Создание и настройка правила мониторинга файловых операций

Чтобы создать и настроить правило мониторинга файловых операций с помощью Плагина управления:

1. Разверните узел Управляемые устройства в дереве Консоли администрирования Kaspersky Security Center.
2. Выберите группу администрирования, для которой требуется настроить параметры программы.
3. В панели результатов выбранной группы администрирования выполните одно из следующих действий:
   • Чтобы настроить параметры программы для группы защищаемых устройств, выберите вкладку Политики и откройте окно Свойства: <Имя политики>.
   • Чтобы настроить параметры задачи или программы для отдельного защищаемого устройства, выберите вкладку Устройства и перейдите к параметрам локальной задачи или параметрам программы.
4. Выполните одно из следующих действий:
   • Если вы создаете правило мониторинга файловых операций в политике, в разделе Диагностика системы в блоке Мониторинг файловых операций нажмите на кнопку Настройка.

     Откроется окно Мониторинг файловых операций на вкладке Параметры мониторинга файловых операций.

   • Если вы создаете правило мониторинга файловых операций для локальной задачи, в окне Свойства: Мониторинг файловых операций перейдите в раздел Настройка.
5. В блоке Область мониторинга нажмите на кнопку Добавить.

   Откроется окно Правило мониторинга файловых операций.

6. Добавьте область мониторинга файловых операций одним из следующих способов:
   • Если вы хотите выбрать папку или диск через стандартный диалог Microsoft Windows:
     1. Нажмите на кнопку Обзор.

        Откроется стандартное окно Microsoft Windows Выбрать папку.

     2. Выберите папку, файловые операции в которой вы хотите контролировать.
     3. Нажмите на кнопку ОК.
   • Если вы хотите задать область мониторинга вручную, добавьте путь с помощью одной из поддерживаемых масок:
     • <*.ext> – все файлы с расширением <ext>, независимо от их расположения.
     • <*\name.ext> – все файлы с именем <name> и расширением <ext>, независимо от их расположения.
     • <\dir\*> – все файлы в папке <\dir>.
     • <\dir\*\name.ext> – все файлы с именем <name> и расширением <ext> в папке <\dir> и всех ее подпапках.

   При задании области мониторинга вручную убедитесь, что путь соответствует формату: <буква тома>:\<маска>. Если том не указан, Kaspersky Embedded Systems Security для Windows не добавит указанную область мониторинга.

7. Если необходимо, задайте доверенных пользователей:
   1. На вкладке Доверенные пользователи в контекстном меню кнопки Добавить выберите способ добавления доверенных пользователей.

      Откроется окно Выбор пользователя или группы пользователей.

   2. Выберите пользователя или группу пользователей, которым будут разрешены операции с файлами для выбранной области мониторинга.
   3. Нажмите на кнопку ОК.

   По умолчанию Kaspersky Embedded Systems Security для Windows считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

8. На вкладке Маркеры файловых операций, если необходимо, укажите маркеры файловых операций, которые вы хотите контролировать:
   1. Выберите вариант Обнаруживать файловые операции по следующим маркерам.
   2. В списке доступных файловых операций установите флажки напротив тех операций, которые вы хотите контролировать.

   По умолчанию Kaspersky Embedded Systems Security для Windows обнаруживает все маркеры файловых операций. Выбран вариант Обнаруживать файловые операции по всем распознаваемым маркерам.

9. Если вы хотите, чтобы программа блокировала все файловые операции для выбранной области, установите флажок Обнаруживать и блокировать все файловые операции в выбранной области.
10. Если вы хотите, чтобы программа рассчитывала контрольную сумму файла после его изменения:
    1. Установите флажок Рассчитывать контрольную сумму файла после файловой операции, если это возможно. Контрольная сумма будет указана в журнале выполнения задачи.
       

       Если флажок установлен, Kaspersky Embedded Systems Security для Windows рассчитывает контрольную сумму измененного файла, в котором была обнаружена файловая операция, соответствующая хотя бы одному маркеру файловой операции.

       Если файловая операция обнаружена сразу по нескольким маркерам, рассчитывается только окончательная контрольная сумма файла после всех изменений.

       Если флажок снят, Kaspersky Embedded Systems Security для Windows не рассчитывает контрольную сумму измененных файлов.

       Расчет контрольной суммы не выполняется в следующих случаях:

       • если файл стал недоступен (например, в результате изменения прав доступа к файлу);
       • если файловая операция обнаружена в файле, который впоследствии был удален.

       По умолчанию флажок снят.

    2. В раскрывающемся списке Тип контрольной суммы выберите один из следующих вариантов:
       • Хеш MD5;
       • Хеш SHA256.
11. Если необходимо, добавьте папки или диски для исключения из выбранной области контроля файловых операций:
    1. На вкладке Исключения установите флажок Исключить следующие папки из области контроля.
       

       Флажок выключает применение исключений для папок, в которых не требуется мониторинг файловых операций.

       Если флажок установлен, при выполнении задачи Мониторинг файловых операций Kaspersky Embedded Systems Security для Windows пропускает области мониторинга, указанные в списке исключений.

       Если флажок снят, Kaspersky Embedded Systems Security для Windows фиксирует события для всех указанных областей мониторинга.

       По умолчанию флажок снят, список исключений пуст.

    2. Нажмите на кнопку Добавить.

       Откроется окно Исключение из области контроля.

    3. Нажмите на кнопку Обзор.

       Откроется стандартное окно Microsoft Windows Выбрать папку.

    4. Выберите папку или диск.
    5. Нажмите на кнопку OК.

    Указанная папка или диск отобразится в списке исключений на вкладке Исключения.

    Вы можете добавить исключения для области мониторинга файловых операций вручную, используя те же маски, что и для задания областей мониторинга файловых операций.

12. В окне OК нажмите на кнопку Правило мониторинга файловых операций.

Настроенное правило мониторинга файловых операций отобразится в окне Мониторинг файловых операций / Свойства: Мониторинг файловых операций в блоке Область мониторинга.