Pour fonctionner correctement, l’application doit utiliser l’interception des événements système – opérations sur les fichiers et lancements de processus. Si l'application n'utilise pas l'interception des événements système, l'analyse des fichiers en temps réel n'est pas effectuée et le niveau de protection de l'appareil est réduit.
Si le système d'exploitation de votre appareil prend en charge la technologie fanotify, vous pouvez choisir le mécanisme que l'application doit utiliser pour intercepter les événements système :
Si Kaspersky Endpoint Security est utilisé en mode Light Agent pour protéger les environnements virtuels, le module de noyau mis à jour n'est pas pris en charge.
Pour les systèmes d’exploitation qui ne prennent pas en charge la technologie fanotify, le choix du mécanisme d’interception n’est pas disponible. L'application utilise un module de noyau spécial pour intercepter les événements système afin de se protéger contre les fichiers malicieux. Ce module est automatiquement compilé au lancement de la Protection contre les fichiers malicieux, à condition que les paquets de compilation et les utilitaires nécessaires soient disponibles.
Une application peut utiliser le mécanisme de hook basé sur le module du noyau si le système d'exploitation répond aux exigences d'installation du module du noyau.
Vous pouvez vérifier si votre appareil répond aux exigences d'installation du module de noyau mis à jour à l'aide de l'utilitaire Kaspersky ULKM tool.
Vous pouvez installer un module de noyau mis à jour lors de l'installation de l'application ou ultérieurement suite à la réception de mises à jour fournissant une prise en charge du module de noyau mis à jour. Après avoir installé l'application, vous pouvez sélectionner le mécanisme à utiliser pour intercepter les événements système dans Web Console, dans la Console d'administration ou dans la ligne de commande.
Si vous sélectionnez le mécanisme d'interception basé sur le module de noyau mis à jour, vous pouvez configurer le comportement de l'application si une erreur se produit lors du démarrage du module du noyau mis à jour et que le module ne démarre pas. Dans ce cas, l'application peut passer à l'utilisation de la technologie fanotify pour intercepter les événements système ou désactiver l'interception des événements système.
Une application peut passer à l’utilisation d’un module de noyau mis à jour dans les situations suivantes :
Pour que l'application fonctionne correctement, le passage à l'utilisation du module de noyau mis à jour doit être effectué après le redémarrage automatique de l'application.
Vous pouvez afficher des informations sur l'état et la disponibilité du module de noyau mis à jour sur votre appareil :
kesl-control --app-info.Les informations sur l'état du module du noyau mis à jour sont affichées sous forme d'états :