按需系統完整性檢查

支援

企業解決方案支援

Kaspersky Endpoint Security 12 for Windows

電腦控制

系統完整性監控

按需系統完整性檢查

2024年7月16日

ID 275008

另存為 PDF

按需系統完整性檢查是一項可以手動或按排程執行的工作。當執行系統完整性檢查工作時，應用程式將監控範圍內包含的物件的目前狀態與它們的基線狀態進行比較。與即時系統完整性監控相比，系統完整性檢查工作有助於限制事件數量，讓您產生作業系統變更的總體報告。

為了使系統完整性監控正常運作，您必須新增至少一個規則。系統完整性監控規則是定義使用者對檔案和登錄檔的存取權限的一組標準。系統完整性監控可偵測指定監控範圍內檔案和登錄檔的變更。監控範圍是系統完整性監控規則的標準之一。您可以配置由即時系統完整性監控和 系統完整性檢查 工作共用的規則或為工作建立單獨規則。為了建立基線，Kaspersky Endpoint Security 會將系統完整性檢查 工作的監控範圍套用到基線更新工作。

建立和更新基線

系統完整性檢查工作需要基準才能工作。基線是系統中物件的記錄狀態，應用程式在與目前狀態進行比較時將其用作參考。如果系統的目前狀態與基準中記錄的系統狀態不同，Kaspersky Endpoint Security 會產生對應的事件。您可以使用基線更新工作建立或更新基線。

您可以透過以下方式更新基線：

完整更新。
應用程式更新監控範圍內的所有物件。
增量更新。
應用程式僅偵測和更新已修改或新的物件。

如何在管理主控台 (MMC) 中建立或更新基線

如何在網頁主控台中建立或更新基線

配置系統完整性檢查工作的監控範圍

預設情況下，系統完整性檢查 工作的監控範圍與即時系統完整性監控的監控範圍相同。您可以為工作配置不同的監控範圍。

如何在管理主控台 (MMC) 中為系統完整性檢查工作配置不同的監控範圍

開啟卡巴斯基安全管理中心管理主控台。
在主控台樹狀目錄中，選擇“政策”。
選擇必要的政策並點擊以開啟政策內容。
在政策視窗中，選擇“安全控制 → 系統完整性監控”。
選擇“系統完整性監控”核取方塊。
在系統完整性檢查下面，選擇工作配置模式：自訂設定。
配置外部裝置監控：
1. 選擇“監控裝置”核取方塊。
2. 在事件重要性等級下拉式清單中，選擇外部裝置監控事件的重要性等級：資訊 , 警告 , 緊急。
系統完整性監控記錄在建立基線時已連線外部裝置的資訊。隨後，當連線外部裝置時，應用程式會產生相應的事件。當執行系統完整性檢查工作時，應用程式不會監控外部裝置的中斷連線。
配置檔案和登錄檔監控：
1. 選擇“監控檔案和登錄檔”核取方塊。
2. 單擊“設定”。
  這將開啟系統完整性監控規則清單。
3. 單擊“新增”。
  您也可以從其他來源匯入規則。
  您可以將系統完整性監控規則清單匯出到 XML 檔案。然後，您可以修改檔案，例如，新增大量相同類型的記錄。您可以使用匯出/匯入功能來備份系統完整性監控規則清單，或將清單遷移到其他伺服器。
  
  如何在管理主控台 (MMC) 中匯出和匯入系統完整性監控規則清單
  1. 開啟卡巴斯基安全管理中心管理主控台。
  2. 在主控台樹狀目錄中，選擇“政策”。
  3. 選擇必要的政策並點擊以開啟政策內容。
  4. 在政策視窗中，選擇“安全控制 → 系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”設定”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“設定”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
  如何在網頁主控台中匯出和匯入系統完整性檢查規則清單
  1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
  2. 點擊 Kaspersky Endpoint Security 政策的名稱。
    政策內容視窗將開啟。
  3. 選擇“應用程式設定”標籤。
  4. 轉到”安全控制”→”系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”配置”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“配置”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
4. 配置即時系統完整性監控規則（請參閱下表）。
儲存變更。

