ファイル変更監視ルールの作成と設定

管理プラグインを使用してファイル変更監視ルールを作成および設定するには：

1. Kaspersky Security Center の管理コンソールツリーで［管理対象デバイス］フォルダーを展開します。
2. アプリケーション設定を編集する管理グループを選択します。
3. 選択した管理グループの詳細ペインで、次のいずれかを実行します：
   • 保護対象デバイスグループに対してアプリケーションを設定するには、［ポリシー］タブを選択して、設定するポリシーのプロパティウィンドウを開きます。
   • 個々の保護対象デバイスのタスクまたは本製品の設定を指定するには、［デバイス］タブを選択し、ローカルタスク設定またはアプリケーション設定に移動します。
4. 次のいずれかを行います：
   • ポリシーでファイル変更監視ルールを作成している場合は、［システム監査］セクションの［ファイル変更監視］ブロックで［設定］をクリックします。

     ［ファイル変更監視］ウィンドウが［ファイル変更監視の設定］タブで開きます。

   • ローカルタスクのファイル変更監視ルールを作成している場合は、 ファイル変更監視のプロパティウィンドウで、［設定］セクションに移動します。
5. ［監視範囲］ブロックで、［追加］をクリックします。

   ［ファイル変更監視ルール］ウィンドウが表示されます。

6. 次のいずれかの方法で、ファイル変更監視の範囲を追加します：
   • 標準の Microsoft Windows ダイアログを使用してフォルダーまたはドライブを選択する場合：
     1. ［参照］をクリックします。

        Microsoft Windows 標準の［フォルダーを参照］ウィンドウが表示されます。

     2. ファイル変更を監視するフォルダーを選択します。
     3. ［OK］をクリックします。
   • 手動で監視範囲を指定する場合、サポートされているマスクを使用してパスを追加します：
     • <*.ext> - 場所に関係なく、拡張子 <ext> を持つすべてのファイル
     • <*\name.ext> - 場所に関係なく、名前 <name> と拡張子 <ext> を持つすべてのファイル
     • <\dir\*> - フォルダー <\dir> にあるすべてのファイル
     • <\dir\*\name.ext> - フォルダー <\dir> とそのすべてのサブフォルダーにある、名前 <name> と拡張子 <ext> を持つすべてのファイル

   手動で監視範囲を指定する場合、パスが次の形式であることを確認してください：<ボリューム文字>:\<マスク>。ボリューム文字がない場合、Kaspersky Embedded Systems Security for Windows は指定した監視範囲を追加しません。

7. 必要に応じて、信頼するユーザーを指定します。
   1. ［信頼するユーザー］タブの［追加］のコンテキストメニューで、信頼するユーザーを追加する方法を選択します。

      ［ユーザーまたはユーザーグループの抽出］ウィンドウが開きます。

   2. 選択した監視範囲でのファイル操作が許可されたユーザーまたはユーザーのグループを選択します。
   3. ［OK］をクリックします。

   既定では、信頼するユーザーリストに記載されていないすべてのユーザーが信頼しないユーザーとして取り扱われ、重要なイベントが生成されます。信頼するユーザーの場合、統計が収集されます。

8. ［ファイル操作マーカー］タブで、必要に応じて、監視するファイル操作マーカーを指定します：
   1. ［次のマーカーに基づいてファイル操作を検出する］をオンにします。
   2. 使用可能なファイル操作のリストで、監視する操作の横にあるチェックボックスをオンにします。

   既定では、使用可能なすべてのファイル操作マーカーが考慮されます。［認識可能なすべてのマーカーに基づいてファイル操作を検出するオプションがオンになっています。

9. 選択した範囲のすべてのファイル操作をブロックする場合は、［選択した範囲のすべてのファイル動作を検知しブロックする］をオンにします。
10. ファイルの変更後にファイルのチェックサムを計算するには：
    1. ［可能な場合、ファイルのチェックサムを計算する。チェックサムはタスクレポートで表示できます］をオンにします。
       

       チェックボックスをオンにして、少なくとも 1 つの選択したマーカーを持つファイル操作が検知された場合、変更したファイルのチェックサムが計算されます。

       ファイル操作が複数のマーカーによって検知された場合、すべての変更後の最終的なファイルのチェックサムのみが計算されます。

       このチェックボックスをオフにすると、変更したファイルのチェックサムは計算されません。

       次の場合、チェックサムの計算は実行されません：

       • ファイルが利用できなくなった場合（アクセス権限の変更などのため）。
       • ファイル操作が、その後、削除されたファイル内で検知された場合。

       既定では、このチェックボックスはオフです。

    2. ［チェックサム種別］ドロップダウンリストで、次のいずれかのオプションを選択します：
       • MD5 ハッシュ
       • SHA256 ハッシュ：
11. 必要に応じて、選択したファイル操作の監視範囲から除外するフォルダーまたはドライブを追加します。
    1. ［除外リスト］タブで、［次のフォルダーをコントロールから除外する］をオンにします。
       

       このチェックボックスは、ファイル操作を監視する必要がないフォルダーにおける除外の使用を無効にします。

       このチェックボックスをオンにすると、ファイル変更監視タスクの実行時に、除外リストで指定した監視範囲がスキップされます。

       このチェックボックスをオフにすると、指定したすべての監視範囲のイベントが記録されます。

       既定では、チェックボックスはオフで、除外リストは空です。

    2. ［追加］をクリックします。

       ［管理対象の範囲からの除外］ウィンドウが開きます。

    3. ［参照］をクリックします。

       Microsoft Windows 標準の［フォルダーを参照］ウィンドウが表示されます。

    4. フォルダーまたはドライブを選択します。
    5. ［OK］をクリックします。

    指定したフォルダーまたはドライブが、 ［除外リスト］タブの除外リストに表示されます。

    また、ファイル変更監視範囲の指定に使用されたのと同じマスクを使用して、除外する監視範囲を手動で追加することもできます。

12. ［OK］ウィンドウで［ファイル変更監視ルール］をクリックします。

設定されたファイル変更監視ルールは、［ファイル変更監視］ウィンドウ / ［監視範囲］ブロックのファイル変更監視のプロパティに表示されます。