監視ルールの設定

監視範囲を追加するには：

1. Kaspersky Security Center の管理コンソールツリーで［管理対象デバイス］フォルダーを展開します。
2. アプリケーション設定を編集する管理グループを選択します。
3. 選択した管理グループの詳細ペインで、次のいずれかを実行します：
   • 保護対象デバイスグループに対してアプリケーションを設定するには、［ポリシー］タブを選択して、設定するポリシーのプロパティウィンドウを開きます。
   • 単一の保護対象デバイスに対してアプリケーションを設定するには、［デバイス］タブを選択して、［アプリケーションの設定］ウィンドウを開きます。

     Kaspersky Security Center のアクティブポリシーがデバイスに適用され、アプリケーションの設定の変更がブロックされている場合、［アプリケーションの設定］ウィンドウでこれらの設定を編集することはできません。

4. ［システム監査］セクションの［ファイル変更監視］サブセクションで、［設定］をクリックします。

   ［ファイル変更監視］ウィンドウが開きます。

5. ［監視範囲］セクションで、［追加］をクリックします。

   ［ファイル変更監視ルール］ウィンドウが表示されます。

6. 次のいずれかの方法で、監視範囲を追加します：
   • 標準の Microsoft Windows ダイアログを使用してフォルダーを選択する場合：
     1. ［参照］をクリックします。

        Microsoft Windows 標準の［フォルダーを参照］ウィンドウが表示されます。

     2. 表示された［フォルダーを参照］ウィンドウで操作を監視するフォルダーを選択し、［OK］をクリックします。
   • 手動で監視範囲を指定する場合、サポートされているマスクを使用してパスを追加します：
     • <*.ext> - 場所に関係なく、拡張子 <ext> を持つすべてのファイル
     • <*\name.ext> - 場所に関係なく、名前 <name> と拡張子 <ext> を持つすべてのファイル
     • <\dir\*> - フォルダー <\dir> にあるすべてのファイル
     • <\dir\*\name.ext> - フォルダー <\dir> とそのすべてのサブフォルダーにある、名前 <name> と拡張子 <ext> を持つすべてのファイル

   手動で監視範囲を指定する場合、パスが次の形式であることを確認してください：<ボリューム文字>:\<マスク>。ボリューム文字がない場合、Kaspersky Embedded Systems Security は指定した監視範囲を追加しません。

7. ［信頼するユーザー］タブで、［追加］をクリックします。

   Microsoft Windows 標準の［ユーザーまたはグループの選択］ウィンドウが開きます。

8. 選択した監視範囲でのファイル操作が許可されたユーザーまたはユーザーのグループを選択し、［OK］をクリックします。

   既定では、Kaspersky Embedded Systems Security においては信頼するユーザーリストに記載されていないすべてのユーザーを信頼しないユーザーとして取り扱い、重要なイベントを生成します。信頼するユーザーの場合、統計が収集されます。

9. ［ファイル操作マーカー］タブを選択します。
10. 必要に応じて、次の処理を実行して複数のマーカーを選択します：
    1. ［次のマーカーに基づいてファイル操作を検出する］オプションを選択します。
    2. 使用可能なファイル操作のリストで、監視する操作の横にあるチェックボックスをオンにします。

    既定では、Kaspersky Embedded Systems Security によりすべてのファイル操作マーカーが検知され、［認識可能なすべてのマーカーに基づいてファイル操作を検出する］がオンになります。

11. 選択した領域のすべてのファイル操作をブロックする場合は、［選択した範囲のすべてのファイル動作を検知しブロックする］をオンにします。
12. 操作の実行後に Kaspersky Embedded Systems Security がファイルチェックサムを計算するようにするには、次の手順を実行します：
    1. ［可能な場合、ファイルのチェックサムを計算する。チェックサムはタスクレポートで表示できます］をオンにします。
       

       チェックボックスをオンにして、少なくとも 1 つの選択したマーカーを持つファイル操作が検知された場合、変更したファイルのチェックサムが計算されます。

       ファイル操作が複数のマーカーによって検知された場合、すべての変更後の最終的なファイルのチェックサムのみが計算されます。

       このチェックボックスをオフにすると、変更したファイルのチェックサムは計算されません。

       次の場合、チェックサムの計算は実行されません：

       • ファイルが利用できなくなった場合（アクセス権限の変更などのため）。
       • ファイル操作が、その後、削除されたファイル内で検知された場合。

       既定では、このチェックボックスはオフです。

    2. ［チェックサム種別］ドロップダウンリストで、次のいずれかのオプションを選択します：
       • MD5 ハッシュ
       • SHA256 ハッシュ
13. 利用できるファイル操作のリストにあるすべてのファイル操作を監視するのでない場合は、監視する操作の隣にあるチェックボックスをオンにします。
14. 必要に応じて、除外された監視範囲を追加します：
    1. ［除外リスト］タブを選択します。
    2. ［次のフォルダーをコントロールから除外する］をオンにします。
       

       このチェックボックスは、ファイル操作を監視する必要がないフォルダーにおける除外の使用を無効にします。

       このチェックボックスをオンにすると、ファイル変更監視タスクの実行時に、除外リストで指定した監視範囲がスキップされます。

       このチェックボックスをオフにすると、指定したすべての監視範囲のイベントが記録されます。

       既定では、チェックボックスはオフで、除外リストは空です。

    3. ［追加］をクリックします。

       ［追加するフォルダーの選択］ウィンドウが開きます。

    4. 表示されたウィンドウで、監視範囲から除外するフォルダーを指定します。
    5. ［OK］をクリックします。

       指定したフォルダーが、除外される範囲のリストに追加されます。

15. ［ファイル変更監視ルール］ウィンドウで［OK］をクリックします。

    指定したルール設定は、［ファイル変更監視］タスクの、選択した監視範囲に適用されます。