelési hatókör a Rendszerintegritás-figyelő szabályainak egyik feltétele.
A Rendszerintegritás-figyelő a következő objektumok megfigyelését teszi lehetővé:
- Fájlok
- Beállításjegyzék
- Külső eszközök
A fájlfigyeléssel kapcsolatos különleges szempontok
A Rendszerintegritás-figyelő figyeli a fájlok és mappák változásait, valamint a figyelési hatókörhöz hozzáadott vagy onnan eltávolított fájlokat. Ezek a változtatások arra utalhatnak, hogy egy támadó sikeresen átjutott a számítógép védelmén. Javasoljuk, hogy olyan objektumokat adjon meg, amelyeket ritkán módosítanak, vagy amelyekhez kizárólag a rendszergazdának van hozzáférése. Ez segít csökkenteni a Rendszerintegritás-figyelő eseményeinek számát.
A Kaspersky Endpoint Security csak azokon a lemezeken figyeli a fájlok és mappák változásait, amelyek a valós idejű Rendszerintegritás-figyelő működésének megkezdésekor csatlakoztatva voltak. Ha nem volt lemez csatlakoztatva, amikor a valós idejű Rendszerintegritás-figyelő működése megkezdődött, az alkalmazás akkor sem figyeli a fájlok és mappák változásait a lemezen, ha a fájlok és mappák hozzá vannak adva a figyelési hatókörhöz.
A beállításjegyzék-figyeléssel kapcsolatos különleges szempontok
A Rendszerintegritás-figyelő figyeli a beállításjegyzéket. Ezek a változtatások arra utalhatnak, hogy egy támadó sikeresen átjutott a számítógép védelmén.
A Rendszerintegritás-figyelő a beállításjegyzék következő fő kulcsait figyeli:
HKCR
HKLM
HKU
HKCC
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
A Rendszerintegritás-figyelő nem támogatja a HKEY_CURRENT_USER
kulcsot. Megadhat egy kulcsot a HKEY_USERS
alatt mint HKEY_USERS\<felhasználói profil azonosítója>\<kulcs>
.
Külső eszközök figyelésével kapcsolatos különleges szempontok
A Rendszerintegritás-figyelő figyeli a külső eszközök csatlakoztatását és leválasztását. Erre azért van szükség, hogy megvédje a számítógépet az ilyen eszközökkel való fájlcseréből eredő biztonsági fenyegetésektől. A Rendszerintegritás-figyelő nem figyeli a külső eszközökhöz való hozzáférést, és nem blokkolja a fájlcserét. Az eszközök elérését egy másik alkalmazás-összetevő, a Eszközfelügyelő használatával is konfigurálhatja.
A Rendszerintegritás-figyelő az alábbi típusú külső eszközök csatlakoztatását figyeli:
- Cserélhető meghajtó (beleértve az USB cserélhető meghajtókat is)
- Merevlemez
- Külső hálózati adapter
- CD-/DVD-/Blu-ray-meghajtó
- Szkenner/kamera