如何在網頁主控台中為系統完整性檢查工作配置不同的監控範圍

在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
選擇“應用程式設定”標籤。
轉到”安全控制”→”系統完整性監控”。
開啟“系統完整性監控“開關。
在系統完整性檢查下面，選擇工作配置模式：自訂設定。
配置外部裝置監控：
1. 選擇“監控裝置”核取方塊。
2. 在事件嚴重性級別下拉式清單中，選擇外部裝置監控事件的重要性等級：資訊 , 警告 , 緊急。
系統完整性監控記錄在建立基線時已連線外部裝置的資訊。隨後，當連線外部裝置時，應用程式會產生相應的事件。當執行系統完整性檢查工作時，應用程式不會監控外部裝置的中斷連線。
配置檔案和登錄檔監控：
1. 選擇“監控檔案和登錄檔”核取方塊。
2. 單擊“配置”。
  這將開啟系統完整性監控規則清單。
3. 單擊“新增”。
  您也可以從其他來源匯入規則。
  您可以將系統完整性監控規則清單匯出到 XML 檔案。然後，您可以修改檔案，例如，新增大量相同類型的記錄。您可以使用匯出/匯入功能來備份系統完整性監控規則清單，或將清單遷移到其他伺服器。
  
  如何在管理主控台 (MMC) 中匯出和匯入系統完整性監控規則清單
  1. 開啟卡巴斯基安全管理中心管理主控台。
  2. 在主控台樹狀目錄中，選擇“政策”。
  3. 選擇必要的政策並點擊以開啟政策內容。
  4. 在政策視窗中，選擇“安全控制 → 系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”設定”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“設定”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
  如何在網頁主控台中匯出和匯入系統完整性檢查規則清單
  1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
  2. 點擊 Kaspersky Endpoint Security 政策的名稱。
    政策內容視窗將開啟。
  3. 選擇“應用程式設定”標籤。
  4. 轉到”安全控制”→”系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”配置”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“配置”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
4. 配置即時系統完整性監控規則（請參閱下表）。
儲存變更。

如何配置不同的監控範圍系統完整性檢查應用程式介面中的工作

在“應用程式主視窗”中，點擊按鈕。
在應用程式設定視窗中，選取”安全控制“→“系統完整性監控”。
開啟系統完整性監控切換開關。
在系統完整性檢查下面，選擇工作配置模式：自訂設定。
配置外部裝置監控：
1. 選擇“監控裝置”核取方塊。
2. 在事件嚴重性級別下拉式清單中，選擇外部裝置監控事件的重要性等級：資訊 , 警告 , 緊急。
系統完整性監控記錄在建立基線時已連線外部裝置的資訊。隨後，當連線外部裝置時，應用程式會產生相應的事件。當執行系統完整性檢查工作時，應用程式不會監控外部裝置的中斷連線。
配置檔案和登錄檔監控：
1. 選擇“監控檔案和登錄檔”核取方塊。
2. 單擊“設定”。
  這將開啟系統完整性監控規則清單。
3. 單擊“新增”。
  您也可以從其他來源匯入規則。
  您可以將系統完整性監控規則清單匯出到 XML 檔案。然後，您可以修改檔案，例如，新增大量相同類型的記錄。您可以使用匯出/匯入功能來備份系統完整性監控規則清單，或將清單遷移到其他伺服器。
  
  如何在管理主控台 (MMC) 中匯出和匯入系統完整性監控規則清單
  1. 開啟卡巴斯基安全管理中心管理主控台。
  2. 在主控台樹狀目錄中，選擇“政策”。
  3. 選擇必要的政策並點擊以開啟政策內容。
  4. 在政策視窗中，選擇“安全控制 → 系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”設定”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“設定”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。要選擇多個連接埠，請使用CTRL或SHIFT鍵。
    如果您未選擇任何規則，則 Kaspersky Endpoint Security 將匯出所有規則。
    
    點擊”匯出”連接。
    在開啟的視窗中，指定您要將規則清單匯出到的 XML 檔案的名稱，然後選取要儲存此檔案的資料夾。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
  如何在網頁主控台中匯出和匯入系統完整性檢查規則清單
  1. 在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
  2. 點擊 Kaspersky Endpoint Security 政策的名稱。
    政策內容視窗將開啟。
  3. 選擇“應用程式設定”標籤。
  4. 轉到”安全控制”→”系統完整性監控”。
  5. 要匯出或匯入 即時系統完整性監控 規則：
    在”即時系統完整性監控”塊中，點擊”配置”按鈕。
    若要匯出即時系統完整性監控規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入即時系統完整性監控規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  6. 若要匯出或匯入 系統完整性檢查 規則：
    在“系統完整性檢查”塊中，選取“自訂設定”。
    單擊“配置”。
    若要匯出系統完整性檢查規則清單：
    選取您想要匯出的規則。
    單擊“匯出”。
    確認您只想匯出選定的規則，還是匯出整個清單。
    儲存檔案。
    Kaspersky Endpoint Security 會將規則清單匯出到預設下載資料夾中的 XML 檔案。
    
