创建和编辑系统完整性监控规则

您可以通过为文件和文件夹、注册表键和值创建监控范围和/或监控范围排除列表,来创建系统完整性监控规则。创建或导入系统完整性监控规则后,您可以在必要时更改规则设置。

要通过 Kaspersky Security Center 创建或编辑系统完整性监控规则:

  1. 打开 Kaspersky Security Center 管理控制台。
  2. 在控制台树的“受管理设备”文件夹中,打开具有相关受保护的虚拟机所属的管理组名称的文件夹。
  3. 在工作区中选择“策略”选项卡。
  4. 在策略列表中选择 Light Agent for Windows 策略,通过双击打开“属性:<策略名称>”。
  5. 在策略属性窗口中,选择左侧列表中的“系统完整性监控”区域。
  6. 在窗口的右侧部分,在以下区域之一中单击“监控文件和注册表”复选框右侧的“设置”按钮:
    • 如果希望配置实时系统完整性监控规则,则在“系统完整性监控范围”区域中。
    • 如果希望配置系统完整性检查任务和基线更新任务规则,则在“系统完整性检查范围”区域中。
  7. 在打开的“系统完整性监控规则”窗口中,执行以下操作之一:
    • 如果您要创建系统完整性监控规则,请单击位于规则列表上方的“添加”按钮。
    • 如果您要编辑系统完整性监控规则,请在列表中选择此规则并单击“编辑”按钮。
  8. 在打开的“系统完整性监控规则”窗口中,输入规则名称,并为系统完整性监控在应用此规则后生成的事件选择重要级别。默认情况下,将生成“信息性”事件。
  9. 在“文件”选项卡上配置文件和文件夹的系统完整性监控范围。

    要添加让 Kaspersky Security 监控其变化的文件或文件夹:

    1. 单击位于“文件”选项卡上的“监控范围”字段上方的“添加”按钮。
    2. 在打开的“文件或文件夹”窗口中,输入要监控的文件夹的绝对路径或路径掩码。

      进入路径掩码时,您可以在路径的任何部分中使用以下字符:

      • * 字符可代表任何字符,除了 \ / : ? ” < > | *。此外:
        • 如果 * 字符用于指定路径的整个组件的名称(例如,用于指定文件夹名:/*/),它可代表一个或多个字符。
        • 如果 * 字符用于指定路径组件的部分名称(例如,用于指定文件夹名称的一部分:/abc*/),则它可代表零或更多个字符。
      • ? 字符可替换任何单个字符。

      进入文件夹路径时,可以使用环境变量。必须在环境变量的名称之前或之后输入 % 字符。

    3. 如果您需要监控指定文件夹中的文件更改,请在“文件名或文件掩码”字段中输入文件名或文件掩码。

      进入掩码时,可以使用以下字符:

      • * 代表零或多个字符。它可代表任何字符,除了 \ / : ? ” < > | *
      • ? 代表任意一个字符

      如果还要监控对嵌套文件夹中的指定文件所做的更改,请选中“包括子文件夹中的文件”复选框。

    4. 单击“文件或文件夹”窗口中的“确定”。

    文件或文件夹路径在“监控范围”字段中的路径列表中显示。

    Kaspersky Security 仅对位于实时系统完整性监控启动运行时已连接的驱动器上的文件和文件夹所做的更改进行监控,这意味着已应用策略或已启用实时系统完整性监控。如果当“实时系统完整性监控”开始运行时驱动器处于关闭状态,则对该驱动器上的文件和文件夹的修改不会受到监控,即使这些文件和文件夹已添加到监控范围中。

    您可以在列表中执行关键字搜索,并通过使用“删除”按钮从列表中删除文件和文件夹。

  10. 如有必要,您同样可以配置从监控范围排除的文件和/或文件夹路径的列表。Kaspersky Security 不会监控对添加至“排除项”字段中的路径列表的文件和文件夹的更改。

    要配置排除列表,请使用位于“文件”选项卡上的“排除项”字段上方的“添加”和“删除”按钮。

  11. 在“注册表”选项卡上配置注册表键和值的监控范围。

    要添加让 Kaspersky Security 监控其变化的注册表键或键参数:

    1. 单击位于“注册表”选项卡上的“监控范围”字段上方的“添加”按钮。

      将打开“注册表键”窗口。

    2. 输入必须监控其修改的注册表键的名称。

      不支持 HKEY_CURRENT_USER 项。您可以按如下方式通过 HKEY_USER 指定注册表键路径:HKEY_USERS\<用户配置文件 ID>\<键>。

    3. 如果希望 Kaspersky Security 也监控嵌套项,请选中“包括嵌套键”复选框。
    4. 如果需要监控对指定项参数的修改,请在“键参数的名称或掩码”字段中输入参数的名称或掩码。

      当输入掩码时,您可以使用通配符 *(任意字符序列)和 ?(任意单个字符)。

    5. 在“注册表键”窗口中,单击“确定”。

    注册表键和项参数(若指定)的名称在“监控范围”字段中的注册表键和注册表值列表中显示。

    您可以在列表中执行关键字搜索,并使用“删除”按钮从列表中删除注册表键。

  12. 如有必要,您同样可以配置从监控范围排除的注册表键和注册表值的列表。Kaspersky Security 不会监控对添加至“排除项”字段中的列表的注册表键和注册表值的更改。

    要配置排除列表,请使用位于“注册表”选项卡上的“排除项”字段上方的“添加”和“删除”按钮。

  13. 在“系统完整性监控规则”窗口中,单击“确定”。

    规则将在“系统完整性监控规则”窗口中的规则列表中显示。

  14. 在“系统完整性监控规则”窗口中,单击“确定”。
  15. 单击“应用”按钮。

要在本地界面中创建或编辑系统完整性监控规则:

  1. 在受保护的虚拟机上,打开应用程序设置窗口
  2. 在窗口左侧的“端点控制”区域中,选择“系统完整性监控”区域。

    系统完整性监控组件的设置将显示在窗口右边。

    如果本地界面中的设置不可用,这表示由策略定义的设置值用于管理组的所有受保护的虚拟机。

  3. 执行以下操作之一:
    • 如果希望配置实时系统完整性监控规则,单击位于“系统完整性监控设置”区域上部“监控文件和注册表”复选框右侧的“设置”按钮。
    • 如果希望配置系统完整性检查任务和基线更新任务规则,单击位于“系统完整性监控设置”区域下部“监控文件和注册表”复选框右侧的“设置”按钮。

    将打开“系统完整性监控规则”窗口。

  4. 完成前面说明的第 7 步至第 14 步。
  5. 要保存更改,请单击“保存”按钮。
页面顶部