配置監控規則
配置監控規則
要新增監控範圍:
- 在應用程式主控台樹狀目錄中,展開“系統稽核”節點。
- 選擇“檔案完整性監控”子節點。
- 在“檔案操作監控規則”節點的結果窗格中,點擊“檔案完整性監控”連結。
將開啟“檔案操作監控”視窗。
- 透過以下方式之一新增監控範圍:
- 如果要透過標準的 Microsoft Windows 對話方塊來選擇資料夾:
- 在視窗的左側,點擊“瀏覽”按鈕。
將顯示標準的 Microsoft Windows“瀏覽資料夾”視窗。
- 在瀏覽資料夾視窗中,選擇要監控操作的資料夾,然後點擊“確定”按鈕。
- 點擊“新增”按鈕可讓 Kaspersky Embedded Systems Security 開始監控指定監控範圍內的檔案操作。
- 在視窗的左側,點擊“瀏覽”按鈕。
- 如果想要手動指定監控範圍,請使用支援的遮罩新增路徑:
- <*.ext> — 帶有 <ext> 副檔名的所有檔案,與其位置無關
- <*\name.ext> — 帶有 <name> 名稱和 <ext> 副檔名的所有檔案,與其位置無關
- <\dir\*> — 位於 <\dir> 資料夾中的所有檔案
- <\dir\*\name.ext> — <\dir> 資料夾及其所有子資料夾中帶有 <name> 名稱和 <ext> 副檔名的所有檔案
當手動指定監控範圍時,請確保路徑為以下格式:<卷字母>:\<遮罩>。如果缺少磁區字母,則 Kaspersky Embedded Systems Security 將不會新增指定的監控範圍。
在螢幕的右側,“規則敘述”標籤將顯示受信任使用者和為此監控範圍選定的檔案操作標記。
- 如果要透過標準的 Microsoft Windows 對話方塊來選擇資料夾:
- 在新增的監控範圍清單中,選擇您要配置其設定的範圍。
- 選擇“受信任使用者”標籤。
- 點擊“新增”按鈕。
將顯示標準的 Microsoft Windows“選擇使用者或群組”視窗。
- 選擇針對選定的監控範圍 Kaspersky Embedded Systems Security 將視為受信任的使用者或群組。
- 點擊“確定”。
預設情況下,Kaspersky Embedded Systems Security 將未列入受信任使用者清單的所有使用者視為不受信任,並為他們產生嚴重事件。針對受信任使用者,將編譯統計資料。
- 選擇“設定檔案操作標記”標籤。
- 如果需要,執行以下操作來選擇多個標記:
- 選擇“根據以下標記偵測檔案操作”選項。
- 在可用檔案操作清單中,選中要監控的操作旁邊的核取方塊。
預設情況下,Kaspersky Embedded Systems Security 將偵測所有檔案操作標記,即,已選擇“根據所有可辨識的標記偵測檔案操作”選項。
- 如果要封鎖所選區域的所有檔案操作,請選取在所選區域中偵測並封鎖所有檔案操作核取方塊。
- 如果執行操作後,您想要 Kaspersky Embedded Systems Security 計算檔案核對總和,請執行以下操作:
- 在核對總和計算區段中,選取如果可能,在檔案變更後計算檔案最終版本的核對總和。 該核對總和將可在工作記錄中檢視核取方塊。
- 在“用演算法計算核對總和”下拉清單中,選擇以下選項之一:
- MD5 雜湊。
- SHA256 雜湊。
- 根據需要新增排除的監控範圍:
- 選擇“設定排除項目”標籤。
- 選中“考慮排除的監控範圍”核取方塊。
- 點擊“瀏覽”按鈕。
將顯示標準的 Microsoft Windows“瀏覽資料夾”視窗。
- 在瀏覽資料夾視窗中,指定要從監控範圍中排除的資料夾。
- 點擊“確定”。
- 點擊“新增”按鈕。
指定的資料夾被新增到排除範圍清單。
您也可以使用與用於指定監控範圍相同的遮罩來新增排除的監控範圍。
- 點擊“儲存”按鈕以套用新的規則配置。
指定的規則設定將立刻套用到「檔案完整性監控」工作定義的監控範圍中。
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。