系統完整性監控
系統完整性監控
2024年1月10日
ID 132947
本區域中介紹的 Kaspersky Security 功能,只有在企業產品授權下使用應用程式,且應用程式安裝在使用 Windows 伺服器作業系統和 NTFS 或 FAT32 檔案系統的虛擬機上時,才能夠使用。
系統完整性監控元件可追蹤受防護的虛擬機上安裝之 Windows 作業系統變更。您可監控以下物件:
- 檔案和登錄檔。系統完整性監控元件會追蹤對監控範圍內包含的登錄檔和檔案所做之變更。
- 外部磁碟機。系統完整性監控元件會追蹤以下類型的外部裝置連線:
- 硬碟的磁碟機。
- 光碟機 (CD/DVD/Blu-ray) 的磁碟機。
- USB 裝置。
- 相機與掃描器。
- 外部網路介面卡。
系統完整性監控元件可以即時執行,並且可按排程或按需執行系統完整性檢查。
即時執行時,系統完整性監控可針對含在系統完整性監控範圍內的受監控物件,追蹤對其所做的變更。
按排程或按需系統完整性檢查,是利用系統完整性檢查工作執行。系統完整性檢查則透過比較系統完整性檢查範圍中包含的物件目前狀態,與先前以系統基線形式註冊的物件狀態來執行。
您可採用以下模式之一,執行系統完整性檢查:
- 完整掃描。檢查檔案修改時會分析檔案的所有屬性及檔案內容。
- 快速掃描。檢查檔案修改時僅分析檔案屬性,但不檢查檔案內容。
在任何模式下,均會根據定義的系統完整性檢查範圍監控登錄檔修改和外部裝置連線。
由於執行基線更新工作,會對虛擬機擷取系統狀態快照(基線)。建立或更新基線時,將記錄系統完整性檢查範圍中包含的物件狀態。
您可採用以下模式之一更新基線:
- 完整更新 – 針對掃描範圍中的所有物件。
- 累加式更新 – 僅針對掃描範圍中已修改的物件或新物件。
系統完整性監控元件設定在 Light Agent for Windows 政策中或 Light Agent for Windows 的本機介面中定義。您可啟用或停用即時系統完整性監控元件,並配置以下設定:
- 即時系統完整性監控範圍:
- 即時系統完整性監控元件必須監控的物件清單。
- 控制元件追蹤檔案和登錄檔變更方式的系統完整性監控規則清單。您可建立規則並使用應用程式分發套裝中範本的預定義規則。
- 系統完整性檢查範圍。預設情況下,系統完整性檢查範圍與系統完整性監控範圍相符。您可為已排程的系統完整性檢查和按需系統完整性檢查定義獨立範圍。此範圍也用在基線更新工作:
- 需要檢查其狀態的物件清單。這些物件的狀態會記錄在基線中。
- 控制元件檢查檔案和登錄檔變更方式的系統完整性監控規則清單。基線會記錄檔案和資料夾的狀態,以及規則中定義的登錄機碼。您可建立規則並使用應用程式分發套裝中範本的預定義規則。
如果未定義系統完整性檢查範圍,系統完整性監控範圍將用於系統完整性檢查工作和基線更新工作。
- 因系統完整性監控元件即時偵測到系統變更,和因系統完整性檢查工作而產生的事件重要性等級。
您可在卡巴斯基安全管理中心和 Light Agent for Windows 的本機介面中,檢視有關系統完整性監控元件的執行結果的資訊。
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。