配置預定義工作規則

執行以下操作為“記錄審查”工作配置預定義規則：

1. 展開卡巴斯基安全管理中心管理主控台樹狀目錄中的“受管理裝置”節點。
2. 選擇要為其配置應用程式設定的管理群組。
3. 在選定的管理群組的詳細視窗中執行以下之一操作：
   • 要為一組受防護裝置配置應用程式設定，請選擇“政策”標籤，然後開啟“內容：<政策名稱>”視窗。
   • 要為單台受防護裝置配置應用程式，請選擇“裝置”標籤，然後開啟“應用程式設定”視窗。

     如果某個啟動卡巴斯基安全管理中心政策已套用於裝置，並且該政策封鎖對應用程式設定的變更，則無法在應用程式設定視窗中編輯這些設定。

4. 在“系統稽核”部分中，點擊“設定”子區段中的“記錄審查”按鈕。

   將開啟“記錄審查”視窗。

5. 選擇“預定義規則”標籤。
6. 選中或清除“針對記錄審查套用預定義規則”核取方塊。
   

   如果選中此核取方塊，則 Kaspersky Embedded Systems Security 使用啟發式分析來偵測受防護裝置上的異常活動。

   如果清除此核取方塊，則不使用啟發式分析，Kaspersky Embedded Systems Security 將套用預設或自訂規則來偵測異常活動。

   預設取消選定該核取方塊。

   為了能夠執行工作，必須選擇至少一種記錄審查規則。

7. 從預定義規則清單中選擇要套用的規則：
   • 系統中存在可能的暴力破解攻擊的模式。
   • 系統中存在可能的 Windows 事件記錄濫用的模式。
   • 偵測到表示已安裝新服務的異常活動。
   • 偵測到使用顯式憑證的異常登入。
   • 系統中存在可能的 Kerberos 偽造 PAC (MS14-068) 攻擊的模式。
   • 偵測到特權內建群組 Administrators 發出的異常操作。
   • 在網路登入工作階段期間偵測到異常活動。
8. 要配置選定規則，請點擊“進階設定”按鈕。

   將開啟“記錄審查”視窗。

9. 在“暴力破解攻擊偵測”部分中，設定用作啟發式分析觸發器的嘗試次數和時間範圍。
10. 在“網路登入偵測”部分中，指定時間間隔的開始和結束時間，在此時間間隔中 Kaspersky Embedded Systems Security 將登入嘗試視為異常活動。
11. 選擇“排除”標籤。
12. 執行以下操作新增受信任使用者：
    1. 點擊“瀏覽”按鈕。
    2. 選擇使用者。
    3. 點擊“確定”。

       選定的使用者將被新增到受信任使用者清單中。

13. 執行以下操作新增受信任的 IP 位址：
    1. 輸入 IP 位址。
    2. 點擊“新增”按鈕。
14. 輸入的 IP 位址將被新增到受信任的 IP 位址清單中。
15. 在“工作管理”標籤上配置工作啟動排程。
16. 在記錄審查視窗中點擊記錄審查。

儲存記錄審查工作配置。