配置預定義工作規則

執行以下操作為“記錄審查”工作配置預定義規則：

1. 展開卡巴斯基安全管理中心管理主控台樹狀目錄中的“受管理裝置”節點。
2. 選擇要為其配置應用程式設定的管理群組。
3. 在選定的管理群組的詳情視窗中執行以下之一操作：
   • 要為一組受防護裝置配置應用程式設定，請選擇“政策”標籤，然後開啟“內容：<政策名稱>”視窗。
   • 若要為個別受防護裝置設定工作或應用程式的設定，請選擇裝置標籤並前往本機工作設定或應用程式設定。
4. 在“系統稽核”部分中，點擊“記錄審查”子區段中的“設定”按鈕。

   將開啟“記錄審查”視窗。

5. 選擇“預定義規則”標籤。
6. 選中或清除“針對記錄審查套用預定義規則”核取方塊。
   

   如果選中此核取方塊，則 Kaspersky Embedded Systems Security for Windows 使用啟發式分析來偵測受防護裝置上的異常活動。

   如果清除此核取方塊，則不使用啟發式分析，Kaspersky Embedded Systems Security for Windows 將套用預設或自訂規則來偵測異常活動。

   預設情況下，會取消勾選核取方塊。

   為了能夠執行工作，必須選擇至少一種記錄審查規則。

7. 從預定義規則清單中選擇要套用的規則：
   • 系統中存在可能的暴力破解攻擊的模式。
   • 系統中存在可能的 Windows 事件記錄濫用的模式。
   • 偵測到表示已安裝新服務的異常活動。
   • 偵測到使用顯式憑證的異常登入。
   • 系統中存在可能的 Kerberos 偽造 PAC (MS14-068) 攻擊的模式。
   • 偵測到特權內建群組 Administrators 發出的異常操作。
   • 在網路登入工作階段期間偵測到異常活動。
8. 要配置選定規則，請點擊“進階設定”按鈕。

   將開啟“記錄審查”視窗。

9. 在“暴力破解攻擊偵測”部分中，設定用作啟發式分析觸發器的嘗試次數和時間範圍。
10. 在網路登入偵測部分中，指定時間間隔的開始和結束時間。Kaspersky Embedded Systems Security for Windows 會將此時間間隔期間進行的登入嘗試視為異常活動。
11. 選擇“排除”標籤。
12. 執行以下操作新增受信任使用者：
    1. 點擊“瀏覽”按鈕。
    2. 選擇使用者。
    3. 點擊“確定”按鈕。

       選定的使用者將被新增到受信任使用者清單中。

13. 執行以下操作新增受信任的 IP 位址：
    1. 輸入 IP 位址。
    2. 點擊“新增”按鈕。
14. 輸入的 IP 位址將被新增到受信任的 IP 位址清單中。
15. 在“工作管理”標籤上配置工作啟動排程。
16. 在記錄審查視窗中，按一下確定按鈕。

儲存記錄審查工作配置。