Создание и настройка правила мониторинга файловых операций

Чтобы создать и настроить правило мониторинга файловых операций с помощью Консоли программы:

1. В дереве Консоли программы разверните узел Диагностика системы.
2. Выберите вложенный узел Мониторинг файловых операций.
3. В панели результатов узла Правила мониторинга файловых операций перейдите по ссылке Мониторинг файловых операций.

   Откроется окно Правила мониторинга файловых операций.

4. Укажите путь для области мониторинга файловых операций одним из следующих способов:
   • Если вы хотите выбрать папку или диск через стандартный диалог Microsoft Windows:
     1. В левой части окна нажмите на кнопку Обзор.

        Откроется стандартное окно Microsoft Windows Выбрать папку.

     2. Выберите папку, файловые операции в которой вы хотите контролировать.
     3. Нажмите на кнопку ОК.
   • Если вы хотите задать область мониторинга вручную, добавьте путь с помощью одной из поддерживаемых масок:
     • <*.ext> – все файлы с расширением <ext>, независимо от их расположения.
     • <*\name.ext> – все файлы с именем <name> и расширением <ext>, независимо от их расположения.
     • <\dir\*> – все файлы в папке <\dir>.
     • <\dir\*\name.ext> – все файлы с именем <name> и расширением <ext> в папке <\dir> и всех ее подпапках.

   При задании области мониторинга вручную убедитесь, что путь соответствует формату: <буква тома>:\<маска>. Если том не указан, Kaspersky Embedded Systems Security для Windows не добавит указанную область мониторинга.

5. Нажмите на кнопку Добавить.

   Область мониторинга отобразится в списке в левой части окна Правила мониторинга файловых операций.

6. Если необходимо, задайте доверенных пользователей:
   1. На вкладке Доверенные пользователи нажмите на кнопку Добавить.

      Откроется стандартное окно Microsoft Windows Выбор пользователей или групп.

   2. Выберите пользователей или группы пользователей, которым будут разрешены операции с файлами из выбранной области мониторинга.
   3. Нажмите на кнопку OK.

   По умолчанию Kaspersky Embedded Systems Security для Windows считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

7. На вкладке Маркеры файловых операций, если необходимо, укажите маркеры файловых операций, которые вы хотите контролировать:
   1. Выберите вариант Обнаруживать файловые операции по следующим маркерам.
   2. В списке доступных файловых операций установите флажки напротив тех операций, которые вы хотите контролировать.

   По умолчанию Kaspersky Embedded Systems Security для Windows обнаруживает все маркеры файловых операций. Выбран вариант Обнаруживать файловые операции по всем распознаваемым маркерам.

8. Если вы хотите, чтобы программа блокировала все файловые операции для выбранной области мониторинга, установите флажок Обнаруживать и блокировать все файловые операции в выбранной области.
9. Если вы хотите, чтобы программа рассчитывала контрольную сумму файла после его изменения:
   1. В блоке Контрольная сумма выберите Рассчитывать контрольную сумму измененного файла, если это возможно. Контрольная сумма будет указана в журнале выполнения задачи. Контрольная сумма отображается в журнале выполнения задачи.
      

      Если флажок установлен, Kaspersky Embedded Systems Security для Windows рассчитывает контрольную сумму измененного файла, в котором была обнаружена файловая операция, соответствующая хотя бы одному маркеру файловой операции.

      Если файловая операция обнаружена сразу по нескольким маркерам, рассчитывается только окончательная контрольная сумма файла после всех изменений.

      Если флажок снят, Kaspersky Embedded Systems Security для Windows не рассчитывает контрольную сумму измененных файлов.

      Расчет контрольной суммы не выполняется в следующих случаях:

      • если файл стал недоступен (например, в результате изменения прав доступа к файлу);
      • если файловая операция обнаружена в файле, который впоследствии был удален.

      По умолчанию флажок снят.

   2. В раскрывающемся списке Рассчитывать контрольную сумму по алгоритму выберите один из следующих вариантов:
      • Хеш MD5;
      • Хеш SHA256.
10. Если необходимо, добавьте папки или диски для исключения из мониторинга файловых операций:
    1. На вкладке Исключения установите флажок Учитывать исключенные области мониторинга.
       

       Флажок выключает применение исключений для папок, в которых не требуется мониторинг файловых операций.

       Если флажок установлен, при выполнении задачи Мониторинг файловых операций Kaspersky Embedded Systems Security для Windows пропускает области мониторинга, указанные в списке исключений.

       Если флажок снят, Kaspersky Embedded Systems Security для Windows фиксирует события для всех указанных областей мониторинга.

       По умолчанию флажок снят, список исключений пуст.

    2. Нажмите на кнопку Обзор.

       Откроется стандартное окно Microsoft Windows Выбрать папку.

    3. Выберите папку или диск.
    4. Нажмите на кнопку OK.
    5. Нажмите на кнопку Добавить.

    Указанная папка или диск отобразится в списке исключений.

    Вы можете добавить исключения для области мониторинга файловых операций вручную, используя те же маски, что и для задания областей мониторинга файловых операций.

11. Нажмите на кнопку Сохранить.