创建并配置文件操作监控规则

要使用管理插件创建和配置文件操作监控规则：

1. 展开 Kaspersky Security Center 管理控制台树中的“受管理设备”节点。
2. 选择要为其配置应用程序设置的管理组。
3. 在选定的管理组的详细窗格中执行以下操作之一：
   • 要为一组受保护设备配置应用程序设置，请选择“策略”选项卡，然后打开“属性：<策略名称>”窗口。
   • 要为单个受保护设备配置任务或应用程序的设置，请选择“设备”选项卡并转至本地任务设置或应用程序设置。
4. 执行以下操作之一：
   • 如果要在策略中创建文件操作监控规则，请在“系统审查”部分的“文件完整性监控”块中单击“设置”按钮。

     “文件完整性监控”窗口在“文件操作监控设置”选项卡上打开。

   • 如果要为本地任务创建文件操作监控规则，请在“属性：文件完整性监控”窗口中转至“设置”部分。
5. 在“监控范围”块中，单击“添加”按钮。

   将出现“文件操作监控规则”窗口。

6. 通过以下方式之一添加文件操作监控范围：
   • 如果要通过标准的 Microsoft Windows 对话框来选择文件夹或驱动器：
     1. 单击“浏览”按钮。

        将出现标准的 Microsoft Windows“浏览文件夹”窗口。

     2. 选择要监控其文件操作的文件夹。
     3. 单击“确定”按钮。
   • 如果想要手动指定监控范围，请使用支持的掩码添加路径：
     • <*.ext> - 带有 <ext> 扩展名的所有文件，与其位置无关
     • <*\name.ext> - 带有 <name> 名称和 <ext> 扩展名的所有文件，与其位置无关
     • <\dir\*> - 位于 <\dir> 文件夹中的所有文件
     • <\dir\*\name.ext> - <\dir> 文件夹及其所有子文件夹中带有 <name> 名称和 <ext> 扩展名的所有文件

   当手动指定监控范围时，请确保路径为以下格式：<卷字母>:\<掩码>。如果缺少卷字母，则 Kaspersky Embedded Systems Security for Windows 将不会添加指定的监控范围。

7. 如有必要，指定受信任用户：
   1. 在“受信任用户”选项卡上的“添加”按钮的上下文菜单中，选择添加受信任用户的方法。

      将打开“用户或用户组选择”窗口。

   2. 选择在选定监控范围中允许其文件操作的用户或用户组。
   3. 单击“确定”按钮。

   默认情况下，Kaspersky Embedded Systems Security for Windows 将未列入受信任用户列表的所有用户视为不受信任，并为他们生成严重事件。对于受信任用户，将编译统计信息。

8. 在“文件操作标记”选项卡上，如有必要，指定要监控的文件操作标记：
   1. 选择“基于以下标记检测文件操作”选项。
   2. 在可用文件操作列表中，选中要监控的操作旁边的复选框。

   默认情况下，Kaspersky Embedded Systems Security for Windows 检测所有文件操作标记。选择“基于所有可识别的标记检测文件操作”选项。

9. 如果您希望应用程序阻止所选范围内的所有文件操作，请选中“检测并阻止所选区域中的所有文件操作”复选框。
10. 如果您希望应用程序在文件被修改后计算其校验和：
    1. 选中如果可能，计算文件的校验和。该校验和将可在任务报告中查看复选框中查看。
       

       如果选中该复选框，当检测到至少带有一个选定标记的文件操作时，Kaspersky Embedded Systems Security for Windows 将计算修改后的文件的校验和。

       如果通过多个标记检测到文件操作，Kaspersky Embedded Systems Security for Windows 只计算所有修改后最终文件的校验和。

       如果清除该复选框，Kaspersky Embedded Systems Security for Windows 不计算修改的文件的校验和。

       以下情况不会执行任何校验和计算：

       • 如果文件变为不可用（例如，由于访问权限更改）。
       • 如果检测到文件操作的文件后来被删除。

       默认下，复选框被清除。

    2. 在“校验和类型”下拉列表中，选择以下选项之一：
       • MD5 哈希
       • SHA256 哈希。
11. 如有必要，添加要从所选文件操作监控范围中排除的文件夹或驱动器：
    1. 在“排除”选项卡上，选中“从控制中排除以下文件夹”复选框。
       

       该复选框可以针对无需监控文件操作的文件夹禁用排除。

       如果选中该复选框，则当“文件完整性监控”任务运行时，Kaspersky Embedded Systems Security for Windows 将跳过排除列表中指定的监控范围。

       如果取消选中该复选框，则 Kaspersky Embedded Systems Security for Windows 将记录所有指定监控范围内的事件。

       默认情况下，未选中该复选框且排除列表为空。

    2. 单击“添加”按钮。

       将打开“受控范围排除项”窗口。

    3. 单击“浏览”按钮。

       将出现标准的 Microsoft Windows“浏览文件夹”窗口。

    4. 选择文件夹或驱动器。
    5. 单击“确定”按钮。

    指定的文件夹或驱动器将显示在“排除”选项卡上的排除列表中。

    您还可以使用用于指定文件操作监控范围的相同掩码，手动添加文件操作监控范围排除项。

12. 在“确定”窗口中单击“文件操作监控规则”按钮。

配置的文件操作监控规则显示在“文件完整性监控”窗口/“监控范围”块中的“属性：文件完整性监控”中。