系统完整性检查

当“系统完整性检查”任务运行时，通过比较受监控对象的当前状态和原始状态来发现每个对象的更改情况。可以使用以下比较标准：

• 文件哈希
• 文件更改时间
• 文件大小

受监控对象的初始状态被记录为基线。基线包含受监控对象及其元数据的路径。

基线可能也包含个人数据。

设备上首次运行“系统完整性检查”任务时会创建系统基线。如果您创建了多个“系统完整性检查”任务，则会为每个任务创建一个单独的基线。仅当基线包含有关在该任务定义的监控范围内的对象的信息时，才会执行任务。如果基线与监控范围不匹配，则 Kaspersky Endpoint Security 会生成系统完整性违规事件。

如果任务设置更改（例如添加了新的监控范围），会重建基线。

应用程序在受保护设备上创建基线存储。默认情况下，基线的存储位于 /var/opt/kaspersky/kesl/private/fim.db。需要 root 特权才能访问包含基线的数据库。

您可以通过删除相应的“系统完整性检查”任务来删除基线。

您可以根据需要运行系统完整性检查并配置扫描设置：

• 启用或禁用每次系统完整性检查任务完成后重建基线。
• 选择用于比较受监控文件的当前状态与原始状态的标准：使用文件哈希和更改时间，或者仅使用文件大小。
• 配置系统完整性检查的监控范围。
• 配置系统完整性检查的排除范围。您可以指定排除文件和目录的路径，并按名称掩码排除单个对象。