系统完整性监控

仅当在企业版授权许可下使用应用程序且应用程序安装在使用 Windows 服务器操作系统和 NTFS 或 FAT32 文件系统的虚拟机上时，本部分中介绍的 Kaspersky Security 功能才可用。

系统完整性监控组件可跟踪受保护的虚拟机上安装的 Windows 操作系统的更改。可以监控以下对象：

• 文件和注册表。系统完整性监控组件会跟踪对监控范围内包含的注册表和文件所做的更改。
• 外部驱动器。系统完整性监控组件会跟踪以下类型的外部设备的连接：
  • 硬盘驱动器的磁盘驱动器。
  • 光驱 (CD/DVD/Blu-ray) 的磁盘驱动器。
  • USB 设备。
  • 摄像机和扫描仪。
  • 外部网络适配器。

系统完整性监控组件可以实时运行，并且可以按计划或按需运行系统完整性检查。

当实时运行时，系统完整性监控可跟踪已包含在系统完整性监控范围内的受监控对象的更改。

按计划或按需系统完整性检查通过使用系统完整性检查任务执行。系统完整性检查通过比较系统完整性检查范围中包含的对象当前状态与先前以系统基线形式注册的对象状态来执行。

可采用以下模式之一运行系统完整性检查：

• 全盘扫描。检查文件修改时分析文件的所有属性及文件内容。
• 快速扫描。检查文件修改时仅分析文件的属性；不检查文件内容。

在任何模式下，均会根据定义的系统完整性检查范围监控注册表修改和外部设备连接。

由于运行基线更新任务，会对虚拟机获取系统状态快照（基线）。当创建或更新基线时，将记录系统完整性检查范围中包含的对象的状态。

可以采用以下模式之一更新基线：

• 完整更新 – 针对扫描范围中的所有对象。
• 增量更新 – 仅针对扫描范围中已修改的或新的对象。

系统完整性监控组件设置在 Light Agent for Windows 策略中或 Light Agent for Windows 的本地界面中定义。可以启用或禁用实时系统完整性监控组件，并配置以下设置：

• 实时系统完整性监控范围：
  • 实时系统完整性监控组件必须监控的对象列表。
  • 控制组件跟踪文件和注册表更改的方式的系统完整性监控规则列表。可以创建规则并使用来自属于应用程序分发包的模板的预定义规则。
• 系统完整性检查范围。默认情况下，系统完整性检查范围与完整性监控范围匹配。可以为计划的系统完整性检查和按需系统完整性检查定义单独的范围。此范围也用于基线更新任务：
  • 需要检查其状态的对象列表。这些对象的状态记录在基线中。
  • 控制组件检查文件和注册表更改的系统完整性监控规则列表。基线会记录文件和文件夹的状态以及规则中定义的注册表键。可以创建规则并使用来自属于应用程序分发包的模板的预定义规则。

  如果未定义系统完整性检查范围，则将系统完整性监控范围用于系统完整性检查任务和基线更新任务。

• 系统完整性监控组件在实时检测系统更改时，以及由于系统完整性检查任务的结果生成的事件的重要级别。

可以在 Kaspersky Security Center 中和在 Light Agent for Windows 的本地界面中查看有关系统完整性监控组件的运行结果的信息。