    若要匯入系統完整性檢查規則清單：
    點擊”匯入”連接。
    在開啟的視窗中，選取要從中匯入規則清單的 XML 檔案。
    
    開啟檔案。
    如果電腦已經具有規則清單，則 Kaspersky Endpoint Security 將提示您刪除現有清單或從 XML 檔案向其中新增新項目。
  7. 儲存變更。
4. 配置即時系統完整性監控規則（請參閱下表）。
儲存變更。

系統完整性檢查工作規則的設定

參數	描述
規則名稱	系統完整性檢查工作規則的名稱。
事件嚴重性級別	只要監控範圍中的檔案或登錄機碼被修改，Kaspersky Endpoint Security 就會記錄檔案修改事件。以下事件嚴重程度級別可用：資訊 , 警告 , 緊急。
監控範圍	檔案元件監視的檔案和資料夾的清單。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及``和`?`字元。使用遮罩： ``（星號）字元代表任意一組字元，但 `\` 和 `/` 字元除外（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩“`C:\\.txt`”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。兩個連續 `` 字元在檔案或資料夾名稱中代表任意一組字元（包括空集），包括 `\` 和 `/` 字元（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩 `C:\Folder\\.txt` 將包括位於巢嵌在 `Folder` 內的資料夾（`Folder`自身除外）中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 `C:\*\.txt` 不是有效遮罩。 `?`（問號）字元代表任意單個字元，但 `\` 和 `/` 字元除外（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩 `C:\Folder\???.txt` 將包括位於 `Folder` 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。登錄檔元件監視的登錄機碼和值的清單。Kaspersky Endpoint Security 輸入遮罩時支援`*` 和 `?`字元。
排除項目	檔案來自監控範圍的排除項目清單。Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及``和`?`字元。例如，`C:\Folder\Application\.log`。排除項目比監控範圍項目具有更高的優先順序。使用遮罩： ``（星號）字元代表任意一組字元，但 `\` 和 `/` 字元除外（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩“`C:\\.txt`”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。兩個連續 `` 字元在檔案或資料夾名稱中代表任意一組字元（包括空集），包括 `\` 和 `/` 字元（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩 `C:\Folder\*\.txt` 將包括位於巢嵌在 `Folder` 內的資料夾（`Folder`自身除外）中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 `C:\*\.txt` 不是有效遮罩。 `?`（問號）字元代表任意單個字元，但 `\` 和 `/` 字元除外（這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號）。例如，遮罩 `C:\Folder\???.txt` 將包括位於 `Folder` 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。登錄檔來自監控範圍的排除項目清單。Kaspersky Endpoint Security 輸入遮罩時支援`*` 和 `?`字元。排除項目比監控範圍項目具有更高的優先順序。

執行“系統完整性檢查”工作

系統完整性檢查 工作允許檢查檔案或登錄機碼是否有變更以及檢查外部裝置的連線。要檢查檔案是否發生變更，您可以用以下模式執行系統完整性檢查工作：

快速掃描。
檢查檔案是否發生變更時，應用程式僅檢查檔案屬性。該應用程式不檢查檔案的內容。
完整掃描。
檢查檔案是否發生變更時，應用程式會檢查所有檔案屬性和檔案內容。

工作執行的模式不影響對登錄檔或外部裝置的檢查。

如何在管理主控台 (MMC) 中執行系統完整性檢查工作

如何在網頁主控台中執行“系統完整性檢查”工作

為了系統完整性檢查工作順利完成，系統完整性檢查工作的監控範圍必須完全匹配基線。如果監視範圍不同，工作結束時會出現錯誤。若要同步監控範圍，請執行具有新監控範圍的基線更新工作。

此文章對您有幫助嗎？

我們可以如何改善？

感謝您的意見回饋！您正協助我們改善。