Механизм проверки безопасности файлов в современных системах называется мониторингом целостности файлов (англ. file integrity monitoring, FIM). 1 Он применяется для выявления повреждённых или изменённых компонентов. 1

Процесс работает путём снятия «отпечатков пальцев» с файлов, а затем сравнения их друг с другом. 3 Если отпечатки пальцев отличаются, это означает, что файлы изменились. 3

Чтобы создать отпечаток пальца, монитор целостности файла сканирует один файл и создаёт «контрольную сумму» — уникальную строку данных, связанную с этим файлом. 3 Для этого запускается криптографическая хэш-функция. 3

Некоторые этапы аудита файловой системы, который входит в механизм проверки безопасности: 4

1. Сканирование хранилищ файлов. 4 При начальном сканировании проводится анализ содержания и структуры всех документов на устройствах сети. 4 При следующих сканированиях в первую очередь анализируются те файлы и папки, с которыми ранее взаимодействовали пользователи. 4
2. Классификация данных. 4 Программы аудита файловых систем сортируют папки и документы по их наименованию, содержимому и местонахождению в зависимости от ряда настраиваемых признаков. 4
3. Аудит прав доступа к файлам. 4 Программы контроля файловой системы могут видеть, каким сотрудникам или их группам доступен каждый файл (папка), какие операции доступны всем пользователям при работе с объектом. 4
4. Контроль пользовательских действий. 4 Отслеживаются два типа событий: успешные попытки (успешные события: осуществлён просмотр или изменение документа) и отказы (безуспешные события: неверно введён пароль пользователя, у пользователя не достаточно прав для изменения файла). 4

При обнаружении изменений, обновлений или повреждений мониторинг целостности файлов генерирует предупреждение, позволяющее начать аудит процесса и принять меры. 1