当“系统完整性检查”任务运行时,通过比较受监控对象的当前状态和原始状态来发现每个对象的更改情况。可以使用以下比较标准:
受监控对象的初始状态被记录为基线。基线包含受监控对象及其元数据的路径。
基线可能也包含个人数据。
设备上首次运行“系统完整性检查”任务时会创建系统基线。如果您创建了多个“系统完整性检查”任务,则会为每个任务创建一个单独的基线。仅当基线包含有关在该任务定义的监控范围内的对象的信息时,才会执行任务。如果基线与监控范围不匹配,则 Kaspersky Endpoint Security 会生成系统完整性违规事件。
每当任务设置被修改(例如,当添加新的监控范围时)以及当任务以RebuildBaseline=Yes启动(或者如果在 Kaspersky Security Center 的任务属性中选中了每次任务启动时重建基线复选框)时,基线都会更新。
应用程序在受保护设备上创建基线存储。默认情况下,基线的存储位于 /var/opt/kaspersky/kesl/private/fim.db。需要 root 特权才能访问包含基线的数据库。
您可以通过删除相应的“系统完整性检查”任务来删除基线。
您可以根据需要运行系统完整性检查并配置扫描设置: