Создание и настройка правила мониторинга файловых операций

Чтобы создать и настроить правило мониторинга файловых операций с помощью Веб-плагина:

1. В главном окне Веб-консоли Kaspersky Security Center выберите Устройства → Политики и профили.
2. Выберите политику, которую вы хотите настроить.
3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
4. Выберите раздел Диагностика системы.
5. В подразделе Мониторинг файловых операций нажмите на кнопку Настройка.

   Откроется окно Мониторинг файловых операций на вкладке Параметры мониторинга файловых операций.

6. Нажмите на кнопку Добавить.

   Откроется окно Правило мониторинга файловых операций.

7. В поле Выполнять мониторинг файловых операций для области укажите путь с помощью одной из поддерживаемых масок:
   • <*.ext> – все файлы с расширением <ext>, независимо от их расположения.
   • <*\name.ext> – все файлы с именем <name> и расширением <ext>, независимо от их расположения.
   • <\dir\*> – все файлы в папке <\dir>.
   • <\dir\*\name.ext> – все файлы с именем <name> и расширением <ext> в папке <\dir> и всех ее подпапках.

   При задании области мониторинга вручную убедитесь, что путь соответствует формату: <буква тома>:\<маска>. Если том не указан, Kaspersky Embedded Systems Security для Windows не добавит указанную область мониторинга.

8. На вкладке Доверенные пользователи, если необходимо, задайте доверенных пользователей одним из следующих способов:
   • С помощью кнопки Добавить:
     1. Нажмите на кнопку Добавить.
     2. В открывшемся окне в поле Имя пользователя укажите пользователя или группу пользователей в формате SID.
     3. Нажмите на кнопку ОК.
   • С помощью кнопки Добавить из списка Сервера администрирования:
     1. Нажмите на кнопку Добавить из списка Сервера администрирования.
     2. В открывшемся окне выберите пользователя или группу пользователей из списка.
     3. Нажмите на кнопку ОК.

   Доверенным пользователям разрешены операции с файлами из выбранной области мониторинга.

   По умолчанию Kaspersky Embedded Systems Security для Windows считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

9. На вкладке Маркеры файловых операций, если необходимо, укажите маркеры файловых операций, которые вы хотите контролировать:
   1. Выберите вариант Обнаруживать файловые операции по следующим маркерам.
   2. В списке доступных файловых операций установите флажки напротив тех операций, которые вы хотите контролировать.

   По умолчанию Kaspersky Embedded Systems Security для Windows обнаруживает все маркеры файловых операций. Выбран вариант Обнаруживать файловые операции по всем распознаваемым маркерам.

10. Если вы хотите, чтобы программа блокировала все файловые операции для выбранной области мониторинга, установите флажок Обнаруживать и блокировать все файловые операции в выбранной области.
11. Если вы хотите, чтобы программа рассчитывала контрольную сумму файла после его изменения:
    1. Установите флажок Рассчитывать контрольную сумму файла, если это возможно. Контрольная сумма будет указана в журнале выполнения задачи.
       

       Если флажок установлен, Kaspersky Embedded Systems Security для Windows рассчитывает контрольную сумму измененного файла, в котором была обнаружена файловая операция, соответствующая хотя бы одному маркеру файловой операции.

       Если файловая операция обнаружена сразу по нескольким маркерам, рассчитывается только окончательная контрольная сумма файла после всех изменений.

       Если флажок снят, Kaspersky Embedded Systems Security для Windows не рассчитывает контрольную сумму измененных файлов.

       Расчет контрольной суммы не выполняется в следующих случаях:

       • если файл стал недоступен (например, в результате изменения прав доступа к файлу);
       • если файловая операция обнаружена в файле, который впоследствии был удален.

       По умолчанию флажок снят.

    2. В раскрывающемся списке Тип контрольной суммы выберите один из следующих вариантов:
       • Хеш SHA256;
       • Хеш MD5.
12. Если необходимо, добавьте папки или диски для исключения из мониторинга файловых операций:
    1. На вкладке Исключения установите флажок Исключить следующие папки из области контроля.
       

       Флажок выключает применение исключений для папок, в которых не требуется мониторинг файловых операций.

       Если флажок установлен, при выполнении задачи Мониторинг файловых операций Kaspersky Embedded Systems Security для Windows пропускает области мониторинга, указанные в списке исключений.

       Если флажок снят, Kaspersky Embedded Systems Security для Windows фиксирует события для всех указанных областей мониторинга.

       По умолчанию флажок снят, список исключений пуст.

    2. Нажмите на кнопку Добавить.
    3. В открывшемся справа окне в поле Имя папки введите путь к папке или диску, который вы хотите исключить из области мониторинга файловых операций.
    4. Нажмите на кнопку OK.

    Путь к указанной папке или диску отобразится в списке.

13. В окне Правило мониторинга файловых операций нажмите на кнопку OK.

Настроенное правило мониторинга файловых операций отобразится в окне Мониторинг файловых операций на вкладке Параметры мониторинга файловых операций.